De privacyrisico’s van Microsoft Teams, OneDrive en SharePoint zijn beperkter geworden. De gegevensverwerking via deze clouddiensten kent thans nog maar zes lage risico's en één hoog risico. Dit blijkt uit een beoordeling van de effecten op de gegevensbescherming (DPIA) die Privacy Company heeft gedaan.
Volgens de onderzoekers is er nog wel een hoog risico als organisaties Teams gebruiken om zeer gevoelige en bijzondere categorieën gegevens te verwerken, vanwege de mogelijke toegang door opsporings- en veiligheidsdiensten in de VS. De kans dat deze Amerikaanse diensten daadwerkelijk die gegevens aftappen of vorderen lijkt vooral theoretisch. Microsoft heeft nog nooit gegevens van Europese publieke-sectorklanten aan enige overheid verstrekt.
Opdrachtgevers tot de DPIA waren het ministerie van Justitie en Veiligheid en Surf, de ict-inkooporganisatie van hogescholen en universiteiten. Het betreft een vervolgonderzoek nadat eerder zes hoge risico’s waren vastgesteld.
De uitkomst van het nieuwe onderzoek is dat Microsoft maatregelen heeft getroffen om zes hoge risico’s te verhelpen. Maar volgens Privacy Company mogen de rijksoverheid en universiteiten deze cloud-diensten niet gebruiken voor de uitwisseling of opslag van gevoelige en bijzondere persoonsgegevens. Dat mag alleen als ze de inhoud kunnen versleutelen met eigen sleutels. Dit komt door het hoge risico van mogelijke toegang tot die gegevens vanuit de VS. Dit risico blijft ook bestaan als Microsoft vanaf volgend jaar vrijwel alle persoonsgegevens van Europese zakelijke klanten exclusief in Europese datacenters verwerkt.
De nieuwe DPIA gaat vooral over de risico’s van de verzameling en verwerking van zogenaamde diagnostische gegevens, ofwel gegevens over het individuele gebruik van de diensten. Bijvoorbeeld: hoe vaak je met wie belt via Teams, wat voor plaatjes je toevoegt in de chat of op een intranetpagina, en wat voor soort documenten je schrijft, leest en deelt. Dit rapport gaat ook over de privacyrisico’s van het gebruik van Microsofts cloud voor de inhoudelijke gegevens die je via deze diensten kunt delen.