Privacy toets (DPIA) op Microsoft Teams, OneDrive en SharePoint

DELEN

Eind februari 2022 heeft de Privacy Company in opdracht van de Rijksoverheid en het hoger onderwijs een DPIA (Data Protection Impact Assessment) laten uitvoeren (over de Microsoft-diensten Teams, SharePoint en OneDrive. Een DPIA is een privacy toets die inzichtelijk maakt welke privacy risico's een bepaalde verwerking van persoonsgegevens met zich meebrengt.

 

Welke risico’s kwamen uit de DPIA?

 

Uit deze privacy toets zijn enkele lage risico’s en één hoog risico naar voren gekomen. Het hoge risico treedt op als er gevoelige en bijzondere persoonsgegevens worden verwerkt via Microsoft Teams, SharePoint of OneDrive.

  • Voorbeelden van bijzondere persoonsgegevens zijn gegevens die iemands privacy ernstig kunnen beïnvloeden, zoals de verwerking van iemands ras, godsdienst, seksuele voorkeur of gezondheidsgegevens.
  • Voorbeelden van gevoelige gegevens zijn: een BSN of creditcardgegevens.

 

Waar zit het risico?

 

Microsoft slaat gegevens versleuteld op in Teams, OneDrive en SharePoint. Het probleem is dat Microsoft zelf de sleutel beheert en dat “End-to-End encryptie” nog niet actief is op groepsgesprekken of geplande vergaderingen in Teams. Dit is wel het geval bij één op één gesprekken in Teams en hier treedt het genoemde risico dan ook niet op.
Dit wordt genoemd als risico omdat Microsoft een Amerikaans bedrijf is en daardoor bestaat de (theoretische) mogelijkheid dat Amerikaanse inlichtingendiensten bij Microsoft toegang eisen tot deze gegevens. Ook al staan deze gegevens fysiek in Europa. Ondanks de kleine kans hierop, is dit een privacy risico voor leerlingen en medewerkers. Microsoft geeft echter aan dat ze tot op heden nog nooit een dergelijk verzoek hebben gehad.

 

Er is geen veilig Europees alternatief

 

Dit is niet een probleem van alleen Microsoft maar van alle Amerikaanse techbedrijven die in Europa actief zijn. De Europese rechter heeft al twee keer data uitwisselingsovereenkomsten tussen de EU en de VS van tafel geveegd. We zitten nu dus in een vacuüm waar aan de ene kant de data uitwisseling niet veilig wordt gezien, maar we aan de andere kant geen Europees alternatief hebben voor een Microsoft, Google, Amazon of Apple. Ondanks dit vacuüm dien je wel maatregelen te nemen om AVG-compliant te blijven.

Als je bijzondere persoonsgegevens verwerkt heeft de DPIA zeker gevolgen. We raden aan om zo min mogelijk persoonsgegevens te verwerken als dit mogelijk is. Moet je deze wel verwerken, bekijk dan welke maatregelen je hierbij kunt treffen in de volgende alinea.

 

Welke maatregelen kun je treffen bij het verwerken van bijzondere persoonsgegevens?

 

Je kunt verschillende stappen nemen bij het verwerken van bijzondere persoonsgegevens:

 

  1. Ga in je organisatie en verwerkingsregister na of je bijzondere persoonsgegevens verwerkt en ga vervolgens na of deze verwerking wel rechtsgeldig is. Dat mag je als organisatie alleen als je een beroep kunt doen op een uitzondering op het verwerkingsverbod in artikel 9 van de AVG. In een eerder blog van mij kon je lezen dat je bijvoorbeeld niet mag bijhouden wie van je collega’s of leerlingen besmet zijn met het corona virus. 
  2. Verwerk je rechtmatig bijzondere persoonsgegevens? Bekijk vervolgens of het mogelijk is of deze gegevens in een ander systeem verwerkt kunnen worden in plaats van met deze Microsoft toepassingen. Denk dan aan Nederlandse leveranciers zoals AFAS, Exact of in je leerlingadministratiesysteem (LAS).
  3. Voor nieuwe gebruikers van Microsoft 365 kun je een disclaimer toevoegen bij eerste keer aanmelden die ze moeten accepteren. Hierin kun je de specifieke beleidsafspraken en spelregels noteren die de interne en/of externe gebruikers moeten accepteren, over de omgang met persoonsgegevens. Bijvoorbeeld: deel niet ongevraagd bijzondere persoonsgegevens in de chat, deel geen vertrouwelijke bestanden, gebruik geen persoonsgegevens in pad- of bestandsnamen.
  4. Vindt de verwerking wél plaats via Microsoft toepassingen dan is er de mogelijkheid om de gegevens zelf te versleutelen, voordat je ze opslaat in OneDrive en SharePoint. Omdat Microsoft hier de sleutel niet van heeft los je het genoemde risico hiermee op. Deze methode zit standaard in een Microsoft E5 licentie. Het zelf versleutelen van gegevens is een extra actie vanuit de gebruiker. Redelijk onhandig dus. Maar omdat het gaat over het de verwerking van bijzondere persoonsgegevens, zal dit niet vaak voorkomen. SIVON, SURF, APS IT-diensten en SLBdiensten trekken gezamenlijk op met Microsoft om te onderzoeken hoe deze extra versleuteling eenvoudig aangeboden kan worden aan onderwijsinstellingen.
  5. Als laatste optie kun je ervoor kiezen om je bestanden niet in de Microsoft Cloud op te slaan. Bij een dergelijke alternatieve opslagmethode dan kom je snel uit bij producten zoals een Remote Desktop Server, waarbij de bestanden op een bestandsserver worden geplaatst. Of bij FileCloud waarbij de bestanden beschikbaar zijn via een schijfletter op de lokale computer. Deze worden dan door Nederlandse bedrijven op Nederlandse servers gehost en hebben dan geen last van het hoge risico dat uit deze DPIA naar voren is gekomen.
Vanuit Ratho zorgen we voor een veilige omgeving van Microsoft 365, zonder functionaliteiten te verliezen. Mocht je willen sparren over beleidskeuzes die je als organisaties kunt maken, dan kunnen we jullie daarbij helpen. Mocht je specifieke technische inrichtingen wensen conform gemaakte beleidskeuzes (zoals versleuteling of bewaartermijnen) dan kunnen we deze samen beoordelen wat de consequenties hiervan zijn om ze daarna door te voeren.


Welke maatregelen neemt Microsoft?


Ook Microsoft kan iets doen aan het genoemde risico door snel bij alle Microsoft Teams-gesprekken End-to-End encryptie wordt toe te passen. Dit staat nu bij Microsoft op de roadmap om ook bij groepsgesprekken en geplande Teams vergaderingen door te voeren.

 

Onlangs hebben we vanuit Ratho contact gehad met Microsoft. We hebben ze het volgende gevraagd:

  • Of ze druk willen uitoefenen bij hun eigen ontwikkelaars om de uitrol van End-to-End encryptie voor groepsgesprekken in Teams zo snel mogelijk te implementeren.
  • Of ze een eenvoudige en gebruiksvriendelijke manier van versleuteling ook voor de minder uitgebreide licenties beschikbaar gaan stellen.
  • Of ze een oplossing hebben voor het risico rond de verwerking van gevoelige persoonsgegevens. In de reactie van SLM rijk is hier (nog) niets over terug te vinden. 

We verwachten dat er over de gevolgen en te nemen maatregelen de komende weken meer duidelijkheid komt die we dan delen via deze blog.

Meer informatie


Wil je weten wat je als organisatie nog meer kunt doen? Lees dan de aanbevolen maatregelen uit de DPIA of neem contact op met Thijs Marques of bel 040 2370 426.