Samenvatting

Deze Data Protection Impact Assessment (DPIA) beoordeelt de gegevensbeschermingsrisico's van het (professionele) gebruik van Microsoft Teams in combinatie met OneDrive, SharePoint Online en de Azure Active Directory.

Teams is een online tool voor videobellen, chatten en het delen van bestanden. Als onderdeel van Office 365 levert Microsoft twee cloudopslagdiensten aan eindgebruikers: OneDrive en SharePoint Online. Deze diensten worden vaak gebruikt voor het openen en opslaan van bestanden die via Teams worden gedeeld. Om gebruik te kunnen maken van de online diensten van Microsoft moeten eindgebruikers en systeembeheerders, net als gastgebruikers, worden geauthenticeerd via de online clouddienst Azure Active Directory.+

Reikwijdte van de DPIA

De gegevensverwerking via Teams en de drie clouddiensten is getest in de drie verschillende versies van de Office-software die inbegrepen zijn bij de Microsoft 365 Enterprise-licentie. Teams, SharePoint en OneDrive kunnen worden geïnstalleerd op de computers en laptops van werknemers (Office 365 ProPlus), geïnstalleerd op smartphones en tablets (mobiele Office-apps voor iOS en Android) en als online toepassingen die in een browser draaien (Office voor het Web, voorheen bekend als Office Online).

Deze DPIA is een herhaalde beoordeling van het gebruik van Teams, SharePoint en OneDrive op twee versies van de Office-software: Office voor het Web en de mobiele Office-apps. Deze DPIA bevat uitkomsten met betrekking tot de verwerking van diagnostische gegevens in Office voor het Web en de mobiele Office-apps per 31 mei 2020, zoals opnieuw getest in september 2021.

Deze DPIA is uitgevoerd in opdracht van SLM Rijk, de centrale onderhandelaar voor producten en diensten van Microsoft, Google en Amazon Web Services voor de rijksoverheid, en voor SURF, de centrale IT-inkooporganisatie voor Nederlandse hogescholen en universiteiten.

Uitkomst: zes lage privacyrisico's bij de verwerking van Diagnostische Gegevens

De uitkomst van deze DPIA, na herhaald overleg met Microsoft, is dat er geen bekende hoge risico's meer zijn voor de verwerking van Diagnostische Gegevens. Wel is er een hoog risico als organisaties Microsoft Teams gebruiken om zeer gevoelige en bijzondere categorieën gegevens te verwerken, vanwege de mogelijke toegang door opsporings- en inlichtingendiensten in de VS.

Hoog risico in verband met toegang tot onversleutelde bijzondere persoonsgegevens

Er is een hoog gegevensbeschermingsrisico in verband met de mogelijke toegang van opsporings- en inlichtingendiensten uit de VS tot zeer gevoelige en bijzondere persoonsgegevens. Dit risico doet zich voor ondanks het feit dat de inhoudelijke gegevens in Teams, OneDrive en SharePoint nu al uitsluitend in de Europese datacentra van Microsoft worden verwerkt en opgeslagen. Dit omdat er toegang tot deze gegevens kan worden gevorderd via Amerikaanse wetgeving zoals de US CLOUD Act.

Organisaties kunnen dit hoge risico voor bijzondere persoonsgegevens in bestanden op OneDrive en SharePoint beperken door hun eigen encryptiesleutels te gebruiken, met Microsoft Double Key Encryption. Microsoft biedt nog geen end-to-end encryptie voor de streaming communicatie met meerdere deelnemers in Teams, alleen voor ongeplande één-op-één videogesprekken.

Hoewel Microsoft in reactie op deze DPIA heeft bevestigd dat ze E2EE mogelijk zal maken in Teams-groepsvergaderingen en voor de chats, noemt ze nog geen termijn. Voor "gewone" soorten persoonsgegevens worden de doorgifterisico's als zeer laag beoordeeld, ook al kunnen de mogelijke gevolgen voor de betrokkenen zeer groot zijn. De kans dat Microsoft wordt gedwongen persoonsgegevens van EU-klanten uit de publieke sector te verstrekken, is zeer klein. Microsoft mag niet bekendmaken of ze specifieke vorderingen heeft ontvangen die onder een geheimhoudingsplicht vallen, maar Microsoft verklaart publiekelijk: "Microsoft verstrekt geen persoonsgegevens van EU-klanten uit de publieke sector aan enige overheid, en heeft dat ook nooit gedaan." Dit historische feit, in combinatie met het gebruik van de versleuteling door Microsoft (met eigen sleutels), haar juridische garanties dat ze elk bevel zal aanvechten, haar bewezen staat van dienst en haar transparantieverslagen, volstaat om het risico van ongeoorloofde toegang tot de "gewone" persoonsgegevens in te schatten als een laag gegevensbeschermingsrisico.

Organisaties mogen echter geen zeer gevoelige of bijzondere persoonsgegevens via Teams uitwisselen, tenzij de gegevens van nature openbaar zijn (zoals universitaire colleges of sommige rechtszaken), omdat zij niet zelf de encryptiesleutels beheren.

Data Transfer Impact Assessment (DTIA)

Per soort persoonsgegevens die Microsoft verwerkt via de drie diensten zijn de risico’s op oneigenlijke verdere verwerking in kaart gebracht in een Data Transfer Impact Assessment (DTIA). Er zijn zeven soorten persoonsgegevens bepaald waarop een berekening van de kansen dat de gegevens op grond van toepasselijke wetgeving worden ingezien of opgevraagd door de Amerikaanse opsporings- en inlichtingendiensten is uitgevoerd:
1. Live inhoudelijke gegevens (Teams)
2. Opgeslagen inhoudelijke gegevens (Teams, OneDrive, SharePoint)
3. Diagnostische gegevens (telemetrie) (Teams, OneDrive, SharePoint)
4. Diagnostische gegevens (servicelogs) (Teams, OneDrive, SharePoint)
5. Supportgegevens (Teams, OneDrive, SharePoint)
6. Securitygegevens (VS) (Teams, OneDrive, SharePoint)
7. Accountgegevens (Azure AD)

De DTIA is gebaseerd op een openbaar model van de Zwitserse advocaat David Rosenthal, en aangepast door Privacy Company. Deze Excel wordt binnenkort openbaar gemaakt, zodat andere organisaties de DTIA kunnen hergebruiken.

Download hier de volledige samenvatting

Download hier het DPIA rapport

Download hier het memo van SLM Rijk