Uit het rapport van de Nederlandse overheid blijkt dat de telemetrie-functie van alle Office 365 en Office ProPlus-applicaties onder andere e-mail-onderwerpen en woorden/zinnen die met behulp van de spellingschecker of vertaalfunctie zijn geschreven worden doorgestuurd naar systemen in de Verenigde Staten.

Dit gaat zelfs zo ver dat, als een gebruiker meerdere keren achter elkaar op de backspace-knop drukt, de telemetrie-functie zowel de zin voor de aanpassing al die daarna verzamelt en doorstuurt. Gebruikers worden hiervan niet op de hoogte gebracht en hebben geen mogelijkheid deze dataverzameling te stoppen of de verzamelde data in te zien.

De Rijksoverheid heeft dit onderzoek gedaan in samenwerking met Privacy Company. "Microsoft mag deze tijdelijke, functionele gegevens niet opslaan, tenzij de bewaring strikt noodzakelijk is, bijvoorbeeld voor veiligheidsdoeleinden," schrijft Sjoera Nas van de Privacy Company in een blogpost.

Aanpassen of switchen

De Rijksoverheid werkt nu samen met Microsoft om deze problemen te tackelen en waarschuwt het bedrijf dat als de verbeteringen niet voldoende zijn er een boete volgt en er wordt overwogen te switchen naar software die "in lijn is met de Nederlandse overheidsbeleid om open standaarden en open-sourcesoftware te bevorderen".

Microsoft heeft inmiddels gereageerd op de het rapport en zegt graag samen te werken met de overheid om de problemen op te lossen.

"Wij zetten ons in voor de privacy van onze klanten, door hen de controle te geven over hun gegevens en ervoor te zorgen dat Office ProPlus en andere Microsoft-producten en -diensten voldoen aan GDPR en andere toepasselijke wetten.

"Wij stellen het op prijs dat wij de mogelijkheid hebben om onze diagnostische dataverwerkingspraktijken in Office ProPlus te bespreken met het Nederlandse Ministerie van Justitie en zien uit naar een succesvolle oplossing van eventuele problemen."

Op de volgende pagina: Workarounds

Nas heeft een aantal workarounds genoemd waarmee de schade enigszins beperkt kan worden:

  • Pas de nieuwe zero-exhaust-instellingen toe
  • Het gebruik van connected services verbieden
  • Het centraal verbieden van de mogelijkheid voor gebruikers om persoonlijke gegevens naar Microsoft te sturen om 'Office' te verbeteren
  • Geen SharePoint Oneline / OneDrive gebruiken
  • Niet langer de web-only versie van Office 365 gebruiken
  • Verwijder periodiek de Active Directory-account van sommige VIP-gebruikers en maak nieuwe accounts voor hen aan, om ervoor te zorgen dat Microsoft de historische diagnostische gegevens verwijdert
  • Overweeg het gebruik van een stand-alone implementatie zonder Microsoft-account voor vertrouwelijke/gevoelige gegevens
  • Overweeg om een pilot met alternatieve software uit te voeren, nadat een DPIA over die specifieke verwerking is uitgevoerd Dit zou een pilot met alternatieve open-sourceproductiviteitssoftware kunnen zijn. Dit zou in lijn zijn met het beleid van de Nederlandse overheid om open standaarden en open-sourcesoftware te bevorderen.

Lees ook: De 7 beste gratis Office-alternatieven van 2018