Overheidsinstanties kunnen van Windows 10 Enterprise en Microsoft Office Pro Plus gebruikmaken zonder dat hierbij de Algemene verordening gegevensbescherming (AVG) wordt overtreden, zo heeft minister Grapperhaus van Justitie en Veiligheid aan de Tweede Kamer laten weten.
Het ministerie van Justitie liet vorig jaar de Haagse Privacy Company een onderzoek uitvoeren naar de gegevens die Windows 10 Enterprise en Microsoft Office over gebruikers verzamelen en opslaan. Uit het onderzoek bleek dat diagnostische gegevens van en over de gebruiker werden verzameld en opgeslagen in een database in de Verenigde Staten. "Het verzamelen, opslaan en gebruik van deze gegevens is niet conform de AVG", aldus Grapperhaus.
Naar aanleiding van het onderzoek is de overheid met Microsoft in gesprek gegaan over een verbeterplan. Dit plan leidde tot een aantal aanpassingen, zoals een instellingsmogelijkheid voor beheerders om de verzamelde gegevens tot een minimum te beperken en een mogelijkheid de verzamelde gegevens te verifiëren. Microsoft heeft eind april een nieuwe versie van de software aangeboden ter verificatie. "Deze nieuwe versie van de software is getest en in orde bevonden", zo laat de minister nu weten.
Zowel in Office Pro Plus als Windows 10 Enterprise zijn de door Microsoft beloofde verbeteringen doorgevoerd. Daarnaast zijn er aanvullende afspraken gemaakt tussen de Nederlandse Staat en Microsoft om de verplichtingen van de Rijksorganisaties als verwerkingsverantwoordelijke enerzijds en die van Microsoft als verwerker anderzijds te regelen. Deze aanvullende afspraken hebben betrekking op door Microsoft aangeboden producten en diensten met online componenten, waaronder Office Pro Plus en Windows 10 Enterprise.
Zo is er in uitgebreid detail overeengekomen voor welke doelen Microsoft verzamelde gegevens mag gebruiken. Tevens is het gebruik en doorgeven van gegevens aan derden voor data-analytics, profilering, adverteren en marktonderzoek verboden, tenzij dit is toegestaan op basis van schriftelijke instructies van de Staat. Daarnaast is in detail overeengekomen hoe gegevens worden geanonimiseerd.
"Hiermee zijn de in de DPIA genoemde risico's in voldoende mate geadresseerd zodat er geen AVG-overtredingen meer hoeven te zijn als een Rijksorganisatie -aangesloten bij SLM Microsoft Rijk- de Microsoftproducten en -diensten besluit te gebruiken en daarbij de implementatierichtlijnen aanhoudt", schrijft Grapperhaus in de brief aan de Tweede Kamer.
Om te controleren dat Microsoft contractuele bepalingen en de AVG naleeft heeft de Nederlandse Staat verbeterde auditrechten bedongen. Deze audits vinden jaarlijks plaats, waarna een samenvatting van de bevindingen zal worden gepubliceerd op de website van Strategisch Leveranciers Management Microsoft Rijk. Grapperhaus merkt op dat de productaanpassing die Microsoft heeft doorgevoerd voor alle Enterprise-klanten beschikbaar zijn, maar dat dit niet geldt voor de aanvullende afspraken waarin de verplichtingen van verwerkingsverantwoordelijke en verwerker worden geregeld.
De minister sluit af door te stellen dat er vanuit AVG-perspectief geen bezwaren zijn voor overheidsorganisaties om Microsoft Office Pro Plus, Windows 10 Enterprise en Azure te gebruiken, maar dat organisaties als verwerkingsverantwoordelijke zelf moeten besluiten of en welk product of dienst geschikt is voor een specifieke toepassing.
Deze posting is gelocked. Reageren is niet meer mogelijk.