Beheer

Windows 10
Windows 10 Enterprise en Office online schenden nog privacy bij Rijk

Overheidsinstellingen moeten oppassen met dataverzending in Windows 10 Enterprise

Microsoft-applicaties verwerken gegevens in strijd met de AVG.

© CC0 Public Domain
1 augustus 2019

Microsoft-applicaties verwerken gegevens in strijd met de AVG.

Overheidsinstellingen moeten voorlopig afzien van het gebruik van Office Online en de mobiele Office apps en kiezen voor het laagste mogelijke niveau van gegevensverzameling in Windows 10, namelijk: Security (Beveiliging). Dat adviseert Strategisch Leveranciersmanagement Microsoft Rijk op basis van een Privacy Impact Assessment (PIA) door Privacy Company. De manier waarop deze applicaties gegevens verwerken is in strijd met de Algemene verordening gegevensbescherming (AVG) zoals die voor het Rijk geldt.

SLM Rijk liet november 2018 een audit uitvoeren naar het gebruik van Microsoftapplicaties door de Rijksoverheid. Uit deze audit door de Privacy Company bleek dat Microsoft op grote schaal persoonsgegevens verzamelt en bewaart over het gedrag van individuele werknemers, zonder daarover te informeren. De Privacy Company noemde de uitkomsten van de Data Privacy Impact Assessment (DPIA) in een uitlegblog ‘alarmerend’. Minister Fred Grapperhaus van Justitie en Veiligheid stuurde de bevindingen naar de Tweede Kamer en liet weten met een verbeterplan te komen. 

Microsoft trof daarop technische, organisatorische en contractuele maatregelen waardoor de geconstateerde privacyrisico’s verholpen moesten zijn. Dat blijkt deels te zijn gebeurd; zo zijn de acht eerder geconstateerde privacyrisico’s voor Office 365 ProPlus opgelost. “Microsoft treedt alleen nog op als verwerker voor al haar online diensten, verwerkt de persoonsgegevens nog maar voor drie doelen, verwerkt de gebruiksgegevens niet voor profiling, data analytics, marktonderzoek of advertenties, en geeft effectieve auditrechten aan de Rijksoverheid”, schrijft de Privacy Company.

Windows 10 Enterprise

De nieuwe privacyvoorwaarden voor het Rijk zijn echter nog niet van toepassing op de gegevensverwerking via Windows 10 Enterprise en op de mobiele Office apps, schrijft de Privacy Company. Ook zijn bepaalde technische verbeteringen die Microsoft doorvoerde in Office 365 ProPlus, (nog) niet beschikbaar in Office Online. “Vanuit tenminste drie van de mobiele apps op iOS gaat verkeer over het gebruik van de apps naar een Amerikaans marketingbedrijf dat gespecialiseerd is in predictive profiling.”

De Privacy Company adviseert bedrijven en organisaties buiten de Rijksoverheid zelf een aantal maatregelen te treffen. Denk aan het upgraden naar een versie 1905 of hoger van Office 365 ProPlus of het uitschakelen van Customer Experience Improvement Programma (CEIP) en de LinkedIn-integratie voor Microsoft-werknemeraccounts in Office ProPlus. Het nemen van deze privacybeschermende maatregelen is niet voldoende, zegt de Privacy Company. Voor sommige issues is alleen Microsoft in staat om de hoge privacyrisico’s weg te nemen.

SLM Rijk is in gesprek met Microsoft voor het ontwerp van een structurele oplossing voor Windows 10 Enterprise klanten voor versie 1809 en later, waardoor – volgens Microsoft - overheidsorganisaties in staat zijn om de AVG op een makkelijkere manier na te leven bij het gebruik van telemetrieniveaus Basis en hoger. Aan deze oplossing wordt gewerkt. Microsoft verwacht later dit jaar een aankondiging hierover te kunnen doen.

AVG en PIA's

Door de invoering van de AVG moeten Rijksoverheid en bedrijven in sommige gevallen een Privacy Impact Assessment (PIA) uitvoeren, ook wel een gegevensbeschermingseffectbeoordeling. Die PIA werd voorheen al soms vrijwillig ingezet, maar door de AVG wordt de verplichting breder. De PIA is een, soms verplicht, instrument om vooraf na te denken over de privacyrisico’s die een bepaalde gegevensverwerking met zich meebrengt. Waar mogelijk dient de verwerking vervolgens ‘privacyvriendelijker’ gemaakt te worden. In dit artikel zetten Walter van Holst en Dirk Schravendeel praktijkervaringen van PIA's op een rij.

Lees meer over Beheer OP AG Intelligence
2
Reacties
Michel de Rooij 05 augustus 2019 12:02

De eeuwige stemmingmakerij door innovatieremmers is betreurenswaardig. Men kan prima alle innovatie functies met cloud micro-diensten alsook telemetrie - welke waardevolle informatie verschaft aan leverancier en indirect ook aan klanten - uitschakelen. Het applicatieve landschap is geen landschap meer met geïsoleerde applicaties, maar een met verregaande integratie. Verder kun je vragen stellen bij de motivatie van Privacy Company, welke enig belang heeft bij angstzaaien - dat zorgt er immers voor dat men facturen bij de rijksoverheid kan blijven indienen voor onderzoekjes en men de media weer aandacht aan ze schenkt.

Peter Mul 01 augustus 2019 12:48

Er is geen enkele andere valide reden dan luie gemakzucht dat overheden en bedrijven niet hun eigen data gescrambled op hun eigen servers opslaan waarbij gebruik gemaakt wordt van in eigen huis ontwikkelde open source applicaties.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.