Het gebruik van Microsoft Office zorgt voor ‘alarmerende’ privacyrisico’s voor de Rijksoverheid. Dat schrijft Privacy Company in een blog, met instemming van het ministerie van Justitie en Veiligheid. Het bedrijf heeft in opdracht van J&V onderzoek gedaan naar de wijze waarop Microsoft gegevens vastlegt via Microsoft Office ProPlus (Office 2016 MSI en Office 365 CTR).
Deze DPIA is nu gepubliceerd. Microsoft verzamelt en bewaart op grote schaal persoonsgegevens over het gedrag van individuele werknemers, zonder daarover te informeren. De grootzakelijke versie van Office draait op ongeveer 300.000 werkplekken bij de ministeries, de Belastingdienst, de politie, de rechtspraak en zelfstandige bestuursorganen.
De overheidsdienst SLM Rijk stelt, met hulp van Microsoft, een pakket instellingen beschikbaar voor de beheerders bij de overheidsinstellingen om de uitstoot van persoonsgegevens te verkleinen (zero exhaust settings). Microsoft heeft gedurende het uitvoeren van deze DPIA toezeggingen gedaan om andere aantal belangrijke maatregelen te treffen om de risico’s te verkleinen.
Office voorzien van telemetrie
Net als in Windows 10 heeft Microsoft aparte software ingebouwd in de Office software die in de computer allerlei handelingen vastlegt die een gebruiker verricht. Microsoft verzamelt zo systematisch en op grote schaal gegevens over het individuele gebruik van Word, Excel, PowerPoint en Outlook. Dat gebeurt zonder mensen daarover te informeren en zonder invloed te geven op de instellingen.
Microsoft verstuurt deze telemetriegegevens af en toe in een batch naar haar eigen servers in de Verenigde Staten. Deze telemetrie is versleuteld. Microsoft biedt (nog) geen mogelijkheid om te kijken naar de inhoud van de diagnostische gegevensstroom. Het enige dat bekend is, is dat om 23 tot 25 duizend soorten gebeurtenissen gaat (events). En dat er 20 tot 30 teams met engineers werken met deze gegevens.
Net als bij Windows, bepaalt Microsoft ook bij Office zelf de doelen van de gegevensverwerking, en de bewaartermijn van de gegevens (30 dagen tot 18 maanden, of zoveel langer als Microsoft nodig acht).
Het blog over het onderzoek van Privacy Company is geschreven door Sjoera Nas, die is opgestapt bij de Autoriteit Persoonsgegevens (AP). De AP heeft in 2017 onderzoek gedaan naar Windows 10, met als gevolg dat Microsoft de privacy-instellingen heeft versterkt. Het AP heeft geen onderzoek gedaan naar Microsoft Office.
Beheerders moeten maatregelen nemen
Overheidsdiensten krijgen vanaf heden het advies om een eigen assessment uit te voeren en maatregelen te nemen. Het pakket ‘zero exhaust settings’ lost echter niet alle risico’s op, ook zijn niet alle voorgestelde maatregelen haalbaar voor ICT-organisaties van ministeries en andere diensten van overheden.
De afnemers van Office kunnen sowieso niet alle risico’s oplossen. Voor de contracten en de doorgifte naar de VS moet een Europese oplossing worden gezocht. SLM Rijk en Microsoft zullen de komende maanden nauw blijven overleggen. Privacy Company doet intussen vervolgonderzoek naar de inhoud van de telemetrie data.
