Nieuwe DPIA Nederlandse overheid en universiteiten op gebruik Microsoft Teams, OneDrive en SharePoint Online

Privacy Company heeft in opdracht van SLM Rijk en SURF opnieuw een gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd op de gegevensverwerking via Microsoft’s clouddiensten Teams, OneDrive en SharePoint Online. De DPIA is op maandag 21 februari gepubliceerd op https://www.rijksoverheid.nl/documenten/publicaties/2022/02/21/public-dpia-teams-onedrive-sharepoint-and-azure-ad. Een handige samenvatting staat in de nieuwe blog van Privacy Company op https://www.privacycompany.eu/blogpost-nl/nieuwe-dpia-voor-de-rijksoverheid-en-universiteiten-op-microsoft-teams-onedrive-en-sharepoint-online

Dit is het derde onderzoek dat Privacy Company op deze diensten heeft uitgevoerd sinds Microsoft uitgebreide nieuwe privacy-afspraken heeft gemaakt met de Nederlandse overheid en de universiteiten voor alle werknemers (medio en eind 2019). Het rapport stelt vast dat Microsoft de afgesproken verbeteringen grotendeels heeft uitgevoerd. De zes hoge risico’s die in 2020 uit de DPIA bleken op de online apps en browserversies van deze diensten, zijn inmiddels opgeheven, of veranderd in lage risico’s. Er is nog wel ruimte voor verbetering als het gaat om de transparantie van telemetriegegevens. Dat zijn de gegevens over het individuele gebruik van de diensten die vanuit de geïnstalleerde software automatisch naar Microsoft worden verzonden. Microsoft heeft toegezegd het inzageproces (via de systeembeheerders) te verbeteren, en betere uitleg te geven waarom veel verzamelde gegevens of geen persoonsgegevens zijn, of onmiddellijk geanonimiseerd, en dus niet meer terug te koppelen aan een individuele inzageverzoeker.

Risico’s door doorgifte van persoonsgegevens naar de VS

De DPIA concludeert dat er zes lage privacyrisico’s zijn, en één hoog risico, voor de gebruikers van deze clouddiensten. Het hoge risico hangt samen met het feit dat Microsoft een Amerikaans bedrijf is, en dat er een mogelijkheid bestaat dat Amerikaanse opsporings- en inlichtingendiensten toegang eisen tot persoonsgegevens van Nederlandse gebruikers van de diensten. Dat betekent dat er bij gebruik van de Microsoft-diensten formeel sprake is van doorgifte naar een land buiten de EU zonder adequaat beschermingsniveau van de persoonsgegevens. De nationale toezichthouders op de bescherming van persoonsgegevens zijn begonnen om strenger te controleren op deze risico’s, anderhalf jaar na de uitspraak van het Europees Hof van Justitie waarbij (voor de tweede keer!) een streep is gehaald door de afspraken over gegevensbescherming tussen de EU en de VS (het zogenaamde Schrems-II arrest). Verschillende toezichthouders hebben onlangs waarschuwingen gepubliceerd over het gebruik van Google Analytics en Google fonts (lettertypes). Het Europees Comité voor Gegevensbescherming (beter bekend als European Data Protection Board, EDPB) heeft aangekondigd dat ze eind dit jaar het gezamenlijke onderzoek hoopt af te ronden naar het gebruik van clouddiensten door overheidsinstellingen. SLM Rijk heeft hierover een vragenlijst ontvangen.

Bij Microsoft lijkt de kans dat opsporings- en inlichtingendiensten toegang vorderen vooral theoretisch. Microsoft heeft verklaard dat ze nog nooit gegevens van werknemers van publieke sectorinstellingen heeft verstrekt aan enige overheid. Dus ook niet aan de Amerikaanse overheid. Bovendien verwerkt en bewaart Microsoft bijna alle persoonsgegevens van werknemers van de Nederlandse overheid inmiddels al exclusief in Europese datacentra, niet in de VS. Alleen de pseudonieme telemetriegegevens worden nu nog systematisch naar de VS verzonden. Eind 2022 zal Microsoft ook die persoonsgegevens automatisch exclusief in de EU verwerken. Deze belofte noemt Microsoft de EU Data Boundary. Vanaf dat moment verstuurt Microsoft alleen nog beperkte pseudonieme security-gegevens naar de VS. Deze doorgifte is noodzakelijk voor Microsoft om wereldwijd securitybedreigingen te herkennen en op te lossen.

De DPIA concludeert dat er geen hoge risico’s zijn als organisaties Teams, OneDrive en SharePoint gebruiken voor de uitwisseling en opslag van ‘gewone’ of openbare persoonsgegevens, gezien de uiterst kleine kans dat de gegevens in leesbare vorm kunnen worden ingezien of opgevraagd. Maar als instellingen de clouddiensten willen gebruiken om heel gevoelige of bijzondere persoonsgegevens te verwerken, moeten ze de persoonsgegevens versleutelen met een eigen sleutel, waar ook Microsoft onder overheidsdwang niet bij kan. Dat heet End-to-End-Encryptie (E2EE). Microsoft heeft een dienst Double Key Encryption die het mogelijk maakt om bestanden met dit soort uiterst privacygevoelige gegevens op deze manier te versleuteld op te slaan in OneDrive. Privacy Company heeft hierover een openbaar rapport geschreven in opdracht van het Nationaal Bureau voor Verbindingsbeveiliging van de AIVD. Zie: https://slmmicrosoftrijk.nl/?smd_process_download=1&download_id=2726.  Microsoft biedt die versleuteling nog niet aan voor alle videogesprekken in Teams. Microsoft biedt op dit moment alleen E2EE aan voor spontane 1-op-1 gesprekken. Microsoft heeft wel toegezegd om E2EE te gaan ondersteunen voor alle geplande Teams-gesprekken met meerdere personen, maar nog geen deadline genoemd.

Data Transfer Impact Assessment (DTIA)

Per soort persoonsgegevens die Microsoft verwerkt via de drie clouddiensten zijn de risico’s op oneigenlijke verdere verwerking in kaart gebracht in een DTIA, een Data Transfer Impact Assessment. De DTIA bestaat uit 7 tabbladen met een berekening van de kansen dat de gegevens op grond van toepasselijke wetgeving worden ingezien of opgevraagd door de Amerikaanse opsporings- en inlichtingendiensten.

1. Live inhoudelijke gegevens (alleen Teams)
2. Opgeslagen inhoudelijke gegevens (Teams, OneDrive, SharePoint)
3. Diagnostische gegevens (telemetrie) (Teams, OneDrive, SharePoint)
4. Diagnostische gegevens (service logs) (Teams, OneDrive, SharePoint)
5. Support gegevens (Teams, OneDrive, SharePoint)
6. Security gegevens (VS) (Teams, OneDrive, SharePoint)
7. Account gegevens (Azure AD)

De DTIA is gebaseerd op een openbaar model van de Zwitserse advocaat David Rosenthal, en aangepast door Privacy Company. Deze Excel wordt binnenkort gepubliceerd door SLM Rijk, zodat andere organisaties de DTIA kunnen hergebruiken.

 

Verder lezen

De eerdere DPIA’s en verificatie-onderzoeken van Privacy Company op de verschillende Microsoft diensten zijn gepubliceerd op https://slmmicrosoftrijk.nl/downloads-dpias/

Samenvattingen van de eerdere DPIA’s in blogs van Privacy Company:

• Onderzoek MS Office 365 Web & apps: Microsoft belooft maatregelen om 6 hoge privacyrisico’s te verlagen (2020)
• Verbeterde privacyvoorwaarden Microsoft Office voor alle organisaties (2019)
• Nieuwe DPIA’s zakelijke Microsoft Office en Windows software: nog steeds privacyrisico’s (korte blog, 2019)
• DPIA toont privacyrisico’s zakelijke Microsoft Office software (2018)