Windows 10 Enterprise en de mobiele Office apps voldoen op het moment niet aan de nieuwe privacyvoorwaarden die de Rijksoverheid met Microsoft heeft gesloten. Dat stelt de Haagse Privacy Company dat op verzoek van het ministerie van Justitie en Veiligheid een onderzoek uitvoerde.
Strategisch Leveranciersmanagement (SLM) Microsoft Rijk sloot afgelopen mei nieuwe privacyvoorwaarden met Microsoft voor de 300.000 digitale werkplekken van de Rijksoverheid. Hierop draaien de grootzakelijke versies van Windows 10 en Office. Uit eerder onderzoek van de Privacy Company bleek dat de software van Microsoft diagnostische gegevens van en over gebruikers verzamelde en bewaarde in een database in de Verenigde Staten, op een manier die hoge risico's meebracht voor de privacy van de gebruiker.
"Het verzamelen, opslaan en gebruik van deze gegevens is niet conform de AVG", aldus minister Grapperhaus, die onlangs liet weten dat overheidsinstanties van Windows 10 Enterprise en Microsoft Office Pro Plus gebruik kunnen maken zonder dat hierbij de AVG wordt overtreden. Naar aanleiding van het eerdere onderzoek van de Privacy Company ging de overheid namelijk met Microsoft in gesprek over een verbeterplan.
Door een combinatie van technische, organisatorische en contractuele maatregelen zijn de acht eerder geconstateerde privacyrisico’s voor Office 365 ProPlus nu door Microsoft verholpen, zo laat de Privacy Company weten. Microsoft heeft deze verbeteringen echter nog niet doorgevoerd in Office Online en de mobiele Office apps. De nieuwe privacyvoorwaarden van het Rijk zijn ook niet van toepassing op de gegevensverwerking via Windows 10 Enterprise en op de mobiele Office apps.
Zo is het in Office Online niet mogelijk om het gegevensverkeer te beperken. De Privacy Company ontdekte dat er vanuit tenminste drie van de mobiele apps op iOS verkeer over het gebruik van de apps naar een Amerikaans marketingbedrijf gaat dat gespecialiseerd is in predictive profiling. "Zonder enige informatie over de doelen van deze verwerking, en zonder mogelijkheid voor gebruikers of beheerders om deze verwerking te verhinderen", aldus Sjoera Nas van het Haagse privacybedrijf.
Overheidsinstellingen hebben het advies gekregen om voorlopig geen gebruik te maken van Office Online en de mobiele Office apps en te kiezen voor het laagste mogelijke niveau van gegevensverzameling in Windows 10. "Als de systeembeheerders van de overheidsinstellingen ook de andere adviezen opvolgen uit de rapporten, zijn er voor de overheidsinstellingen geen bekende hoge privacyrisico's meer", laat Nas weten. Ze stelt dat het Rijk wel in onderhandeling met Microsoft blijft om ook Windows en de mobiele apps onder de reikwijdte te brengen van de nieuwe privacyvoorwaarden en dezelfde technische verbeteringen door te voeren voor Office Online.
Deze posting is gelocked. Reageren is niet meer mogelijk.