De Nederlandse overheid liet een DPIA (Data Protection Impact Assessment) uitvoeren op Microsoft Office ProPlus. Uit deze DPIA bleek dat Microsoft op grote schaal persoonsgegevens verwerkt over het gedrag van gebruikers. De verzameling van die persoonsgegevens gebeurt zonder dat de gebruiker hierover geïnformeerd wordt, zonder toestemming van de gebruiker, zelfs zonder dat de gebruiker dit kan uitschakelen of zelfs nog maar kan zien over welke gegevens het gaat.
Gegevens over gebruik Office
Microsoft slaat gegevens op van het gebruik van Word, Excel, Powerpoint en Outlook (zowel de online versies als de lokaal geïnstalleerde versies). Microsoft heeft een pilot lopende om de gegevens van die programma’s op te slaan in de Microsoft Cloud (via Sharepoint en OneDrive).
Microsoft verzamelt diagnostische gegevens over de handelingen van de gebruiker via ingebouwde telemetriesoftware. De verzamelde gegevens worden periodiek in een batch naar de servers van Microsoft in de US gestuurd. Bij online gebruik van diensten (bijvoorbeeld de online versie van Office 365) wordt het gebruik ook vastgelegd in de logbestanden van Microsoft zelf.
Het is echter niet duidelijk welke inhoud van bestanden met deze diagnostische gegevens worden opgeslagen. Zo blijkt dat deze diagnostische gegevens onder andere bevatten welke woorden voor en na een woord dat u wil vertalen komen. Microsoft heeft bijvoorbeeld ook aangegeven dat ze niet de inhoud van e-mails opslaat, maar de logbestanden van Microsoft geven wel de onderwerp-titels van e-mail weer. Voorlopig is het onmogelijk om als gebruiker te zien welke gegevens precies worden verzameld en doorgestuurd.
Onderhandelingen met de Nederlandse overheid
Gezien potentieel heel wat gegevens met een hoog risico op die manier door Microsoft worden verwerkt zonder toestemming of passende garanties is duidelijk dat er actie ondernomen moet worden. De Nederlandse overheid, die gebruik maakt van Microsoft en 300.000 gebruikers uitmaakt, is daarom in onderhandeling getreden met Microsoft om deze problemen te verhelpen.
Microsoft heeft naar aanleiding van de DPIA zero exhaust settings ontwikkeld, waardoor er zo geen telemetriegegevens meer zouden verzameld worden (als de zero exhaust settings aangezet worden). Deze initiatieven zijn wel een begin, maar er blijven nog een aantal problemen over, niet in het minst de reeds gedane verwerkingen van persoonsgegevens.
Wat te doen?
Theoretische technische maatregelen
Ervan uit gaand dat de optie ooit toegankelijk wordt, kan de office beheerder de zero exhaust settings toepassen voor alle gebruikers. Daarnaast kan hij de vrijwillige connected services uitschakelen (zoals de online spellingschecker en vertaalservice). Microsoft vraagt ook om gegevens te delen om Office te verbeteren, maar de beheerder kan uitschakelen dat gebruikers deze melding krijgen (en zo hun gegevens delen).
Het gebruik van de Microsoft Cloud, zoals Sharepoint en OneDrive is op zich problematisch. Het kan aangewezen zijn enkel lokaal geïnstalleerde versies van Office te gebruiken en niet de online versie van Office 365.
Tot slot kan men ook opteren voor alternatieve software. Hierbij moet men natuurlijk wel uitkijken dat deze software niet aan dezelfde gegevensrisico’s is blootgesteld als Office.
Haalbare organisatorische maatregelen
Bovenstaande technische maatregelen laten echter niet toe om het risico bij het gebruik van Office volledig uit te sluiten, noch zijn ze voor iedereen haalbaar. En zoals de Nederlandse overheid zelf in onderhandeling treden met Microsoft lijkt weinig realistisch.
Het is echter geen optie om geheel niks te ondernemen, gezien je dan in de problemen komt met je eigen GDPR-verplichtingen. Deze realiteit moet worden meegenomen in uw risicoanalyse en veiligheidsplan/beleid. Bij stilzitten van Microsoft kan bijvoorbeeld beleidsmatig worden uitgemaakt om op termijn te kijken naar alternatieven. Daarnaast kan men de Gegevensbeschermingsautoriteit raadplegen in het kader van de residuele risico’s die blijken uit de DPIA van de Nederlandse overheid.
