Het Microsoft Office 365 Data Privacy Impact Assessment

In opdracht van het Ministerie van Veiligheid en Justitie is eind vorig jaar een Data Privacy Impact Assessment (DPIA) uitgevoerd uit op Microsoft Office. Een DPIA is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Gertjan Jongeneel bespreekt in deze blog de uitkomst van dit onderzoek en de vervolgstappen.

Door Gertjan Jongeneel, Senior Solutions Architect – 10 april 2019

 Leestijd: 3.45 minuten

Wat was de scope van de DPIA?

In de Nederlandse vertaling van de AVG wordt de term Data Privacy Impact Assessment ook wel aangeduid als gegevensbeschermings-effectbeoordeling. In dit geval betrof de DPIA het product Office ProPlus van Microsoft, waaronder Office 365 (Click-to-run) en Office 2016 (MSI) vallen.

De uitkomsten van deze DPIA waren niet overwegend positief. Microsoft verzamelt en bewaart op grote schaal persoonsgegevens over het gedrag van individuele werknemers, zonder daarover afdoende te informeren. Het Engelstalige rapport over het onderzoek en de resultaten is hier door het ministerie gepubliceerd.

Maatregelen

Microsoft heeft gedurende het uitvoeren van deze DPIA toezeggingen gedaan om een aantal belangrijke maatregelen te treffen om de risico’s te verkleinen. In maart 2019 heeft Microsoft een aantal concrete maatregelen aangekondigd:

Wat betekenen deze maatregelen?

Een van de aankondigingen is dat er eind april een nieuwe versie (1904) van Office 365 uitkomt die een aantal nieuwe opties gaat bieden. Aanvullende informatie hierover is te vinden op de Engelstalige website Overview of privacy controls for Office 365 ProPlus. maar hieronder noemen we in ieder geval een aantal van de belangrijkste punten.

Microsoft geeft nieuwe en verbeterde mogelijkheden om privacy-gerelateerde instellingen op de volgende gebieden aan te passen:

  • Diagnostische data die verzameld en doorgestuurd wordt naar Microsoft over het gebruik van Office 365 client software op Windows computers binnen de organisatie.
  • Cloudgebaseerde functionaliteiten die extra features toevoegen aan Office. Voorbeelden hiervan zijn het gezamenlijk werken aan een document binnen OneDrive of het (laten) vertalen van een Word document naar een andere taal.

Om deze aanpassingen uit te voeren komen er nieuwe toevoegingen in de gebruikersinterface en enkele tools. Daarnaast komt er rond dezelfde tijd een aangepaste versie van de reeds bestaande ‘Diagnostic Data Viewer’ tool beschikbaar, die een verbeterd inzicht geeft in de data die door Microsoft verzameld wordt. 

Door gebruik te maken van deze opties is de hoeveelheid data richting Microsoft inzichtelijk te maken en desgewenst aanzienlijk te beperken, wat de privacy ten goede komt. Iedere organisatie die gebruik maakt van Office 365 krijgt daarmee in ieder geval veel meer mogelijkheden om zelf invloed uit te oefenen op de hoeveelheid data die uitgewisseld wordt met Microsoft.

Aandachtspunten

Houdt echter wel rekening met een aantal aandachtspunten:

  • Deze data stelt Microsoft in staat om bepaalde functionaliteiten mogelijk te maken. Zonder deze data-uitwisseling valt de desbetreffende functionaliteit weg. Je moet zelf beoordelen in hoeverre deze functionaliteit vereist, dan wel gewenst is.
  • Deze wijzigingen worden initieel doorgevoerd binnen de Office 365 client-componenten Outlook, Word, Excel, Access, OneNote, PowerPoint en Publisher. In een later stadium wordt dit uitgebreid naar additionele Office 365 software waaronder Teams, Office for Mac en alle mobiele apps. Hierover komt later meer informatie beschikbaar.
  • Het is onbekend of er ook wijzingen plaatsvinden aan de serverzijde. Zo heeft Microsoft het over Outlook als Office 365 client component, maar hoe zit het met Exchange Online als servercomponent?
  • Microsoft doet hierbij bovendien geen uitspraak over andere versies zoals Office 2016 of Office 2019.
  • Er is ook een set aan services die Microsoft essentieel acht voor de juiste werking van Office 365 ProPlus; deze zijn om die reden niet uit te zetten. Hierbij kun je denken aan de licentieservice die nagaat of er sprake is van een geldige licentie. Voor dit type services wordt nog steeds informatie verzameld en doorgestuurd naar Microsoft, ongeacht of eerder genoemde instellingen aangepast worden. Microsoft zal nog nadere informatie verstrekken welke services essentieel worden geacht en de informatie die in het kader daarvan verzameld en doorgestuurd wordt.

Advies nodig?

Met de aanpassingen die Microsoft doet in de Office-omgeving, kunnen klanten zelf voor een deel bepalen welke informatie wordt gedeeld. Wil je meer informatie of heb je behoefte aan advies? Neem dan contact met ons op door je contactgegevens achter te laten via het onderstaande formulier.

 Laat NU je gegevens achter voor meer informatie of advies

Neem contact op

Gertjan Jongeneel

Gertjan Jongeneel

Senior Solution Architect

Deel deze pagina