Toelichting DPIA op Microsoft Teams, OneDrive en SharePoint

Microsoft biedt nog geen end-to-end encryptie (E2EE) voor de streaming communicatie met meerdere deelnemers in Teams. Microsoft heeft bevestigd dat ze E2EE mogelijk gaat maken in Teams-groepsvergaderingen en voor de chats maar, noemt nog geen termijn.
Het risico op dit onderdeel is nog ‘hoog’. VNG en SLM Rijk trekken gezamenlijk op om Microsoft op dit punt tot een concrete toezegging te bewegen, zodat dit risico gemitigeerd is. Als de toezegging er is, kan het risico worden beperkt tot ‘laag’. Voor spontane één op één Teams calls is E2EE wel beschikbaar.
Voor OneDrive en SharePoint is het advies om de gegevens die bij Microsoft worden opgeslagen, apart te versleutelen, bij voorkeur met een eigen sleutel (key). Hierdoor wordt de toegang tot deze persoonsgegevens beperkt tot de eigen organisatie. Dit kan bijvoorbeeld met behulp van het programma Microsoft Double Key Encryption (DKE). Uit eerder onderzoek van de AIVD blijkt dat bij dit product Microsoft geen toegang heeft tot de sleutel. Door de gegevens te versleutelen, is dit risico beperkt tot ‘laag’.
Ook al werkt Microsoft aan een oplossing voor Europese klanten door een Europees datacentrum te bouwen (EU Data Boundary) waarin alle persoonsgegevens worden verwerkt, dan blijft het nodig om het risico van ongewenste toegang tot informatie te beperken met encryptie.

Daarom gelden er aparte regels als persoonsgegevens worden uitgewisseld met of opgeslagen in deze derde landen. Volgens de gezamenlijke Europese privacytoezichthouders, verenigd in de EDPB, moet er een aparte privacytoets worden uitgevoerd op deze doorgifte. Dit wordt in de DPIA een data transfer impact assessment (DTIA) genoemd. In de generieke DPIA’s is in opdracht van het ministerie van Justitie en Veiligheid het toepasselijk Amerikaans recht onderzocht en wat de risico’s daarvan zijn van doorgifte van persoonsgegevens aan de Verenigde Staten. Bij het gebruik van Amerikaanse cloudleveranciers zoals Microsoft, is gebleken dat het risico bestaat dat Amerikaanse opsporings- en inlichtingendiensten toegang krijgen tot persoonsgegevens van gebruikers van de clouddiensten. Hierbij blijkt dat de privacy van de gebruikers van deze clouddiensten daarbij minder goed is beschermd volgens de normen van de AVG. Voor “gewone” soorten persoonsgegevens worden de doorgifterisico’s als zeer laag beoordeeld.  

De kans dat een bedrijf als Microsoft wordt gedwongen persoonsgegevens van EU-klanten uit de publieke sector te verstrekken, lijkt klein, blijkt uit analyse van de IBD. Toch is dit niet in overeenstemming met de AVG: het risico doet zich zelfs voor wanneer deze gegevens uitsluitend in de EU worden verwerkt en opgeslagen, omdat toegang tot deze gegevens kan worden gevorderd via Amerikaanse wetgeving zoals de US CLOUD Act.  

Microsoft heeft verklaard dat ze nog geen verzoeken heeft gehad van overheden met betrekking tot personen in de (Nederlandse) publieke sector en het beleid is ook om tegen dat soort verzoeken in beroep te gaan.

Bijzondere persoonsgegevens zijn apart in de AVG genoemd. Het gebruik van bijzondere persoonsgegevens is standaard niet toegestaan tenzij je een beroep kunt doen op een uitzondering. Voor de lokale overheid geldt bijvoorbeeld dat gevoelige persoonsgegevens alleen gebruikt mogen worden als er sprake is van doelbinding. Ze zijn bijzonder omdat het gebruik van deze gegevens iemands privacy ernstig kan beïnvloeden. Voorbeelden zijn gezondheidsgegevens, levensovertuiging, politieke voorkeur, ras of etnische afkomst. Bij gevoelige gegevens gaat het volgens de Autoriteit Persoonsgegevens (AP) om gegevens die snel inbreuk (kunnen) maken op de persoonlijke levenssfeer. Het gaat bijvoorbeeld om gegevens over elektronische communicatie; locatiegegevens; financiële gegevens (zoals inkomen of koopgedrag); het burgerservicenummer (BSN). Het is extra belangrijk dat gemeenten zeggenschap houden over deze gegevens en weten wat daarmee gebeurt. Naarmate de gegevens een gevoeliger karakter hebben, of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden volgens de AP zwaardere eisen gesteld aan de beveiliging van de gegevens.  

Uit het onderzoek blijkt dat Microsoft informatie verzamelt over hoe gebruikers gebruik maken van de onderzochte Microsoft-producten. Dit wordt opgeslagen met een pseudoniem, maar door de manier waarop Microsoft deze informatie opslaat, is de informatie te herleiden. Vanaf 2023 is dit risico te beperken door ervoor te kiezen om alle diagnostische gegevens, support tickets en account gegevens exclusief in de EU te laten verwerken. Na 2022 wordt de doorgifte van persoonsgegevens beperkt (incidenteel, gepseudonimiseerd en geaggregeerd). Hierdoor is het risico beperkt tot laag.

Gegevens over gebruik van de onderzochte Microsoft-diensten, bevat alleen pseudonieme gegevens. De toegang tot deze informatie door Microsoft is beperkt. Systeembeheerders kunnen zelf risicoverlagende maatregelen toepassen, zoals het gebruik van pseudoniemen in de Azure AD, en het opstellen van beleid dat medewerkers geen persoonsgegevens mogen gebruiken in bestands- en padnamen. Als deze maatregelen worden toegepast, is het risico beperkt tot laag. Het gebruik van telefoonnummers voor multi factor authenticatie wordt afgeraden. De telefoonnummers worden unencrypted doorgegeven en zijn dus te onderscheppen. Als mitigerende maatregel adviseren we de authenticator app te gebruiken.

Microsoft noemt deze categorie van gebruiksinformatie (telemetriegegevens) Required Service Data. Volgens Microsoft zijn deze gegevens te dynamisch of te bedrijfsvertrouwelijk van aard om in detail te publiceren, maar ze geeft wel inzage (indien beschikbaar) via inzageverzoeken. Microsoft bevestigt dat de gegevens uitsluitend worden verwerkt voor de drie overeengekomen verwerkingsdoeleinden die met VNG zijn afgesproken en zijn opgenomen in de GT Microsoft contracten met gemeenten. Daarmee is het risico bepaald op laag.

Uit het onderzoek blijkt dat de functie die Microsoft aanbiedt aan systeembeheerders om de informatie (diagnostische gegevens) uit te draaien, over het gebruik van de diensten door één of meerdere werknemers, resultaten oplevert die moeilijk te begrijpen zijn. Microsoft heeft toegezegd om beheerders beter te helpen bij inzageverzoeken, ook als dat uitleg vergt van Microsoft waarom sommige Required Service Data géén persoonsgegevens zijn of niet meer beschikbaar zijn omdat ze onmiddellijk van alle identifiers zijn ontdaan. Het risico is met deze uitleg beperkt tot laag.

Uit onderzoek van de auteur van de DPIA (Privacy Company) bleek dat Microsoft verkeer doorgaf aan een aantal derde partijen via ingebouwde diensten in Teams, OneDrive en SharePoint. Microsoft heeft dit risico grotendeels verholpen door ofwel een subverwerkersovereenkomst aan te gaan, of door systeembeheerders in staat te stellen het verkeer centraal te blokkeren.

Microsoft biedt verschillende analytische diensten aan voor Teams: Teams Analytics & Reports en Viva Insights. Teams Analytics & Reports geeft gedetailleerde inzichten aan systeembeheerders over individueel werkgedrag. Systeembeheerders moeten dit risico beperken door deze functionaliteit uit te schakelen. Microsoft is niet bereid de standaardinstelling te wijzigen. Viva Insights is wel privacyvriendelijker geconfigureerd: die staat standaard uit. Deze tool omvat MyAnalytics en Workplace Analytics. Dit zijn diensten die werknemers informatie bieden over hun productiviteit, en managers inzicht bieden in de werkpatronen van individuele werknemers. Hiermee is dit risico ook beperkt tot laag.