Het Nederlandse ministerie van Justitie en Veiligheid waarschuwt overheidsinstellingen voor het gebruik van Microsoft Office Online en andere mobiele applicaties van de softwarereus. Er zouden mogelijk beveiligings- en privacyrisico’s aan kleven.
Het rapport Privacy Company, dat in opdracht van het ministerie is geschreven, constateert dat de apps niet voldoen aan een reeks privacyvoorwaarden, die Microsoft en de Nederlandse overheid mei vorig jaar zijn overeengekomen. Om die reden luidt het advies dan ook om Office Online en mobiele Office-apps te verbieden voor overheidswerkzaamheden, aldus The Register.
Telemetriefuncties
Microsoft Office 365 ProPlus verzamelt via telemetriefuncties persoonlijke informatie van ongeveer 300.000 overheidswerknemers. De data, bestaande uit onder meer e-mailadressen, vertaalverzoeken en gebruikersactiviteit, wordt opgeslagen op servers in de VS. Daarnaast zou er ook sprake zijn van eenzelfde privacyschending voor een aantal functies in Windows 10 Enterprise. Wel zouden inmiddels andere Windows- en Office-apps van Microsoft in overeenstemming zijn gebracht met de afgesproken privacyvoorwaarden.
“Bovendien zijn bepaalde technische verbeteringen die Microsoft in Office 365 ProPlus heeft geïmplementeerd (nog) niet beschikbaar in Office Online. Van ten minste drie van de mobiele apps worden gegevens over het gebruik van de apps verzonden naar een Amerikaans marketingbedrijf dat gespecialiseerd is in voorspellende profilering,” aldus het Privacy Company-rapport.
De Nederlandse overheid werkt samen met Microsoft om die functies te verwijderen. Overheidsinstanties worden geadviseerd om ’te kiezen voor het laagst mogelijke niveau van gegevensverzameling in Windows 10, namelijk beveiliging’.
EU-toezichthouders
Het rapport is slechts onderdeel van een grotere strijd die Microsoft voert in de Europese Unie in de nasleep van de General Data Protection Regulation (GDPR) wet. EU-toezichthouder voor gegevensbescherming hebben Microsoft onderzocht op de manier waarop het bedrijf telemetrietools gegevens verzamelt over gebruikers in Europa.
De tools zijn er om fouten en prestaties van de softwareoplossingen te volgen. Bovendien keken de toezichthouders ook hoe deze gegevens vervolgens werden opslagen op servers in de VS.
Ook Duitsland verbood eerder deze maand het gebruik van Microsoft Windows 10 en Office 365 op Duitse scholen. De software zou volgens het land niet GDPR-compliant zijn. Microsofts software was compatibel met de richtlijn tot de softwarereus een aanpassing doorvoerde.
Gerelateerd: Microsoft lijft BlueTalon in voor dataprivacy en -governance