Microsoft moet privacy van producten bij Rijksoverheid verbeteren

Microsoft moet de privacy van de producten die ze aan de Rijksoverheid levert verbeteren. Dat is gebleken uit het Data Protection Impact Assessment (DPIA) dat het ministerie van Justitie en Veiligheid heeft laten uitvoeren. In april 2019 moet Microsoft de nodige aanpassingen hebben gedaan.

13 november 2018 | Door redactie

Het gaat om de producten ‘Microsoft Office’ en ‘Windows 10 Enterprise’ die binnen de Rijksoverheid worden gebruikt. In deze producten wordt informatie van en over de gebruiker verzameld en opgeslagen in een database in de Verenigde Staten. De manier waarop dit gebeurt brengt hoge risico’s met zich mee voor de privacy van de gebruiker.

Office verstuurt gegevens van gebruikers in het geheim

Het Data Protection Impact Assessment (DPIA) is uitgevoerd in opdracht van Strategisch Leveranciers Management Microsoft Rijk (SLM Microsoft), het aanspreekpunt voor Microsoft bij de Rijksoverheid. Uit het DPIA is gebleken dat Microsoft via Office in het geheim gedragsgegevens verzameld van 300.000 rijkswerkplekken, van ministeries en politie tot rechtspraak en toezichthouders. De ingebouwde telemetrie-software zorgt ervoor dat (diagnostische) informatie die eerst opgeslagen is in het apparaat, in batches via internet wordt verstuurd naar Microsoft.

Lokale software, spellingcontrole en ePrivacy Verordening

Het opslaan van diagnostische informatie gebeurt wanneer lokaal geïnstalleerde software gebruikt wordt met een Microsoft-account of wanneer gebruikers de spellingscontrole gebruiken. Toch mag dat alleen met voorafgaande toestemming van de gebruiker. Het is niet precies duidelijk welke gegevens Microsoft verzamelt en bewaart over het gedrag van gebruikers. Wat wel bekend is, is dat het om grootschalige verwerking van persoonsgegevens gaat. De toekomstige ePrivacy Verordening bevat specifieke regels over het automatisch verspreiden van updates en over het gebruik van gegevens over de communicatie van gebruikers. Dat mag alleen als dat noodzakelijk is voor specifieke beveiligingsdoelen.  

Microsoft moet verbeterplan nakomen

Microsoft is als verwerker mede verantwoordelijk voor de verwerking van persoonsgegevens. Het Rijk heeft een verbeterplan met Microsoft afgesproken om wijzigingen aan te brengen in de producten Windows 10 Enterprise en Microsoft Office, zodat ze voldoen aan de Algemene Verordening Gegevensbescherming (AVG). In april 2019 moet Microsoft met nieuwe versies van de programma’s komen, die dan opnieuw beoordeeld worden. Tot die tijd beperkt het Rijk de datastromen naar Microsoft zoveel mogelijk. Als blijkt dat de voortgang onvoldoende is, kan SLM Microsoft alsnog naar de Autoriteit Persoonsgegevens (AP) stappen met het verzoek om hierop meer te handhaven.

DPIA soms verplicht voor organisaties

De AVG verplicht het doen van een DPIA (pdf) wanneer organisaties, zoals de Rijksoverheid, persoonsgegevens van gevoelige aard op grote schaal verwerken. Met een DPIA toetst u of er privacyrisico’s kleven aan de gegevensverwerking én of er maatregelen nodig zijn om deze risico’s te beheersen.

Bijlagen bij dit bericht

AVG: Data-protection Impact Assessment
E-learning | VideoCollege 8 minuten