Teams, Onedrive en Sharepoint onveilig voor Rijk en onderwijs

De uitkomsten van eerdere ‘data protection impact assessments' (DPIA’s) die werden uitgevoerd voor diensten van Microsoft en Google waren in het verleden een voorbode voor zware onderhandelingen tussen het Rijk en de onderwijswereld met techreuzen, waarbij die laatste partijen vaak flink moesten aanpoten om aan de eisen te voldoen. Deze keer lijkt het wegnemen van alle risico’s moeilijk te worden: de organisaties zullen zelf aan de slag moeten met zelf versleutelen van data, zo blijkt uit een blog van Privacy Company.

Bij de DPIA werd gekeken naar welke risico’s er spelen bij het gebruik van de clouddiensten van Microsoft voor Rijksoverheid en hogescholen en universiteiten. Microsoft heeft naar aanleiding van die conclusies alvast maatregelen genomen om zes grote risico’s te verhelpen. Eén risico kan niet worden weggenomen: het lijkt niet mogelijk uit te sluiten dat de Amerikaanse inlichtingendiensten Microsoft op basis van wetgeving kunnen dwingen data te overhandigen. De aanbeveling van Privacy Company is daarom dat de genoemde organisaties de diensten van Microsoft niet mogen gebruiken voor de uitwisseling of opslag van gevoelige en bijzondere persoonsgegevens.

Zelf data versleutelen

Om alle risico’s weg te nemen moeten Rijksoverheid en hogescholen en universiteiten gevoelige data alleen verwerken of opslaan als de inhoud versleuteld wordt met eigen sleutels. “Dit komt door het hoge risico van mogelijke toegang tot die gegevens vanuit de Verenigde Staten. Dit risico blijft ook bestaan als Microsoft vanaf volgend jaar vrijwel alle persoonsgegevens van haar Europese zakelijke klanten exclusief in Europese datacentra verwerkt”, stelt Privacy Company.

Het risico wordt bovendien niet verholpen als het Amerikaanse bedrijf alle data van Europese inwoners exclusief in Europese datacenters verwerkt, wat vanaf volgend jaar moet gebeuren. Omdat Microsoft een Amerikaans bedrijf is blijven risico’s bestaan, zelfs wanneer de gegevens uitsluitend in de EU worden verwerkt en opgeslagen, omdat gegevens kunnen worden gevorderd via Amerikaanse wetgeving zoals de Cloud Act.

Ook de encryptie die door Microsoft wordt toegepast op de gegevens van klanten tijdens transport via internet en bij opgeslagen bestanden nemen risico’s niet volledig weg, zolang Microsoft door de Amerikaanse overheid gedwongen kan worden gegevens te verstrekken. Europese organisaties die maatregelen willen nemen, moeten volgens Privacy Company een eigen versleuteling gebruiken waartoe ook Microsoft geen toegang heeft.

A‍utoriteit Persoonsgegevens

Het is nog onduidelijk in hoeverre overheidsorganisaties en onderwijsinstellingen de aanbevelingen van Privacy Company zullen doorvoeren. De Autoriteit Persoonsgegevens onderzoekt de gegevensverwerking momenteel en velt naar verwachting eind 2022 een oordeel. Privacy Company geeft aan dat voor deze DPIA de doorgifterisico's ‘streng zijn beoordeeld’.

Het onderzoek naar Microsoft in opdracht van het Rijk en de onderwijswereld komt niet uit de lucht vallen. Zo werden er in 2019 al nieuwe afspraken gemaakt met Microsoft over de privacyvoorwaarden van zo’n 300.000 digitale werkplekken bij het Rijk. SURF stelde dezelfde voorwaarden voor de Nederlandse hogescholen en universiteiten. Ook Amerikaanse techgigant Google moest na druk vanuit de onderwijswereld en het Rijk om tafel om tot nieuwe afspraken te komen over de gegevensbescherming van scholieren en voor rijksambtenaren. De onderhandelingen werden iedere keer opgestart na onderzoek van Privacy Company en een later volgend advies van de Autoriteit Persoonsgegevens.

De volledige DPIA van Privacy Company is hier te lezen.