In een rapport inzake dataprivacy ziet de Nederlandse overheid zes risico’s bij het gebruik van Microsoft-toepassingen. Het gaat echter om kleinere problemen: Microsoft werkte grote risico’s intussen weg.
De Nederlandse overheid publiceert een Data Protection Impact Assessment (DPIA) voor het professionele gebruik van Microsoft Teams in combinatie met OneDrive, SharePoint Online en Azure Active Directory. Het rapport werd opgesteld door SLM Microsoft Rijk: een Nederlandse overheidsinstantie die verantwoordelijk is voor contracten met de cloudprovider. De instantie stelde in 2019 ook al een rapport op en dat was toen erg negatief. Vandaag krijgt Microsoft een beter rapport.
Geen grote risico’s, wel kleine
Volgens het DPIA zijn er geen grote risico’s meer inzake de diagnostische data die Microsoft verzamelt. Verschillende kleinere risico’s blijven wel bestaan. Momenteel verhuizen diagnostische gegevens nog beperkt naar de VS. Dat zou tegen het einde van dit jaar verholpen zijn met dank aan de Microsoft EU Data Boundary. Verder haalt het rapport een gebrekkige transparantie aan van Microsoft over de data die het vergaart. In sommige heel specifieke gevallen is data bovendien niet geanonimiseerd.
Het Nederlandse rapport heeft verder zijn twijfels bij Teams Analytics en Viva Insights. Daarvoor houdt Microsoft data gerelateerd aan gebruikers bij. Het bedrijf wil de functionaliteit niet standaard uitschakelen, zodat het aan instanties is om dat zelf te doen. Toch zal Microsoft de link tussen SharePoint en Bing verder wegwerken wanneer organisaties Controller Connected Experiences uitschakelen. Dat is voorlopig nog niet helemaal in orde.
VS kan meekijken
De Nederlanders wijzen nog één groot risico aan bij het gebruik van Microsoft-diensten. Onder de US CLOUD Act kan de overheid van de VS immers toegang krijgen tot gevoelige data. Dat risico blijft bestaan, zelfs wanneer gegevens enkel binnen de EU worden bewaard. Microsoft is immers een Amerikaans bedrijf, dat naar Amerikaanse wetten moet luisteren. Je kan het risico mitigeren door data in OneDrive zelf te versleutelen, klinkt het.
Voor groepsgesprekken met Teams biedt Microsoft nog geen end-to-end-versleuteling. Die functionaliteit komt eraan, maar Redmond plakt er geen deadline op.
Uit het rapport blijkt dat Nederland Microsoft een voldoende geeft, al zijn er nog verschillende werkpunten. Minstens een deel van de bedenkingen zouden binnenkort al weggewerkt worden. SLM Microsoft Rijk waarschuwt er nog wel voor dat het DPIA ondergeschikt is aan eventuele andere conclusies die de Europese databeschermingsraad kan trekken in de toekomst.