Onderzoek MS Office 365 Web & apps: Microsoft belooft maatregelen om 6 hoge privacyrisico’s te verlagen

In opdracht van het Ministerie van Justitie en Veiligheid heeft Privacy Company opnieuw onderzoek gedaan naar de privacyrisico’s van de browserversie van Microsoft Office 365 en de Office apps voor iOS en Android mobiele telefoons. Privacy Company heeft ook onderzoek gedaan naar de privacyrisico’s van de zakelijke Intune software, waarmee systeembeheerders bijvoorbeeld informatie op de apparaten van gebruikers kunnen versleutelen. Met toestemming van het Ministerie publiceren wij twee blogs over onze bevindingen, deze blog over de browserversie en de app-versie van Office 365, en de tweede blog over Intune.

‍

Voor vragen over het onderzoek kunt u zich wenden tot SLM Microsoft Rijk (Strategisch Leveranciersmanagement Microsoft Rijk), bereikbaar via perswoordvoering van het Ministerie van Justitie, 070 370 73 45.

‍

Speciale privacyvoorwaarden Rijksoverheid

SLM Microsoft Rijk heeft begin mei 2019 nieuwe privacyvoorwaarden gesloten met Microsoft voor de 300.000 digitale werkplekken van de Rijksoverheid. Het gaat om de grootzakelijke (Enterprise) versies van de Office software die in gebruik zijn bij de ministeries, de Belastingdienst, de politie, de rechtspraak en zelfstandige bestuursorganen. Sindsdien treedt Microsoft alleen nog op als verwerker voor al haar online diensten, verwerkt de persoonsgegevens nog maar voor drie doelen, verwerkt de gebruiksgegevens niet voor profiling, data analytics, marktonderzoek of advertenties, en geeft effectieve auditrechten aan de Rijksoverheid. Uit drie DPIA’s (gegevensbeschermingseffectbeoordelingen) die Privacy Company in mei en juni 2019 heeft uitgevoerd voor de Rijksoverheid bleek dat Microsoft door een combinatie van technische, organisatorische en contractuele maatregelen de acht eerder geconstateerde hoge privacyrisico’s had verholpen voor Office 365 ProPlus (de versie van Office die je installeert op desktops en laptops). Zie de eerdere blog over deze risico’s. Maar uit de DPIA op Office for the Web en de mobiele Office apps (gepubliceerd 23 juli 2019) bleek dat die maatregelen nog niet waren doorgevoerd voor de browser en appversies van de software. Ten onrechte meende Microsoft dat de nieuwe privacyvoorwaarden van het Rijk soms niet van toepassing waren op de gegevensverwerking via de mobiele Office apps.

In januari 2020 heeft Microsoft wereldwijde verbeteringen doorgevoerd in de privacyvoorwaarden voor haar zakelijke online diensten. Zie de Online Service Terms met aparte Data Protection Addendum van respectievelijk maart en januari 2020. Deze verbeteringen zijn geïnspireerd op de eisen die het Rijk had gesteld; maar zijn er nadrukkelijk niet gelijk aan.

‍

Wat is Office 365?

De Office 365 software kan op drie manieren worden gebruikt. De software kan worden geïnstalleerd op de computers en laptops van betrokkenen (Office 365 ProPlus), geïnstalleerd op smartphones en tablets (mobiele Office apps voor iOS en Android) en als online applicaties die in een browser draaien (Office for the Web, vroeger ook Office Online genoemd).
Deze DPIA gaat over de laatste twee versies van de software: de mobiele Office apps en Office for the Web. De DPIA brengt de risico’s in kaart van de diagnostische gegevensverwerking via de vijf naar verwachting meest gebruikte toepassingen: Word, PowerPoint, Outlook, Excel en Teams in combinatie met het gebruik van Connected Experiences zoals de spellingchecker, gebruik van de met Office verbonden cloud opslagdiensten SharePoint Online en OneDrive for Business, de cloud identiteitsdienst (Azure Active Directory) en de online mailserver (Exchange Online).

Microsoft verzamelt de diagnostische gegevens op meerdere technische manieren, via systeem-gegenereerde logboeken van gebeurtenissen op haar eigen servers en via de zogenaamde telemetrie-client in de mobiele Office apps. Net als de telemetriecliënt in Windows 10 en Office 365 ProPlus heeft Microsoft de mobiele Office-apps en sinds kort ook Office for the Web geprogrammeerd om systematisch telemetriegegevens op het apparaat te verzamelen en deze regelmatig naar de servers te sturen van Microsoft in de VS. Microsoft verzamelt nu ook gegevens uit de browser via telemetrieberichten van Office for the Web. Dat deed Microsoft nog niet in de versie van Office for the Web-versie die in de vorige (openbare) DPIA werd beoordeeld.

Deze DPIA gaat over de risico’s voor betrokkenen van de verwerking van diagnostische gegevens en dus niet over de inhoudelijke gegevens die gebruikers door Microsoft laten verwerken, zoals tekst, foto’s en video’s. De diagnostische gegevens zijn ook anders dan de functionele gegevens die Microsoft (tijdelijk) moet verwerken om gebruikers in staat te stellen om gebruik te maken via internet van de online diensten van Microsoft.

‍

Resultaat: zes hoge privacyrisico’s

Het resultaat van deze DPIA is dat er zes hoge en drie lage gegevensbeschermingsrisico’s zijn voor betrokkenen. Deze DPIA is afgerond op 31 maart 2020. Als resultaat van de onderhandelingen tussen april en juni 2020 zijn SLM Microsoft Rijk en Microsoft maatregelen overeengekomen om de hoge risico’s te mitigeren. Deze maatregelen wordt onderaan deze blog toegelicht.

De hoge risico's zijn te wijten aan de volgende zeven omstandigheden:

1. Bij het gebruik van Office for the Web stuurt Microsoft persoonsgegevens naar twee Amerikaanse bedrijven die geen verwerker zijn: Optimizely en Giphy. Vanuit de mobiele Office-apps stuurt Microsoft verkeer naar zes andere bedrijven, waarvan vier geen verwerkers zijn.
2. Microsoft gedraagt zich als onafhankelijke verantwoordelijke voor de verwerking van telemetriegegevens over het gebruik van de mobiele Office-apps en het gebruik van de Controller Connected Experiences. Microsoft kan persoonsgegevens van en over het gebruik van deze diensten verwerken voor alle 17 doeleinden uit haar algemene privacyverklaring.
3. Sommige telemetrieberichten uit Office for the Web bevatten inhoudelijke gegevens, zoals bestands-, pad- en gebruikersnamen. Het is niet duidelijk of Microsoft zich gedraagt als verwerker voor deze telemetriegegevens.
4. Systeembeheerders hebben geen mogelijkheid om het telemetrieniveau in Office for the Web te minimaliseren. Microsoft heeft ook nog geen keuzeknop gemaakt voor het telemetrieniveau in de Teams, Outlook en OneDrive mobiele apps op iOS en Android.
5. De nieuwe mogelijkheid om de Controller Connected Experiences in Office voor het web en de Mobile Office apps centraal uit te schakelen werkt nog niet in de OneDrive, Outlook en Teams apps op iOS en Android en niet in de teams en OneDrive browser versies van Office for the web.
6. Microsoft publiceert geen informatie over de telemetrie die zij via Office for the Web en de mobiele Office-apps verzamelt. Microsoft heeft de Data Viewer Tool weliswaar geschikt gemaakt voor het ontcijferen van de berichten uit de drie mobiele Office-apps op iOS en Android, namelijk Word, PowerPoint en Excel, maar niet voor de Outlook, Teams en OneDrive apps.
7. Microsoft heeft in reactie op het AVG-inzageverzoek van de onderzoekers geen overzicht gegeven van de persoonsgegevens die zij verwerkt over het gebruik van de mobiele apps, de Controller Connected Experiences en de telemetrie van Office for the Web.

‍

Zes hoge en drie lage risico’s

‍

De zes hoge risico’s zijn:

1. Doorgifte van persoonsgegevens vanuit Office for the Web aan derde partijen: leidt tot verlies aan controle, mogelijke heridentificatie van gepseudonimiseerde gegevens en mogelijk verlies aan vertrouwelijkheid.
2. Doorgifte van persoonsgegevens van mobiele apps aan derde partijen: leidt tot verlies aan controle, mogelijke heridentificatie van gepseudonimiseerde gegevens en mogelijk verlies aan vertrouwelijkheid.
3. Gebrek aan doelbinding voor de diagnostische gegevens van mobiele apps en Office for the Web: leidt tot verlies aan controle over gegevens, mogelijke heridentificatie van gepseudonimiseerde gegevens en mogelijk verlies aan vertrouwelijkheid.
4. Gebrek aan transparantie over diagnostische gegevens Office for the Web, mobiele apps, Connected Experiences en verbonden clouddiensten: leidt tot verlies aan controle en mogelijk verlies aan vertrouwelijkheid van gegevens, en ook tot onmogelijkheid om je rechten uit te kunnen uitoefenen als betrokkene.
5. Geen controle over het telemetrieniveau Office for the Web en in de mobiele Outlook, Teams en OneDrive apps: leidt tot verlies aan controle, mogelijke heridentificatie van gepseudonimiseerde gegevens en mogelijk verlies aan vertrouwelijkheid.
6. Desgevraagd door betrokkenen geeft Microsoft geen volledige inzage in de persoonsgegevens die Microsoft over hen verwerkt: leidt tot onmogelijkheid om je rechten uit te kunnen uitoefenen als betrokkene.

‍

De drie lage risico’s zijn:

1. Chilling effect op werknemers als ze denken dat ze via de software continu geobserveerd worden door hun werkgever: leidt tot beperking in de uitoefening van hun grondrechten;
2. Lange bewaartermijn van 18 maanden voor de diagnostische gegevens en geen individuele verwijdermogelijkheid: leidt tot beperking van het recht op verwijdering van bovenmatige gegevens;
3. Doorgifte van een beperkte hoeveelheid diagnostische gegevens aan een verwerker in de VS: bij geheime opvragingen door opsporings- of geheime diensten leidt dit tot verlies aan controle, mogelijke heridentificatie van gepseudonimiseerde gegevens en verlies aan vertrouwelijkheid.

‍

Aangekondigde maatregelen Microsoft

SLM Microsoft Rijk heeft Microsoft de DPIA-bevindingen gegeven na afronding van het onderzoek. De gesprekken tussen SLM Microsoft Rijk en Microsoft hebben ertoe geleid dat Microsoft heeft toegezegd een aantal verbetermaatregelen door te voeren. Nadat Microsoft deze maatregelen heeft doorgevoerd, en mits overheidsorganisaties de Controller Connected Experiences uitschakelen, zijn alle hoge risico’s geïdentificeerd in de DPIA gemitigeerd.

‍
Microsoft voert deze maatregelen deels voor het einde van de zomer van 2020 door (hoge risico's 1, 4 en 5) en de resterende maatregelen voor het einde van 2020. SLM Microsoft Rijk zal begin 2021 een update publiceren over de voortgang van de implementatie van de maatregelen.

‍

Aanbevolen maatregelen overheidsorganisaties

1. Schakel de Controller Connected Experiences uit.
2. Zet de telemetrieverzameling in de mobiele Office apps op het laagste niveau.
3. Gebruik als beheerder regelmatig de Data Viewer Tool om de telemetrie te bekijken die vanuit de mobiele Office-apps wordt verzonden.
4. Maak bewaartermijnenbeleid bekend en dwing naleving af / ruim verouderde gegevens op vanwege de risico's van doorgifte naar de VS.
5. Test regelmatig nieuwe versies van de mobiele Office-apps en beveel gebruikers aan om de nieuwste versies te installeren zodra de privacyrisico's zijn beperkt.
6. Stel bij gebruik van de Connected Cloud Services een beleid op om te voorkomen dat bestandsnamen en bestandspaden persoonsgegevens bevatten.
7. Informeer medewerkers over de inzagemogelijkheden via Microsoft’s Data Subject Access Request tool en de auditlogs.

‍

Wat kunnen bedrijven doen die de Enterprise versie van Office 365 willen gebruiken?

Voor bedrijven en organisaties buiten de Rijksoverheid geldt dat zij rekening moeten houden met hoge(re) privacyrisico’s bij het gebruik van Office 365 ProPlus, Office for the Web en de mobiele Office apps. Zij zouden zich, bij voorkeur via een vakorganisatie, tot Microsoft moeten wenden om vergelijkbare privacygaranties te bedingen als het Rijk. Los daarvan zouden organisaties ook een eigen DPIA kunnen uitvoeren, gebaseerd op de rapporten van het Rijk, en de restrisico’s voorleggen aan de Autoriteit Persoonsgegevens, zoals bedoeld in artikel 36 van de AVG.

Het hoe en waarom van deze aanbevelingen is toegelicht in het nieuwe Engelstalige DPIA rapport voor SLM Microsoft Rijk. Zie ook het tweede nieuwe DPIA rapport over de gegevensverwerking via Intune.

‍