Microsoft verzamelt en verwerkt persoonsgegevens van ambtenaren in strijd met de wet, bleek uit een Data Protection Impact Assessment dat het ministerie van Justitie en Veiligheid had laten uitvoeren op Office. Geen goed nieuws, aangezien het gaat om een van de meest gebruikte kantoorsoftwarepakketten. Wat gaat er mis en kunnen we hier iets van leren?

300.000 accounts
Softwarebedrijf Microsoft levert een van de meest populaire en veelgebruikte besturingssystemen en office softwarepakketten. Miljoenen Nederlanders werken er dagelijks met Windows en programma’s als Word, PowerPoint, Outlook en Excel. Deze laatste vier behoren tot het pakket Microsoft Office. Bij de overheid werken ongeveer 300.000 met software van Microsoft. Het gaat om mensen die werkzaam zijn bij onder andere de ministeries, de politie, de rechtspraak en de Belastingdienst. Zij werken vaak met gevoelige gegevens.

Het Strategisch Leveranciers Management Microsoft Rijk, het aanspreekpunt voor Microsoft binnen de Rijksoverheid, gevestigd binnen het ministerie van Justitie en Veiligheid, heeft een Data Protection Impact Assessment (DPIA) laten uitvoeren op de producten en diensten van Microsoft. Het uitvoeren van een DPIA is verplicht wanneer verwerkingen waarschijnlijk een hoog privacyrisico opleveren voor betrokkenen. Gezien de grote schaal waarop er met Office gewerkt wordt binnen de overheid en de gevoeligheid van de gegevens kunnen we daarvan spreken.

Verkeerde aannames bij Microsoft
In de DPIA wordt het verwerken van persoonsgegevens door Microsoft Office ProPlus binnen de Rijksoverheid onderzocht. Bij de overheid draait deze software veelal op het Windows 10 Enterprise besturingssysteem. Het onderzoek richt zich met name tot telemetriegegevens. Dit zijn gegevens die op afstand worden verzameld en informatie kunnen bevatten over het gebruik van apparaten, de hardware die hierop aangesloten is en de geïnstalleerde software. Wanneer een gebruiker via de browser Edge op internet surft worden deze gegevens ook verzameld. Een client in Windows 10 Enterprise verzamelt telemetriegegevens en verzendt deze regelmatig naar de servers van Microsoft. Microsoft doet dit voor diverse doeleinden, waaronder beveiliging, het kunnen leveren van updates, het verbeteren van producten en diensten en het kunnen tonen van gepersonaliseerde advertenties.

Uit de DPIA kwamen twee opvallende aannames naar voren:

  • Microsoft was van mening dat telemetriegegevens geen persoonsgegevens zijn;
  • Microsoft beschouwde zichzelf als verwerker en niet als verantwoordelijke

Klopt dit of had Microsoft haar huiswerk beter moeten doen? En wat ging er verder mis dat voor onnodig hoge privacyriscio’s heeft gezorgd?

Zijn telemetriegegevens persoonsgegevens?
Bevatten telemetriegegevens persoonsgegevens? Microsoft stelt zelf dat de meeste telemetriegegevens geen betrekking hebben op personen, maar op (technische aspecten van) het besturingssysteem. Gegevens die niet direct betrekking hebben op een bepaalde persoon, kunnen echter toch persoonsgegevens zijn als het mogelijk is om ze te combineren met andere gegevens, waardoor ze alsnog informatie over een persoon verschaffen. De gegevens die Microsoft verzamelt bevatten informatie over welke apparatuur een persoon gebruikt, hoe lang, welke apps er gebruikt worden en in sommige gevallen ook gegevens over het surfgedrag. Microsoft kan dit koppelen met andere gegevens, zoals contactgegevens van het gebruikersaccount en IP-adressen. Volgens de Autoriteit Persoonsgegevens zijn alle gegevens die Microsoft van en over gebruikers verzamelt persoonsgegevens – de telemetriegegevens dus ook. Ook onderwerpregels van e-mails of zinnen die in Word getypt zijn kunnen worden opgeslagen, doordat er bijvoorbeeld een spellingchecker of vertaalmachine overheen is gegaan. Deze informatie kan gevoelige persoonsgegevens bevatten.

Verwerker of toch verantwoordelijke?
Een verwerker verwerkt persoonsgegevens in opdracht van een verwerkingsverantwoordelijke. De verantwoordelijke bepaalt het doel en de middelen. Het is nog verdedigbaar dat Microsoft gegevens in het kader van de beveiliging, updates en het oplossen van problemen verwerkt als verwerker, maar als het gaat om het verbeteren van producten en diensten en het tonen van gepersonaliseerde advertenties is Microsoft toch echt verantwoordelijke. Microsoft bepaalt daarbij namelijk zelf het doel en de middelen en bijvoorbeeld ook de bewaartermijnen van de gegevens. Overigens wordt de overheid in de DPIA aangemerkt als medeverantwoordelijke, omdat werknemers niet de keuze kunnen maken om met andere softwarepakketten te werken en op die manier dus gebonden zijn aan Microsoft Windows en Office.

Geen wettelijke grondslag
Het verwerken van persoonsgegevens mag alleen voor van tevoren gespecificeerde doeleinden en met een wettelijke grondslag. Bij Microsoft gaat het bij alle twee mis. Microsoft verschaft gebruikers geen duidelijke informatie over de gegevens die verzameld worden en waarvoor. Ja, het gaat om informatie over 23.000 verschillende events, maar welke dit precies zijn is onduidelijk. Daarnaast is onduidelijk welke gegevens Microsoft voor welke doeleinden gebruikt, alles lijkt op een grote hoop te worden gegooid. Hier en daar hebben gebruikers de mogelijkheid om het verzamelen van gegevens uit te zetten, maar met een opt-out verkrijg je geen rechtsgeldige toestemming. Die verkrijg je evenmin als je onduidelijke, onvolledige informatie verstrekt waarvan geen mens begrijpt wat je er eigenlijk mee bedoelt.

Een andere grondslag kan zijn dat het verzamelen van de gegevens noodzakelijk is voor de uitvoering van een contract. Sommige gegevens die Microsoft verzamelt zullen noodzakelijk zijn, maar zeker niet allemaal. Deze vlieger gaat dus ook niet op. De gegevens zijn evenmin noodzakelijk om te kunnen voldoen aan een wettelijke plicht, een vitaal belang of de uitoefening van openbaar gezag. Blijft over de gerechtvaardigde belangen van Microsoft. Als het gaat om de verzameling van gegevens voor de beveiliging, software updates of het verhelpen van technische fouten kan Microsoft zich inderdaad op deze grondslag beroepen. Voor de andere doeleinden (het verbeteren van producten of diensten en gepersonaliseerde reclame tonen aan gebruikers) geldt dit waarschijnlijk niet. Microsoft zal dan met duidelijke, transparante documentatie moeten komen, waarna verder onderzoek gedaan kan worden. Zoals de situatie nu is, kan het in elk geval niet. Voor de overheid geldt dat de genoemde grondslagen evenmin te rechtvaardigen zijn. Daardoor ontbreekt momenteel een wettelijke grondslag voor de verwerking van persoonsgegevens.

Persoonsgegevens in de VS
Microsoft slaat een klein deel van de verzamelde gegevens op binnen de Europese Unie. Veel data, waaronder telemetriegegevens (die persoonsgegevens blijken te zijn), worden opgeslagen op locaties over de hele wereld. Persoonsgegevens mogen verwerkt worden in landen die een adequaat beschermingsniveau kunnen bieden, maar het is onbekend in hoeverre dat nu het geval is. In de meeste landen is het beschermingsniveau namelijk lager dan in de Europese Economische Ruimte (de Europese Unie plus Noorwegen, Liechtenstein en IJsland, waar de AVG ook geldt). Wel is bekend dat persoonsgegevens uit Office 365 ProPlus in de Verenigde Staten worden opgeslagen en geanalyseerd. Microsoft beroept zich hierbij op het Privacy Shield. Op dit moment vormt het Privacy Shield een wettelijke basis hiervoor, maar voor hoe lang is de vraag. Het Europese Hof van Justitie zal binnenkort uitspraak doen over de geldigheid van het Privacy Shield. Mocht het ongeldig verklaard worden, dan zal Microsoft een andere oplossing moeten bedenken. Microsoft werkt op dit moment ook nog met Standard Contractual Clausules, maar deze zijn helaas niet van toepassing op de gegevens die via Office 365 ProPlus worden verzameld. De onlangs in de Verenigde Staten aangenomen CLOUD Act kan voor extra risico’s zorgen. De aanwezigheid van een wettelijke basis voor het opslaan en verwerken van gegevens buiten de EER is dus iets waar Microsoft op moet blijven letten.

Verbeteringen op komst
Uit de DPIA blijkt dat er nog een en ander misgaat bij de verwerking van persoonsgegevens door Microsoft. Wat ik hierboven heb omschreven is slechts een samenvatting; voor alle details verwijs ik naar het onderzoek zelf.  Op 26 oktober is er overeenstemming bereikt over een verbeterplan van Microsoft. Zo heeft de softwaregigant toegezegd dat er documentatie over de telemetriegegevens in Office gepubliceerd zal worden, dat er nieuwe instellingen mogelijk gemaakt zullen worden en dat er een data viewer tool zal komen. Het is de bedoeling dat de producten van Microsoft in april 2019 voldoen aan de geldende regelgeving, waaronder de AVG en de e-privacyrichtlijn, in Nederland geïmplementeerd in de Telecommunicatiewet. Wordt vervolgd dus. Tot die tijd wordt de overheid aangeraden om maatregelen te nemen om het verwerken van telemetriegegevens zoveel mogelijk te minimaliseren en om het doorsturen van persoonsgegevens naar de Verenigde Staten te blokkeren. Als het Microsoft niet lukt om de mankementen tijdig of fatsoenlijk te herstellen, riskeren ze een boete.

Eerdere overtredingen hersteld
In oktober 2017 concludeerde de Autoriteit Persoonsgegevens al dat Microsoft via Windows Home en Pro persoonsgegevens verzamelde in strijd met de wet. In Nederland zijn er meer dan vier miljoen apparaten die op deze besturingssystemen draaien. Microsoft biedt bij het verwerken van telemetriegegevens in Windows Home en Pro twee instellingen: standaard en volledig. Als je standaard kiest, worden beperkte gegevens over het gebruik van het apparaat verwerkt. By default stond de instelling echter op volledig, waarbij er naast gegevens over het gebruik van het apparaat gedetailleerde gegevens over het appgebruik en surfgedrag via de browser Edge en (delen van) de inhoud van de met een elektronische pen geschreven documenten worden verwerkt. Microsoft was ook hier niet transparant over de manier waarop en de doeleinden waarvoor zij deze gegevens verwerkten en daardoor was het niet mogelijk om op wettelijke wijze toestemming van gebruikers te verkrijgen. Impliciete toestemming door de default instelling die Microsoft aanbiedt niet te wijzigen is onvoldoende.

In april 2018 heeft Microsoft deze overtredingen hersteld. Gebruikers worden nu beter geïnformeerd over de gegevens die Microsoft verzamelt en voor welke doeleinden en zij kunnen op een duidelijke, actieve wijze kiezen welke privacy-instellingen zij willen. Het ligt in de lijn der verwachtingen dat Microsoft ook nu serieus aan de slag zal gaan met de uitkomst van de DPIA.

Voorkomen is beter dan genezen
Microsoft is een bedrijf dat iedereen kent. Negatieve nieuwsberichten kunnen dan een grote impact maken en ervoor zorgen dat bestaande en potentiele klanten op zoek gaan naar alternatieven, uit angst dat hun privacy geschonden wordt. Hoe kan jij als organisatie voorkomen dat je in net zo’n debacle verzeild raakt als Microsoft? Stel jezelf in elk geval de volgende vragen:

  • Welke gegevens verwerk je? Zijn dit persoonsgegevens?
  • Ben je verwerker of verantwoordelijke?
  • Heb je duidelijk vastgesteld welke gegevens je voor welke doeleinden wil verwerken?
  • Kan je een wettelijke grondslag koppelen aan elk van deze doeleinden?
  • Als je gebruik maakt van toestemming, vraag je dit dan op de juiste manier aan betrokkenen?
  • Communiceer je transparant en begrijpelijk richting de betrokkenen over de gegevens die je verwerkt en waarom?
  • Verwerk je gegevens buiten de EER? Zo ja, heb je maatregelen genomen om dit op een rechtsgeldige manier te doen?
  • Als je software ontwikkelt, heb je gewerkt volgens de principes van Privacy by Design en Privacy by Default? Kan je hier nog verbeteringen in aanbrengen?

Voor alle bovenstaande punten geldt dat als je er niet uitkomt, je er verstandig aan doet om de hulp van een expert op het gebied van privacy in te schakelen. Bovendien geldt: voorkomen is beter en makkelijker dan genezen. Neem gerust contact met ons op als je vragen hebt!

Bron: Rijksoverheid.nl