Leidt het gebruik van Office 365 tot privacyrisico’s?

Op verzoek van SLM Microsoft Rijk heeft Microsoft namelijk een aantal productwijzigingen doorgevoerd die voor alle Enterprise klanten in Europa beschikbaar zijn gekomen. Daarnaast heeft SLM Microsoft Rijk aanvullende afspraken met Microsoft gemaakt over de verplichtingen van de verwerkingsverantwoordelijke en de verwerker.

Geen bekende hoge privacyrisico’s meer voor overheidsinstellingen

SLM Microsoft Rijk adviseert overheidsinstellingen volgens het onderzoeks- en adviesbureau Privacy Company wel om

• voorlopig af te zien van het gebruik van Office Online en de mobiele Office apps en
• het laagst mogelijke niveau van gegevensverzameling in Windows 10, Security (Beveiliging), te kiezen.

Als systeembeheerders van overheidsinstellingen daarnaast de andere adviezen uit de DPIA-rapporten opvolgen, zijn er volgens Privacy Company geen bekende hoge privacyrisico’s meer voor overheidsinstellingen.

Wat was de aanleiding voor deze brief?

In 2018 heeft SLM Microsoft Rijk Privacy Company een data protection impact assessment (DPIA) laten uitvoeren op diagnostische dataverzamelingen in nieuwe versies van Microsoft Office. Daaruit is gebleken dat Microsoft Office ProPlus diagnostische gegevens van en over gebruikers verzamelde en opsloeg in een database in de VS. Dat was niet conform de Algemene Verordening Gegevensbescherming (AVG).

Hoge privacyrisico’s voor niet-overheidsorganisaties

De brief van Grapperhaus en de data protection impact assessments zijn om twee redenen ook relevant voor niet-overheidsorganisaties die overwegen om Microsoft 365 of Office 365 in te voeren of al ingevoerd hebben:

• De invoering en het gebruik van Microsoft 365 of Office 365 bij een organisatie leidt vrijwel automatisch tot het gebruik van de Microsoft Office ProPlus applicaties, Office Online en de mobiele Office apps. Daarnaast leidt de invoering van Microsoft 365 automatisch tot het gebruik van Windows 10. Dit omdat Microsoft 365 uit Microsoft Office, Office 365 apps, Windows 10 en een aantal beveiligingsopties bestaat.
• Niet-overheidsorganisaties moeten volgens Privacy Company bij het gebruik van Office ProPlus, Office Online, de mobiele Office apps en Windows 10 Enterprise rekening houden met hoge privacyrisico’s. Dit omdat de aanvullende afspraken van SLM Microsoft Rijk met Microsoft alleen gelden voor onderdelen van de rijksoverheid die zijn aangesloten bij SLM Microsoft Rijk.

Drie aanbevelingen

Privacy Company doet drie aanbevelingen aan niet-overheidsorganisaties om deze privacyrisico’s beheersbaar te maken:

• Niet-overheidsorganisaties moeten zich bij voorkeur via een vakorganisatie tot Microsoft wenden om vergelijkbare privacygaranties te bedingen als het Rijk. Deze factsheet van SLM Microsoft Rijk bevat een samenvatting van de contractaanpassingen die SLM Microsoft Rijk en Microsoft zijn overeen gekomen.
• Niet-overheidsorganisaties kunnen net als de bij SLM Microsoft Rijk aangesloten overheidsorganisaties zelf twaalf maatregelen nemen om de privacyrisico’s in te dammen. Een van de maatregelen is voorlopig afzien van het gebruik van Office Online en de mobiele Office apps. Een andere maatregel is het laagst mogelijke niveau van gegevensverzameling in Windows 10 kiezen. Zie ook de factsheet van SLM Microsoft Rijk voor een overzicht van de maatregelen.
• Niet-overheidsorganisaties kunnen een eigen DPIA uitvoeren en de restrisico’s voorleggen aan de Autoriteit Persoonsgegevens.

Wat betekent dit voor niet-overheidsorganisaties?

Voor niet-overheidsorganisaties die overwegen om Microsoft 365 of Office 365 in te voeren, is het raadzaam om 1) privacyrisico’s vanaf de start mee te nemen in het implementatieproject en 2) in een vroeg stadium te onderzoeken of het voor hen haalbaar en acceptabel is om bovenstaande aanbevelingen uit te voeren.

Een voorbeeld hiervan is de Technische Universiteit Eindhoven (TUE). Die berichtte 2 juli 2019 op haar website dat de faculteit Industrial Design in de eerste week van juli 2019 geheel is over gegaan op Office 365. De TUE laat daarbij eventuele kwetsbare groepen met privacygevoelige data in kaart brengen. Ook verkent de TUE mogelijke oplossingen.

Tot slot enkele tips die kunnen helpen om privacyrisico’s rond Microsoft/Office 365 in kaart te brengen en te beperken.

O&O ShutUp10

Een handige gratis tool voor individueel gebruik is O&O ShutUp10. Deze tool toont een praktisch overzicht van alle Windows 10 instellingen op je pc/laptop die betrekking hebben op je privacy en op dataoverdracht naar Microsoft. Per instelling vind je een toelichting, een aanbeveling (yes, limited en of no) en een schakelaar waarmee je de instelling afhankelijk van je rechten eenvoudig kan aanpassen. Bij grote bedrijven beheert de IT-afdeling meestal de PC’s. In dat geval kan je dit programma waarschijnlijk niet aanroepen en/of gebruiken.

Privacy riskmapper

Bij het in kaart brengen van privacyrisico’s kunnen organisaties gebruik maken van de privacy riskmapper. Dit is een online vragenlijst op de privacydesigner website. Deze site is ontwikkeld om informatie over privacy by design te bundelen en te ontsluiten.

Privacy ontwerpstrategieën

Daarnaast kunnen organisaties een of meer privacy ontwerpstrategieën toepassen bij het ontwerpen en inrichten van Office 365. Universitair hoofddocent Computerwetenschappen Jaap-Henk Hoekman beschrijft in zijn ‘blauwe boekje’ vier datageoriënteerde en vier procesgeoriënteerde privacy ontwerpstrategieën (zie onderstaande tabel en figuur).

De datageoriënteerde ontwerpstrategieën richten zich op de privacyvriendelijke verwerking van data (en staan binnen het kader in onderstaande afbeelding). De procesgeoriënteerde ontwerpstrategieën richten zich op de verwerkingsprocessen van persoonsgegevens. Ze gaan over de organisatorische aspecten en de noodzakelijke procedures (en staan buiten het kader in onderstaande afbeelding).

Hulp nodig?

ShareValue kan ook jouw organisatie helpen bij de (voorbereiding van de) invoering van Office 365. Meer weten? Neem dan contact met ons op.