Afspraken tussen grote softwarebedrijven en overheidsinstanties om de privacy van gebruikers te beschermen, zoals tussen de Nederlandse Rijksoverheid en Microsoft, zouden ook voor burgers moeten gelden. Dat vindt de European Data Protection Supervisor (EDPS).
Strategisch Leveranciersmanagement (SLM) Microsoft Rijk sloot afgelopen mei nieuwe privacyvoorwaarden met Microsoft voor de 300.000 digitale werkplekken van de Rijksoverheid. Hierop draaien de grootzakelijke versies van Windows 10 en Office. Uit eerder onderzoek van de Haagse Privacy Company bleek dat de software van Microsoft diagnostische gegevens van en over gebruikers verzamelde en bewaarde in een database in de Verenigde Staten, op een manier die hoge risico's meebracht voor de privacy van de gebruiker.
Naar aanleiding van het onderzoek ging de overheid met Microsoft in gesprek over een verbeterplan. "Belangrijke afspraken in dit verbeterplan zijn een instellingsmogelijkheid tot het beperken van diagnostische datastromen naar Microsoft en volledige inzage in de resterende datastromen naar Microsoft", liet minister Grapperhaus van Justitie en Veiligheid destijds weten. Microsoft besloot de maatregelen afgelopen april door te voeren, waarna er een nieuw onderzoek plaatsvond.
Afgelopen juli meldde de Privacy Company dat door een combinatie van technische, organisatorische en contractuele maatregelen verschillende eerder geconstateerde privacyrisico’s voor Office 365 ProPlus door Microsoft zijn verholpen. De EDPS stelt nu dat deze overeenkomst laat zien dat er ruimte voor verbetering is in het opstellen van contracten tussen overheidsinstanties en softwarebedrijven. Deze oplossingen zouden echter niet alleen voor overheid en bedrijfsleven moeten gelden, maar ook voor burgers, aldus de toezichthouder.
De EDPS startte in april een onderzoek naar de contracten tussen Microsoft en de EU en of die aan de privacywetgeving voldoen. Het onderzoek is nog niet afgerond, maar de voorlopige resultaten zijn zorgwekkend, zo laat de privacytoezichthouder weten. Zo zijn er ernstige zorgen of de contractuele overeenkomsten wel aan de databeschermingswetgeving voldoen en de rol van Microsoft als verwerker voor EU-instellingen die de producten van het Amerikaanse softwarebedrijf gebruiken.
Eind augustus lanceerde de EDPS in Den Haag het "The Hague Forum", waar partijen bespreken hoe ze de controle over de it-diensten en -producten van grote it-bedrijven kunnen terugkrijgen. De toezichthouder roept alle partijen die zich zorgen maken dan ook op om zich bij het Forum aan te sluiten en mee te helpen met het opstellen van eerlijke contractuele voorwaarden voor de publieke sector.
"De overeenkomst tussen het Nederlandse ministerie van Justitie en Veiligheid en Microsoft over gepaste contractuele en technische waarbogen en maatregelen om de risico's voor individuen te beperken is een positieve stap voorwaarts", zegt adjunct-EDPS Wojciech Wiewiorowski. Hij merkt op dat het onderzoek en de oprichting van het The Hague Forum de databescherming binnen alle EU-instellingen zal verbeteren.
Deze posting is gelocked. Reageren is niet meer mogelijk.