In opdracht van het Ministerie van Justitie en Veiligheid heeft Privacy Company opnieuw onderzoek gedaan naar de privacyrisico’s van de browserversie van Microsoft Office 365 en de Office apps voor iOS en Android mobiele telefoons. Privacy Company heeft ook onderzoek gedaan naar de privacyrisico’s van de zakelijke Intune software, waarmee systeembeheerders bijvoorbeeld informatie op de apparaten van gebruikers kunnen versleutelen. Met toestemming van het Ministerie publiceren wij twee blogs over onze bevindingen, deze blog over de browserversie en de app-versie van Office 365, en de tweede blog over Intune.
Voor vragen over het onderzoek kunt u zich wenden tot SLM Microsoft Rijk (Strategisch Leveranciersmanagement Microsoft Rijk), bereikbaar via perswoordvoering van het Ministerie van Justitie, 070 370 73 45.
Speciale privacyvoorwaarden Rijksoverheid
SLM Microsoft Rijk heeft begin mei 2019 nieuwe privacyvoorwaarden gesloten met Microsoft voor de 300.000 digitale werkplekken van de Rijksoverheid. Het gaat om de grootzakelijke (Enterprise) versies van de Office software die in gebruik zijn bij de ministeries, de Belastingdienst, de politie, de rechtspraak en zelfstandige bestuursorganen. Sindsdien treedt Microsoft alleen nog op als verwerker voor al haar online diensten, verwerkt de persoonsgegevens nog maar voor drie doelen, verwerkt de gebruiksgegevens niet voor profiling, data analytics, marktonderzoek of advertenties, en geeft effectieve auditrechten aan de Rijksoverheid. Uit drie DPIA’s (gegevensbeschermingseffectbeoordelingen) die Privacy Company in mei en juni 2019 heeft uitgevoerd voor de Rijksoverheid bleek dat Microsoft door een combinatie van technische, organisatorische en contractuele maatregelen de acht eerder geconstateerde hoge privacyrisico’s had verholpen voor Office 365 ProPlus (de versie van Office die je installeert op desktops en laptops). Zie de eerdere blog over deze risico’s. Maar uit de DPIA op Office for the Web en de mobiele Office apps (gepubliceerd 23 juli 2019) bleek dat die maatregelen nog niet waren doorgevoerd voor de browser en appversies van de software. Ten onrechte meende Microsoft dat de nieuwe privacyvoorwaarden van het Rijk soms niet van toepassing waren op de gegevensverwerking via de mobiele Office apps.
In januari 2020 heeft Microsoft wereldwijde verbeteringen doorgevoerd in de privacyvoorwaarden voor haar zakelijke online diensten. Zie de Online Service Terms met aparte Data Protection Addendum van respectievelijk maart en januari 2020. Deze verbeteringen zijn geïnspireerd op de eisen die het Rijk had gesteld; maar zijn er nadrukkelijk niet gelijk aan.
Wat is Office 365?
De Office 365 software kan op drie manieren worden gebruikt. De software kan worden geïnstalleerd op de computers en laptops van betrokkenen (Office 365 ProPlus), geïnstalleerd op smartphones en tablets (mobiele Office apps voor iOS en Android) en als online applicaties die in een browser draaien (Office for the Web, vroeger ook Office Online genoemd).
Deze DPIA gaat over de laatste twee versies van de software: de mobiele Office apps en Office for the Web. De DPIA brengt de risico’s in kaart van de diagnostische gegevensverwerking via de vijf naar verwachting meest gebruikte toepassingen: Word, PowerPoint, Outlook, Excel en Teams in combinatie met het gebruik van Connected Experiences zoals de spellingchecker, gebruik van de met Office verbonden cloud opslagdiensten SharePoint Online en OneDrive for Business, de cloud identiteitsdienst (Azure Active Directory) en de online mailserver (Exchange Online).
Microsoft verzamelt de diagnostische gegevens op meerdere technische manieren, via systeem-gegenereerde logboeken van gebeurtenissen op haar eigen servers en via de zogenaamde telemetrie-client in de mobiele Office apps. Net als de telemetriecliënt in Windows 10 en Office 365 ProPlus heeft Microsoft de mobiele Office-apps en sinds kort ook Office for the Web geprogrammeerd om systematisch telemetriegegevens op het apparaat te verzamelen en deze regelmatig naar de servers te sturen van Microsoft in de VS. Microsoft verzamelt nu ook gegevens uit de browser via telemetrieberichten van Office for the Web. Dat deed Microsoft nog niet in de versie van Office for the Web-versie die in de vorige (openbare) DPIA werd beoordeeld.
Deze DPIA gaat over de risico’s voor betrokkenen van de verwerking van diagnostische gegevens en dus niet over de inhoudelijke gegevens die gebruikers door Microsoft laten verwerken, zoals tekst, foto’s en video’s. De diagnostische gegevens zijn ook anders dan de functionele gegevens die Microsoft (tijdelijk) moet verwerken om gebruikers in staat te stellen om gebruik te maken via internet van de online diensten van Microsoft.
Resultaat: zes hoge privacyrisico’s
Het resultaat van deze DPIA is dat er zes hoge en drie lage gegevensbeschermingsrisico’s zijn voor betrokkenen. Deze DPIA is afgerond op 31 maart 2020. Als resultaat van de onderhandelingen tussen april en juni 2020 zijn SLM Microsoft Rijk en Microsoft maatregelen overeengekomen om de hoge risico’s te mitigeren. Deze maatregelen wordt onderaan deze blog toegelicht.
De hoge risico's zijn te wijten aan de volgende zeven omstandigheden:
Zes hoge en drie lage risico’s
De zes hoge risico’s zijn:
De drie lage risico’s zijn:
Aangekondigde maatregelen Microsoft
SLM Microsoft Rijk heeft Microsoft de DPIA-bevindingen gegeven na afronding van het onderzoek. De gesprekken tussen SLM Microsoft Rijk en Microsoft hebben ertoe geleid dat Microsoft heeft toegezegd een aantal verbetermaatregelen door te voeren. Nadat Microsoft deze maatregelen heeft doorgevoerd, en mits overheidsorganisaties de Controller Connected Experiences uitschakelen, zijn alle hoge risico’s geïdentificeerd in de DPIA gemitigeerd.
Microsoft voert deze maatregelen deels voor het einde van de zomer van 2020 door (hoge risico's 1, 4 en 5) en de resterende maatregelen voor het einde van 2020. SLM Microsoft Rijk zal begin 2021 een update publiceren over de voortgang van de implementatie van de maatregelen.
Aanbevolen maatregelen overheidsorganisaties
Wat kunnen bedrijven doen die de Enterprise versie van Office 365 willen gebruiken?
Voor bedrijven en organisaties buiten de Rijksoverheid geldt dat zij rekening moeten houden met hoge(re) privacyrisico’s bij het gebruik van Office 365 ProPlus, Office for the Web en de mobiele Office apps. Zij zouden zich, bij voorkeur via een vakorganisatie, tot Microsoft moeten wenden om vergelijkbare privacygaranties te bedingen als het Rijk. Los daarvan zouden organisaties ook een eigen DPIA kunnen uitvoeren, gebaseerd op de rapporten van het Rijk, en de restrisico’s voorleggen aan de Autoriteit Persoonsgegevens, zoals bedoeld in artikel 36 van de AVG.
Het hoe en waarom van deze aanbevelingen is toegelicht in het nieuwe Engelstalige DPIA rapport voor SLM Microsoft Rijk. Zie ook het tweede nieuwe DPIA rapport over de gegevensverwerking via Intune.