Redactie - 31 juli 2019

DPIA Microsoft Office online apps en Windows Enterprise hebben privacy risico

Een rapport van Privacy Company, ondersteund door het Nederlandse ministerie van Justitie en Veiligheid, waarschuwt overheidsinstellingen om Office Online of mobiele applicaties van Microsoft niet te gebruiken vanwege mogelijke beveiligings- en privacyrisico's. In opdracht van het Ministerie van Justitie en Veiligheid heeft Privacy Company onderzoek gedaan naar de privacyrisico’s van Microsoft Windows 10 Enterprise, Office 365 ProPlus en Office Online + de mobiele Office apps.

Met toestemming van het Ministerie publiceert Privacy Company blogs over zijn bevindingen in deze onderstaande lange blog en in een korte blog.

Resultaten onderhandelingen Rijksoverheid met Microsoft

SLM Microsoft Rijk heeft begin mei 2019 nieuwe privacyvoorwaarden gesloten met Microsoft voor de 300.000 digitale werkplekken van de Rijksoverheid. Het gaat om de grootzakelijke versies van de Office en de Windows 10 software die in gebruik zijn bij de ministeries, de Belastingdienst, de politie, de rechtspraak en zelfstandige bestuursorganen. Uit drie nieuwe DPIA’s (gegevensbeschermingseffectbeoordelingen) die Privacy Company heeft uitgevoerd voor de Rijksoverheid blijkt dat Microsoft door een combinatie van technische, organisatorische en contractuele maatregelen de acht eerder geconstateerde privacyrisico’s heeft verholpen voor Office 365 ProPlus. Zie de eerdere blog over deze risico’s. In een recente brief aan de Kamer staan de resultaten opgesomd van de onderhandelingen die SLM Microsoft Rijk heeft gevoerd met Microsoft: Microsoft treedt alleen nog op als verwerker voor al haar online diensten, verwerkt de persoonsgegevens nog maar voor drie doelen, verwerkt de gebruiksgegevens niet voor profiling, data analytics, marktonderzoek of advertenties, en geeft effectieve auditrechten aan de Rijksoverheid.

Maar de nieuwe privacyvoorwaarden voor het Rijk zijn nog niet van toepassing op de gegevensverwerking via Windows 10 Enterprise en op de mobiele Office apps. Bovendien zijn bepaalde technische verbeteringen die Microsoft heeft doorgevoerd in Office 365 ProPlus, (nog) niet beschikbaar in Office Online. Vanuit tenminste drie van de mobiele apps op iOS gaat verkeer over het gebruik van de apps naar een Amerikaans marketingbedrijf dat gespecialiseerd is in predictive profiling. Het Rijk blijft wel in onderhandeling met Microsoft om ook Windows en de mobiele apps onder de reikwijdte te brengen van de nieuwe privacyvoorwaarden en dezelfde technische verbeteringen door te voeren voor Office Online.

SLM Rijk adviseert de overheidsinstellingen daarom voorlopig af te zien van het gebruik van Office Online en de mobiele Office apps, en te kiezen voor het laagste mogelijke niveau van gegevensverzameling in Windows 10, namelijk: Security (Beveiliging).

Voor bedrijven en organisaties buiten de Rijksoverheid geldt dat zij zelf wel een aantal maatregelen kunnen treffen (zie de opsomming onderaan deze blog) maar dat alleen Microsoft in staat is om de hoge privacyrisico’s weg te nemen. Daarom zouden deze organisaties vergelijkbare privacygaranties als het Rijk moeten bedingen, bij voorkeur via een koepel of vakorganisatie. Het kan geen kwaad om daarbij te wijzen op het lopende onderzoek van de European Data Protection Supervisor naar de contractvoorwaarden die Microsoft aanbiedt aan de Europese instellingen. Los daarvan kunnen organisaties ook een eigen DPIA uitvoeren, gebaseerd op de rapporten van het Rijk, en de restrisico’s voorleggen aan de Autoriteit Persoonsgegevens, zoals bedoeld in artikel 36 van de AVG.

Gegevensverzameling via de software en op Microsofts eigen servers

Microsoft Office kan op drie manieren worden gebruikt: geïnstalleerd op de computers en laptops van gebruikers (Office 365 ProPlus), geïnstalleerd op smartphones en tablets (mobiele Office apps voor iOS en Android) en in de vorm van online applicaties die in de browser draaien (Office Online). Vanuit alle drie de soorten Office hebben gebruikers toegang tot online microdiensten zoals de spellingchecker, vertaalmodule of de mogelijkheid om plaatjes van internet in te voegen. Dit zijn de zogenaamde Connected Experiences.

Bijna alle overheidsorganisaties gebruiken de Office software in combinatie met Windows 10 als besturingssysteem. Veel overheidsorganisaties maken ook gebruik van de clouddiensten van Microsoft: SharePoint Online en OneDrive for Business, en soms ook van de online mailserver, Exchange Online. Daarbij is gebruik van de Azure Active Directory dienst verplicht (voor de authenticatie van de professionele accounts).

Via haar software en besturingssysteem verzamelt en bewaart Microsoft op grote schaal persoonsgegevens over het gedrag van gebruikers, zogenaamde diagnostische gegevens. Microsoft verzamelt die gegevens op verschillende manieren: via systeem-gegenereerde logboeken van gebeurtenissen op haar eigen servers en via de zogenaamde telemetrie-client in Windows 10, in Office 365 ProPlus en in de mobiele Office apps. Die telemetrie-clients verzamelen systematisch diagnostische gegevens op het apparaat van de gebruiker en versturen die berichten regelmatig naar Microsoft’s servers in de Verenigde Staten.

De DPIA’s gaan over de risico’s voor betrokkenen van de verwerking van deze diagnostische gegevens en dus niet over de inhoudelijke gegevens die gebruikers door Microsoft laten verwerken, zoals tekst, foto’s en video’s. De diagnostische gegevens zijn ook anders dan de functionele gegevens die Microsoft (tijdelijk) moet verwerken om gebruikers in staat te stellen om gebruik te maken via internet van de online diensten van Microsoft.

Nieuwe privacyvoorwaarden Rijksoverheid

SLM Microsoft Rijk heeft contractuele privacygaranties bedongen bij Microsoft voor alle Online Diensten en voor Office 365 ProPlus. Microsoft erkent in de nieuwe overeenkomst met de Rijksoverheid dat zij alleen als verwerker mag optreden voor de gegevens die zij krijgt over het gebruik van Office 365 ProPlus, de meeste Connected Experiences en de clouddiensten, en dat deze gegevens persoonsgegevens zijn. Microsoft mag de gegevens alleen nog voor drie toegestane doelen verwerken, en alleen als dat proportioneel is. Deze doelen zijn: (1) het technisch aanbieden en verbeteren van de dienst, (2) de dienst up to date houden en (3) beveiligd. Voorheen verwerkte Microsoft de gegevens voor acht doelen, inclusief de doelen die zij zelf verenigbaar achtte.

Deze strikte doelbinding geldt zowel voor de inhoudelijke gegevens (Customer Data) als voor alle soorten diagnostische gegevens, inclusief de systeem-gegeneerde logboeken van gebeurtenissen op de eigen servers van Microsoft. Microsoft heeft aanvullend gegarandeerd dat zij beide soorten gegevens nooit zal gebruiken voor profilering, data analytics, marktonderzoek of adverteren, tenzij de klant er expliciet om vraagt. Hierbij is specifiek een verbod opgenomen in de overeenkomst op het gebruik van diagnostische gegevens om ‘aanbevelingen’ te tonen over producten van Microsoft die de klant niet heeft gekocht of niet gebruikt.

De Rijksoverheid heeft effectieve auditrechten bedongen, en heeft zich er ook aan gecommitteerd om een onafhankelijke auditor een jaarlijkse audit uit te laten voeren om de naleving te controleren van deze maatregelen en afspraken. SLM Microsoft Rijk zal een samenvatting van de bevindingen publiceren.

Getroffen maatregelen Microsoft Office 365 ProPlus

Microsoft heeft in de afgelopen zes maanden, na de publicatie van de eerste DPIA op Office 365 ProPlus, een groot aantal technische en organisatorische maatregelen doorgevoerd om de geconstateerde privacyrisico’s voor Office 365 ProPlus wereldwijd teverlagen.

Sinds mei 2019 publiceert Microsoft uitgebreide documentatie over de diagnostische gegevens over het gebruik van Office ProPlus. Microsoft heeft haar bestaande Data Viewer Tool voor Windows 10 aangepast om ook de Office 365 ProPlus telemetriegegevens te tonen. Hierdoor kunnen betrokkenen de Office ProPlus gegevens bekijken die Microsoft van hun apparaat verzamelt.

Microsoft biedt sinds mei 2019 een groot aantal veelgebruikte en onmisbare Connected Experiences zoals de spellingchecker, de vertaalmodule en de Office helpfunctie aan als verwerker, en niet meer als verantwoordelijke). Er zijn 14 Connected Experiences waarvoor Microsoft verantwoordelijke blijft (de additional Connected Experiences), maar Microsoft stelt systeembeheerders van Office ProPlus in staat om het gebruik van deze Controller Connected Experiences centraal uit te zetten. Het centraal uitzetten van deze diensten voorkomt het risico dat Microsoft de werknemers om toestemming vraagt voor het verzamelen van gegevens over het gebruik van deze diensten, terwijl toestemming geen geldige grondslag is voor deze gegevensverwerking.

Sinds Office 365 ProPlus versie 1904, zoals die door Microsoft ter beschikking wordt gesteld sinds 29 april 2019, heeft Microsoft een keuzemogelijkheid ingebouwd voor systeembeheerders om het telemetrieniveau te minimaliseren. Microsoft biedt drie mogelijkheden: Required (noodzakelijk), Optional (optioneel) en Neither (geen van beide).

Uit het technische onderzoek voor deze DPIA, beperkt tot de niveaus Required en Neither, blijkt dat Microsoft een beperkt aantal telemetrieberichten verzamelt over het gebruik van de (nieuwe versies van de) Office ProPlus software. Zowel op het niveau Required als het niveau Neither bevatten de gegevens geen inhoud uit bestanden, e-mails of conversaties, en geen direct identificerende gegevens zoals gebruikersnamen of e-mailadressen. De berichten die betrekking hebben op de Processor (verwerker) Connected Experiences zoals de spellingchecker en de vertaalmodule bevatten ook geen fragmenten van de inhoud.

Sommige berichten op het niveau Required bevatten wel gevoeligere informatie, zoals het exacte aantal pagina’s, alinea’s, regels, woorden, karakters, spaties, plaatjes en citaten in een Word bestand.

Er lijkt verder weinig verschil te bestaan tussen de twee telemetrieniveaus, ondanks de uitleg van Microsoft dat er bij keuze voor Neither géén diagnostische gegevens over het gebruik van de geïnstalleerde software naar Microsoft worden verstuurd.

Microsoft heeft in reactie op de bevindingen aangegeven dat zij los van de telemetriekeuzeknop altijd twee andere soorten diagnostische gegevens verzamelt via Office ProPlus, namelijk gegevens over het gebruik van de Connected Experiences en gegevens over wat Microsoft noemt Essential Services (zoals authenticatie en het controleren van de licentie). De informatie over deze verwerkingen schiet tekort.

Het rapport concludeert: “Als de systeembeheerders van de overheidsorganisaties de adviezen opvolgen uit deze DPIA, dan zijn er, dankzij de technische en contractuele maatregelen, geen bekende hoge dataprotectierisico’s meer voor betrokkenen met betrekking tot de verzameling van gegevens over het gebruik van Microsoft Office 365 ProPlus.”

Resultaten DPIA Office Online en de mobiele Office apps

Microsoft heeft deze verbeteringen nog niet doorgevoerd in Office Online en de mobiele Office apps, terwijl de maatregelen ook (nog) niet gelden voor de mobiele Office apps.

Microsoft heeft nog geen technische opt-outmogelijkheidgemaakt om het gebruik van de Controller Connected Experiences te verbieden in Office Online en de mobiele Office apps. Microsoft heeft ook geen informatie gepubliceerdover de diagnostische gegevens uit de mobiele Office apps of Office Online, en biedt beheerders in deze softwareversies geen keuze om de gegevensstroom te minimaliseren.

Microsoft kwalificeert zichzelf als een verantwoordelijke voor de mobiele Office apps. Dat betekent dat de contractuele verbeteringen die SLM Microsoft Rijk met Microsoft heeft onderhandeld, niet van toepassing zijn, ondanks Microsoft’s garantie dat alle privacygaranties effectief van toepassing zijn op alle gegevens die zij verwerkt over gebruikers die zijn ingelogd met hun Azure Active Directory account.

Hoewel uit de technische analyse van het dataverkeer van Office Online en de mobiele apps blijkt dat Microsoft niet veel diagnostische gegevens verzamelt, en geen inhoudelijke gegevens uit de inhoud van bestanden, e-mails of chats, verzendt Microsoft via tenminste drie van de apps op iOS (Word, Excel en PowerPoint) wel diagnostische gegevens naar een marketingbedrijf uit de Verenigde Staten. Deze verwerking vindtplaats zonder dat de gebruiker dit weet, zonder enige informatie over de aanwezigheid of doelen van deze verwerking. Hoewel het gegeven op zich niet gevoelig is dat een unieke medewerker op een specifiek tijdstip met een specifieke applicatie heeft gewerkt, wordt deze overgedragen naar een bedrijf in de Verenigde Staten dat niet gebonden is aan de privacygaranties die Microsoft informatie wel geeft. Het bedrijf is gespecialiseerd in het opstellen van voorspellende profielen over individuen voor commerciële doelen, predictive profiling.

Het rapport concludeert: “Op dit moment zorgt de verwerking van diagnostische gegevens over het gebruik van de mobiele Office apps en de Controller Connected Experiences voor vijf hoge dataprotectierisico’s. Alleen Microsoft kan deze risico’s effectief wegnemen. SLM Microsoft Rijk adviseert de overheidsorganisaties om beleid op te stellen voor werknemers om Office Online en de mobiele Office apps tijdelijk niet te gebruiken. SLM Microsoft Rijk zet haar onderhandelingen met Microsoft voort om ervoor te zorgen dat Microsoft de onderhandelde verbeteringen doorzet voor alle diensten die inbegrepen zijn bij de Office 365 licentie.”

Resultaten DPIA Windows 10 Enterprise

Microsoft beschouwt zichzelf (net als bij de mobiele Office apps) als (onafhankelijke) verwerkingsverantwoordelijke voor de gegevensverwerking via Windows 10 Enterprise. Daardoor valt de verwerking van diagnostische gegevens over het gebruik van het besturingssysteem niet onder de nieuwe privacygaranties voor het Rijk.

In haar technische documentatie noemt Microsoft specifieke doelen voor de verwerking van diagnostische gegevens over het individuele gebruik van de Windows 10 software. Maar deze informatie is niet juridisch bindend. Op grond van de overeenkomst met afnemers kan Microsoft de diagnostische gegevens verwerken voor bijna alle, zeer algemene, doelen uit haar algemene privacyverklaring. De 16 relevante doelen behelzen onder meer het gebruik van persoonsgegevens voor gepersonaliseerde advertenties in Windows 10 en in apps, om commerciële aanbiedingen te doen, en om de contactgegevens van klanten te gebruiken voor wervingsdoelen via email, SMS, post en telefoon.

De verwerking van de diagnostische gegevens voor zoveel brede en onafgebakende doelen is in strijd met het doelbindingsbeginsel. Bovendien ontbreekt in de meeste gevallen een grondslag voor de verwerking van de diagnostische gegevens voor deze doelen. Als (enige of gezamenlijke) verantwoordelijke kan Microsoft geen geslaagd beroep doen op toestemming van werknemers als bedoeld in de AVG in verband met de afhankelijke positie van werknemers, terwijl toestemming wel vereist is op grond van artikel 11.7a van de Telecommunicatiewet voor het ophalen van gegevens via internet via de ingebouwde software als die verwerking niet strikt noodzakelijk is.

Organisaties kunnen het risico op onrechtmatige verwerking wegnemen door te kiezen voor het telemetrieniveau Security. Uit de technische analyse van het telemetriegegevensverkeer blijkt dat Microsoft heel weinig persoonsgegevens verwerkt als de telemetrie is ingesteld op dit laagste niveau, en geen persoonsgegevens van gevoelige aard. Het rapport concludeert dat als de telemetrie is ingesteld op Security (of het telemetrieverkeer geblokkeerd), en als de beheerders centraal het gebruik verbieden van de cloud synchronisatiefunctionaliteit via Windows tijdlijn, er géén hoge dataprotectierisico’szijn.

SLM Rijk levert significante inhoudelijke input aan Microsoft voor het ontwerp van een structurele oplossing voor Windows 10 Enterprise klanten voor versie 1809 en latere versies. Microsoft geeft aan dat deze oplossing overheidsorganisaties in staat zal stellen om de AVG op een makkelijkere manier na te leven bij het gebruik van telemetrieniveaus Basis en hoger. Aan deze oplossing wordt gewerkt. Microsoft verwacht later dit jaar een aankondiging hierover te kunnen doen.

Zelf privacybeschermende maatregelen nemen

Alle beheerders van de zakelijke Office en Windows software kunnen een aantal concrete maatregelen treffen om de privacyrisico’s voor werknemers en andere betrokkenen te verkleinen:

·      Upgrade naar versie 1905 of hoger van Office 365 ProPlus en zet de telemetrie op het niveau ‘Neither’

·       Maak gebruik van de technische mogelijkheid om het gebruik van de Controller Connected Experiences te verbieden in Office 365 ProPlus (disable additional Connected Experiences)

·       Schakel het Customer Experience Improvement Programma (CEIP) in Office ProPlus uit

·       Zet LinkedIn-integratie uit voor Microsoft werknemeraccounts in Office ProPlus

·       Stel beleid op om werknemers te waarschuwen dat zij de mobiele Office apps en en de Controller Connected Experiences in Office Online niet mogen gebruiken, totdat de vijf hoge risico’s zijn gemitigeerd

·      Kies het laagste, minimumniveau voor de verzameling van diagnostische gegevens in Office Online en de mobiele apps zodra dat technisch mogelijk is

·       Actualiseer het interne privacybeleid voor omgang met de persoonsgegevens van werknemers met specifieke informatie voor welke doelen en onder welke omstandigheden de organisatie de verschillende soorten diagnostische gegevens uit Microsofts verschillende diensten en producten mag bekijken

·       Voer DPIA’s uit voorafgaand aan het gebruik van Workplace Analytics and Activity Reports in het Microsoft 365 admin center en voordat werknemers gebruik kunnen maken van MyAnalytics and Delve

·      Overweeg het gebruik van Customer Lockbox en Customer Key, afhankelijk van de gevoeligheid van de inhoudelijke gegevens

·       Upgrade naar versie 1903 van Windows 10 Enterprise om Intune te kunnen gebruiken in combinatie met de telemetrie op Security

·       Zet het telemetrieniveau in Windows 10 Enterprise op Security (Beveiliging), of blokkeer het telemetrieverkeer en sta gebruikers niet toe om hun activiteiten te synchroniseren via de Tijdlijn functionaliteit;

·      Hou rekening met wijzigingen in de geldigheid van doorgifte instrumenten na toekomstige jurisprudentie van het Europees Hof van Justitie. Het is aan het Europees Hof van Justitie om de risico’s in te schatten van massasurveillance in de Verenigde Staten en aan de Europese wetgever om de resterende risico’s te verlagen van doorgifte van diagnostische gegevens vanuit de EU naar de VS.

Het hoe en waarom van deze aanbevelingen is toegelicht in de drie afzonderlijke DPIA’svoor SLM Microsoft Rijk. Zie ook de uitgebreide Nederlandse samenvattingen van de rapporten over Office 365 ProPlusOffice Online+de mobiele apps en Windows 10 Enterprise.

Privacy Company publiceert ook een korte blog over deze drie rapporten.

Axians 12/11/2024 t/m 26/11/2024 BN+BW