Microsoft heeft wijzigingen aangekondigd in haar privacybepalingen in online services, na bezorgdheid van de Nederlandse overheid over de openbaarmaking van de manier waarop zij met klantgegevens omgaat. Het bedrijf zei dat het na feedback van het Nederlandse ministerie van Justitie en Veiligheid de veranderingen wereldwijd zal doorvoeren voor commerciële cloudklanten van Microsoft.
Uit een studie die vorig jaar in opdracht van de Nederlandse overheid is uitgevoerd, is gebleken dat Microsoft de algemene verordening gegevensbescherming van de EU schendt, omdat het niet volledig heeft onthuld hoe het gegevens verzamelt over gebruikers van cloudproducten zoals Office en dit voor verwerking naar de VS verzendt. Het bedrijf stemde ermee in om de problemen te verhelpen en zich te onderwerpen aan audits van haar privacypraktijken. Nieuwe tools voor klanten om te bepalen welke gegevens Microsoft verzamelt, werden in april geïntroduceerd.
EU neemt conclusies over
De Europese Toezichthouder voor gegevensbescherming startte ook een onderzoek in april nadat hij constateerde dat EU-instellingen die Microsoft-services gebruiken mogelijk met vergelijkbare problemen kampen. De EDPS zei dat de met de Nederlandse overheid overeengekomen oplossingen moeten worden uitgebreid tot alle Microsoft-gebruikers.
Microsoft heeft nu ingestemd om dit te doen en zegt dat de wijzigingen van toepassing zullen zijn op alle klanten, zowel in de private als de publieke sector, kleine of grote organisaties over de hele wereld. De belangrijkste wijziging in het beleid van Microsoft maakt duidelijk dat het ook klantgegevens kan verzamelen en verwerken "voor specifieke administratieve en operationele doeleinden" in zijn clouddiensten zoals Azure, Office 365, Dynamics en Intune. Deze gegevensverwerking dient doeleinden zoals accountbeheer, financiële rapportage, het bestrijden van cyberaanvallen op Microsoft-producten of -diensten en het voldoen aan wettelijke verplichtingen, aldus het bedrijf.
Daarmee is Microsoft dus verantwoordelijk als gegevensverwerker onder de AVG, ook voor dit soort gegevens. Daarom moet het gebruikers beter informeren en meer controle geven. De veranderingen worden momenteel doorgevoerd en zouden vanaf begin 2020 op grote schaal beschikbaar moeten zijn.
