Het ministerie van justitie en veiligheid heeft het onderzoek laten uitvoeren door Privacy company en die organisatie concludeert dat, ondanks de privacy gerichte onderhandelingen die de Nederlandse overheid heeft gevoerd met Microsoft, de overheid geen Office Online en mobiele Office-apps mag gebruiken en moet kiezen voor een zo laag mogelijk niveau van dataverzameling in Windows 10.

"Begin mei 2019 sloten SLM Rijk (Strategisch Leveranciersmanagement Microsoft Rijk) en Microsoft de onderhandelingen af over nieuwe privacyvoorwaarden voor de 300.000 digitale werkplekken van de Rijksoverheid. Dit zijn de bedrijfsversies van de Office- en Windows 10 software, die worden gebruikt door de ministeries, de Belastingdienst, de politie, de rechterlijke macht en de zelfstandige bestuursorganen. Uit drie nieuwe DPIA's (Data Protection Impact Assessments), die Privacy Company voor de Nederlandse overheid heeft uitgevoerd, blijkt dat Microsoft de acht eerder vastgestelde privacyrisico's voor Office 365 ProPlus heeft beperkt door een combinatie van technische, organisatorische en contractuele maatregelen," aldus aldus Sjoera Nas van de Privacy Company.

"De nieuwe privacyvoorwaarden voor de Rijksoverheid zijn nog niet van toepassing op de gegevensverwerking via Windows 10 Enterprise of de mobiele Office-apps. Bovendien zijn bepaalde technische verbeteringen die Microsoft heeft doorgevoerd in Office 365 ProPlus (nog) niet beschikbaar in Office Online. Van minstens drie van de mobiele apps op iOS worden gegevens over het gebruik van de apps naar een Amerikaans marketingbedrijf gestuurd dat gespecialiseerd is in voorspellende profilering".

Daarom raadt het beveiligingsbedrijf overheden af de software te gebruiken. Nas meldt dat bedrijven en organisaties buiten de overheid zelf verzachtende of beperkende maatregelen kunnen nemen, maar dat alleen Microsoft zelf de hoge privacy risico's kan (en moet) elimineren. Daarom raadt Privacy Company bedrijven aan met Microsoft om de tafel te gaan zitten en te onderhandelen over de privacygaranties die het bedrijf kan geven.

Telemetrie

Microsoft ontvangt en verzamelt persoonlijke data via de telemetrie-functies van Windows en Office aan zowel de server- als de client-kant. Deze diagnostische gegevens worden verzonden naar servers die zich bevinden in Amerika.

De DPIA's beoordelen de risico's voor betrokkenen als gevolg van de verwerking van deze diagnostische gegevens. Daarom onderzoeken zij niet de risico's die verbonden zijn aan de inhoudelijke gegevens die gebruikers Microsoft toestaan te verwerken, zoals tekst, foto's en video's. De diagnostische gegevens verschillen ook van de functionele gegevens die Microsoft (tijdelijk) moet verwerken om gebruikers in staat te stellen gebruik te maken van de online diensten van Microsoft.

SLM Rijk zit nu opnieuw met Microsoft rond de tafel om te onderhandelen over nieuwe privacygaranties voor alle online diensten van en Office 365 ProPlus. Microsoft erkent dat het alleen als gegevensverwerker mag optreden voor de gegevens die het ontvangt over het gebruik van Office 365 ProPlus, de meeste "Connected Experiences" en de clouddiensten. Deze gegevens worden gezien als persoonlijke gegevens. Microsoft mag de gegevens alleen verwerken voor drie geautoriseerde doeleinden en alleen als dit proportioneel is. De doeleinden zijn:

  • Het aanbieden en verbeteren van de dienst
  • Het up-to-date houden van de dienst
  • Het beveiligen van de dienst

Voorheen verwerkte Microsoft de gegevens voor acht doeleinden, met inbegrip van alle doeleinden die zij zelf als verenigbaar met de andere gespecificeerde doeleinden beschouwden. Deze wijzigingen zijn inmiddels al doorgevoerd in Office 365 ProPlus, maar nog niet in Office Online en de mobiele Office-apps. Zolang deze features niet aanwezig zijn wordt Nederlandse ministeries afgeraden deze software te gebruiken.