Microsoft Office niet AVG-compliant
Gepubliceerd op 30 november 2018
Medio november zijn de resultaten van de in opdracht van het ministerie Veiligheid en Justitie uitgevoerde DPIA (Data Protection Impact Assessment) op Microsoft Office gepubliceerd. Uit dat onderzoek blijkt dat Microsoft gegevens verzamelt over het gedrag/gebruik van Word, Excel, PowerPoint en outlook van de gebruikers van deze producten. Voor verzamelen van deze privacy gerelateerde gegevens is geen individuele toestemming gevraagd en bovendien worden gegeven opgeslagen op servers in de Verenigde Staten. Daarmee handelt Microsoft feitelijk in strijd met de Europese privacyregelgeving GDPR en de Nederlandse vertaling daarvan: AVG.
Een korte leesbare samenvatting: https://www.privacycompany.eu/...
Het is zeer goed en volkomen terecht dat er diepgaand onderzoek wordt gedaan naar de verwerking van privacygevoelige gegevens door Microsoft. Per slot van rekening is het uitermate belangrijk om zorgvuldig om te gaan met persoonsgegevens. Zeker wanneer door het gebruik van SAAS-applicaties gegevens buiten onze directe invloedssfeer worden bewaard en verwerkt. Grootschalige en breed uitgevoerde onderzoeken zijn eveneens nodig om een vuist te kunnen maken naar spelers ter grootte van Microsoft.
De uitkomsten van de onderzoeken laten dus zien dat Microsoft op enkele essentieel punten niet voldoet aan de AVG-richtlijnen. Microsoft geeft echter wel aan dat de verzamelde data uitsluitend gebruikt wordt voor verbeteren van haar eigen Office-portfolio en het optimaliseren van het gebruiksgemak. Dus niet voor het opbouwen van gebruikersprofielen voor commerciële doeleinden zoals b.v. Google, die daarover heel transparant is.
Belangrijk is dat het hier niet gaat over de opslag van complete documenten en/of databases van informatiesystemen gebaseerd op de Office-producten. Deze zijn opgeslagen in datacentra op Europees grondgebied.
Op nationaal niveau (Strategisch Leveranciersmanagement Microsoft Rijk), vindt overleg plaats met Microsoft om de juiste aanvullende maatregelen te treffen. Microsoft heeft hiervoor al een aantal toezeggingen gedaan.
Microsoft laat, net als bij Windows 10 het geval was, dus zien mee te werken aan het AVG-proof maken van hun producten en heeft n.a.v. het onderzoek inmiddels een aantal zogenaamde "Exhaust settings" geïntroduceerd om de uitstoot van genoemde gegevens te beperken. Daarnaast heeft Microsoft toegezegd de komende maanden, in nauwe samenwerking met de onderzoekers, nog meerdere verbeteringen te willen doorvoeren teneinde rond mei 2019 in belangrijke mate te voldoen aan de eisen van de AVG.
Zouden we kunnen stoppen met het gebruik van Microsoft-producten?
Microsoft Office vormt al decennia lang een centraal onderdeel van de kantoorautomatisering en daarmee ook van het applicatielandschap in de regio Rijk van Nijmegen (en de rest van de wereld….) Dankzij de Europese standpunt inzake de bescherming van de privacy van de inwoners van haar lidstaten houden zelfs softwaregiganten als Microsoft steeds meer rekening met de hier geldende regelgeving. Om nu te stoppen met het gebruik van Microsoft-producten vanwege de nu geconstateerde gebreken is echter geen reële optie en wordt ook niet door de onderzoekers aanbevolen. Een reëel en werkbaar alternatief ligt niet direct op de planken, mede omdat veel van onze softwareleveranciers bij het ontwikkelen van hun software voortbouwen op de aanwezigheid en gebruik van Microsoft Office-producten.
Los van de technische uitdaging is het maar de vraag of er nu überhaupt een compliant-alternatief bestaat. Immers alléén de Microsoft Office-producten zijn op het punt van GDPR-compliancy getest. Van andere producten met vergelijkbare functionaliteit en gebruiksgemak is m.b.t. genoemde aspecten niets bekend.
iRvN heeft vertrouwen in Microsoft en in de bundeling van krachten op nationaal niveau door het uitvoeren van grote onderzoeken. iRvN is op basis van het bovenstaande van mening dat het niet opportuun is om het gebruik van, en/of de uitrol van Office2016 en/of Office365 te stoppen of op te shorten. Wel zal iRvN alle inmiddels ter beschikking gestelde mogelijkheden (settings) benutten om de O365 implementaties zo veilig mogelijk te maken en zal alle de komende maanden beschikbaar komende update en aanpassingen zo snel mogelijk installeren. Uiteraard volgen wij het verdere onderzoek en ontwikkelingen op de voet.
De link naar het volledige onderzoeksrapport: https://www.rijksoverheid.nl/b...
Reacties
Er zijn nog geen reacties op dit nieuwsbericht geplaatst.