De rijksoverheid heeft aanvullende afspraken gemaakt met Microsoft over het in lijn brengen van zijn software met de Algemene Verordening Gegevensbescherming (AVG). Daarbij voert het Rijk jaarlijkse audits uit om te bepalen of het softwareconcern voorgestelde verbeteringen wel heeft doorgevoerd.
Eind vorig jaar was er al overeenstemming bereikt over de aanpassingen die de Microsoft-software AVG-bestendig moest maken. Aanleiding was een dataprivacy-onderzoek van het ministerie van Justitie en Veiligheid (J&V) naar de software. Daaruit kwam naar voren dat via de producten Windows 10 Enterprise en Microsoft Office informatie van en over de gebruiker (diagnostische gegevens) verzameld en opgeslagen werd in een database in de VS op een manier die hoge risico’s meebrengt voor de privacy van die gebruiker.
Als gevolg van deze scan moest Microsoft zijn producten dusdanig wijzigen dat het gebruik ervan door de Nederlandse overheid in lijn is met de AVG en ander vigerende wet- en regelgeving. De meest urgente wijzigingen, zoals een instellingsmogelijkheid voor beheerders om de verzamelde gegevens tot een minimum te beperken en een mogelijkheid de verzamelde gegevens te verifiëren, heeft Microsoft inmiddels conform het verbeterplan aangebracht.
Het bedrijf heeft eind april een nieuwe versie van de software aangeboden ter verificatie. Het zogenaamde Strategisch Leveranciersmanagement Microsoft Rijk (SLM Microsoft) van J&V heeft deze nieuwe versie van de software getest en in orde bevonden. Zowel in het product Office Proplus als ook Windows 10 Enterprise heeft Microsoft wereldwijd de beloofde verbeteringen doorgevoerd.
Wereldwijd
Deze productwijzigingen gelden wereldwijd. Daarnaast zijn er aanvullende afspraken (zie kader) gemaakt voor de rijksdiensten en de daarbij behorende zbo’s en agentschappen. Vanuit AVG-perspectief ziet SLM Microsoft geen bezwaren dat de aangesloten organisaties Microsoft Office Proplus, Windows 10 Enterprise en Azure gebruiken. Dat geldt niet voor minder courante versies van Microsoft-software die nog worden gebruikt.
Om naleving van Microsoft op de uitgebreidere contractuele bepalingen en de AVG te kunnen controleren, heeft het Rijk een procedure voor uitoefening van de verbeterde auditrechten op Microsoft bedongen. Deze audits zijn jaarlijks, waarna een samenvatting van de bevindingen telkens wordt gepubliceerd.
Aanvullende afspraken
De volgende, aanvullende afspraken tussen het Rijk en Microsoft hebben betrekking op producten en diensten met online-componenten, waaronder Office Proplus en Windows 10 Enterprise:
- Het gedetailleerd overeenkomen voor welke doelen Microsoft gegevens van de verwerkingsverantwoordelijke (inclusief persoonsgegevens), die onder de reikwijdte van de overeenkomsten tussen de Staat en Microsoft vallen, mag gebruiken;
- Het gebruik en doorgifte van gegevens aan derden voor data analytics, profilering, adverteren en marktonderzoek verbieden, tenzij dit is toegestaan op basis van schriftelijke instructies van de Staat;
- Het gedetailleerd overeenkomen hoe gegevens worden geanonimiseerd. Hiermee zijn de in het J&V-onderzoek geconstateerde privacyrisico’s in voldoende mate geadresseerd zodat er geen AVG-overtredingen meer hoeven te zijn als een rijksorganisatie – aangesloten bij SLM Microsoft Rijk – de Microsoftproducten en -diensten besluit te gebruiken en daarbij de implementatierichtlijnen aanhoudt.
Dit is niet het probleem dat wordt besproken in:
https://www.computable.nl/artikel/nieuws/cloud-computing/6615031/250449/clouddiensten-voldoen-niet-aan-gdpr-regels.html?
Samengevat zet Microsoft de spyware niet uit maar beperkt alleen de inzage door derden. De ambtenaren die proberen de klok te luiden over misstanden zijn dus nog even makkelijk te traceren door J&V. Verder is de contractuele overeenkomst even veel waard als eerdere Safe Harbor, de opmerking van Cor Nouws over de problematiek van Amerikaanse surveillancewetten wordt er dan ook niet mee opgelost.