033 200 30 83
DPIA Microsoft: risico’s niet alleen voor scholen
SURF en SLM Rijk (ministerie van Justitie en Veiligheid) hebben met medewerking van Privacy Company een nieuwe data protection impact assessment (DPIA) uitgevoerd naar Microsoft Teams in combinatie met OneDrive en SharePoint. Uit deze privacytoets komt naar voren dat er een hoog risico bestaat voor de uitwisseling en opslag van gevoelige en bijzondere persoonsgegevens.
De DPIA is uitgevoerd voor het onderwijs, maar de geconstateerde risico’s gelden eveneens voor andere organisaties die gevoelige en bijzondere persoonsgegevens verwerken via Microsoft OneDrive, SharePoint en Teams.
Hoog risico: Amerikaanse overheid kan een verzoek doen tot toegang van persoonsgegevens
Er bestaat een hoog risico voor het delen van gevoelige en bijzondere persoonsgegevens via Microsoft Teams, SharePoint of OneDrive. De toegang tot informatie op OneDrive, SharePoint en groepsgesprekken in Teams zijn niet voldoende versleuteld, omdat Microsoft zelf de toegang (sleutel) heeft. Omdat Microsoft een Amerikaans bedrijf is, bestaat de mogelijkheid dat Amerikaanse opsporings- en inlichtingendiensten bij Microsoft toegang eisen tot persoonsgegevens van gebruikers van deze diensten. Bij gebruik van de Microsoft-diensten staat de data in Europa, maar de Amerikaanse opsporings- en inlichtingendiensten kunnen Microsoft vorderen toegang te geven tot die persoonsgegevens. De AVG eist daarom dat er aanvullende maatregelen worden genomen. Door gebruik te maken van een vorm van versleuteling waar Microsoft de sleutel niet van heeft, wordt dit opgelost.
Bij het gebruik van ‘gewone’ persoonsgegevens is het oordeel in de DPIA dat dit minder impact heeft op de privacy van de gebruikers. Als bijvoorbeeld Amerikaans veiligheidsdiensten toegang krijgen tot deze gewone informatie, is het oordeel in de DPIA dat de impact op de privacy beperkt is. Bij gevoelige en bijzondere persoonsgegevens is dat volgens de DPIA anders. Bijzondere persoonsgegevens zijn apart in de AVG genoemd en het gebruik is standaard niet toegestaan tenzij er een uitzondering geldt. Uit de DPIA blijkt dat het risico bij het gebruik van gevoelige en bijzondere persoonsgegevens hoog is, omdat de toegang tot deze gegevens niet voldoende te beperken of te reguleren is.
Microsoft heeft verklaard dat ze nog geen verzoeken heeft gehad van overheden met betrekking tot personen in de (Nederlandse) publieke sector en het beleid is ook om tegen dat soort verzoeken in beroep te gaan. Daarnaast staat in de overeenkomst met Microsoft dat zij gegevens uitsluitend gebruikt overeenkomstig de gedocumenteerde instructies de school. Er zijn strenge afspraken, regels en procedures voor medewerkers zodat Microsoft niet zomaar zal gaan snuffelen in bestanden van leerlingen en medewerkers.
Een nadere duiding van de DPIA en achtergrondinformatie over de overige privacyrisico’s is te lezen in deze uitgebreide toelichting.
Hoe kan het risico worden gemitigeerd?
Om het hoge risico te verlagen, moeten de gegevens in Teams, OneDrive en SharePoint volgens de DPIA versleuteld worden.
Voor spontane Teams call is end-to-end encryptie (E2EE) beschikbaar, dat is voldoende volgens de DPIA. Voor geplande Teams call is E2EE nog niet beschikbaar. Microsoft heeft toegezegd dat ze E2EE voor de streaming communicatie met meerdere deelnemers in Teams gaat realiseren, maar niet op welke termijn. Totdat E2EE in Teams is geregeld door Microsoft, geven we in overweging om in Teams tijdens groepsgesprekken geen bijzondere of bijzondere persoonsgegevens uit te wisselen.
Het risico op dit onderdeel is nog ‘hoog’. SIVON, SURF, APS IT-diensten en SLBdiensten trekken gezamenlijk op om Microsoft op dit punt tot een concrete toezegging te bewegen, zodat dit risico gemitigeerd is.
Voor OneDrive en SharePoint is een mogelijke oplossing om de gegevens die daarin worden opgeslagen, apart te versleutelen, met een eigen sleutel (key), zodat Microsoft en via Microsoft Amerikaanse opsporings- en inlichtingendiensten geen toegang hebben tot de gegevens opgeslagen in deze diensten. Er wordt onderzocht wat de mogelijkheden zijn voor scholen om encryptiesoftware te gebruiken. Dit kan bijvoorbeeld met behulp van het programma Microsoft Double Key Encryption (DKE). SIVON is samen met SURF, SLBdiensten en APS IT-diensten in gesprek met Microsoft met als doel deze software voor alle onderwijsinstellingen laagdrempelig ter beschikking te stellen.
Hulp bij het mitigeren van de risico’s
Indien u gebruik maakt van de diensten van Microsoft, dan is het belangrijk dat u nagaat of de u de juiste maatregelen heeft getroffen.
De privacy adviseurs van PrivacyTeam kunnen u helpen met het beoordelen van de risico’s en het doorvoeren van de juiste maatregelen.
(Bron: Sivon: https://www.sivon.nl/actueel/privacytoets-op-microsoft-teams-onedrive-sharepoint/)
