(Disclaimer: Ik heb geen ervaring met Office365 of het afsluiten van een verwerkersovereenkomst daar mee. Ik merk ook in mijn eigen stuk dat het niet helemaal helder is over wat die persoonsgegevens nu precies zijn. Er zijn verschillende categorieën en het is mij niet helemaal duidelijk welke nu precies waar over gaan. Helemaal als je bedenkt dat er ook nog een onderscheid is tussen de persoonsgegevens van de mensen die Teams gebruiken of de persoonsgegevens in documenten/chatgesprekken die gedeeld worden.)
Het probleem is dat Microsoft, tot op zekere hoogte, zijn eigen gang mag gaan met de persoonsgegevens die jij ze geeft. Dat is van toepassing op de huidige voorwaarden van Office365, dus ook Teams.
In normale omstandigheden sluit je een verwerkersovereenkomst af met Microsoft. Daar leg je in vast dat een bepaalde set persoonsgegevens gebruikt mag worden voor een bepaalde set doelen. Daar heeft een (sub)verwerker zich dan aan te houden. Microsoft daarin tegen stelt dat het
daarnaast deze persoonsgegevens ook mag gebruiken voor doelen die ze zelf stelt, Microsoft als onafhankelijke verantwoordelijke dus. Daarbij gaat het om bijvoorbeeld de telemetrie/diagnostische gegevens die je noemt. Dit staat in de Microsoft Online Services Data Protection Addendum (January 2020).
Destijds is onderzoek door Privacy Company, in opracht voor de Rijksoverheid, over of dit toegestaan is. Op basis van dat rapport besloot de Rijksoverheid dat de voorwaarden van Microsoft niet acceptabel zijn, hiermee zouden namelijk de persoonsgegevens van ambtenaren (gebruiksgegevens, niet de inhoud van documenten) door Microsoft gebruikt kunnen worden voor doelen die ze zichzelf stellen. Dit fundamentele punt is ook in de DPA van 2020 nog steeds aanwezig, de Rijksoverheid heeft daarom een eigen, andere overeenkomst met Microsoft afgesloten waarin dit wel goed geregeld is. Let wel, Microsoft's doelen gaan niet over profiling of advertenties maar vooral product verbeteringen in tegenstelling tot wat je van bijvoorbeeld Google kunt verwachten (Zie Microsoft DPA 2020). Zoals hier eerder geschreven kan dat dus ook betekenen dat spraakberichten worden afgeluisterd om spraakherkenning te verbeteren.
Daar komt nog bij dat er enkele mooie teksten in staan die duidelijk maken dat je al je rechten/plichten weggeeft. Normaal moet een verwerker (Microsoft) toestemming vragen als het een nieuwe subverwerker gebruikt. Je geeft met deze DPA een blanco akkoord op alle subverwerkers die ze contracteren, als het je niet zint moet je maar opzeggen achteraf. Op vergelijkbare manier is het ook Microsoft die de bewaartermijn van de gegevens bepaalt, terwijl dat eigenlijk door de verantwoordelijke opgegeven dient te worden.
De vraag is dus of deze voorwaarden acceptabel en toegestaan zijn onder de AVG, het rijk lijkt te stellen dat dat niet het geval is. Echter is je enige optie dan om niet akkoord kunt gaan met de voorwaarden zoals die nu op de Microsoft site te vinden zijn, deze opnieuw te onderhandelen en/of zorgen dat je technische maatregelen neemt die dergelijk gebruik voorkomt (lees: de opt-out toggles kunt vinden, als dat al mogelijk is).
Daarom is er een initiatief in de publieke sector om gezamenlijk in te kopen, om zo betere voorwaarden af te dwingen wat als kleine individuele partij niet lukt (zie [0] met een samenvatting van de problematiek). PrivacyCompany zelf heeft destijds nog een lijst met maatregelen geschreven onder hun blogpost op [1], maar het kan goed zijn dat dat niet helemaal up-to-date meer is.
Over de CLOUD act zou ik mij geen zorgen maken. De privacywet stelt dat je moet zorgen voor waarborgen voor de transfer, wat gedaan is met SCC's in de DPA. Dat die SCC mogelijk in strijd zijn met wetgeving daar is een vraag voor de toezichthouder, niet voor jou. Bovendien hebben dan alle Microsoft gebruikers een probleem, de kans dat jij daar als individuele organisatie op aangesproken gaat worden is nihil.
[0]
https://thehagueforumforcloudcontracting.eu/wp-content/uploads/2020/02/Article-on-EU-Software-and-Cloud-Suppliers-Customer-Council.pdf[1]
https://www.privacycompany.eu/blogpost-nl/nieuwe-dpias-zakelijke-microsoft-office-en-windows-software-nog-steeds-privacyrisicos-korte-blog