Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Redactie - 03 juli 2019

Overheid blijft Microsoft software gebruiken na AVG tweaks

Software Cloud Privacy Data
Overheid blijft Microsoft software gebruiken na AVG tweaks image

De Nederlandse overheid blijft Microsoft software zoals Windows 10 en Office gebruiken na AVG aanpassingen. Dit schrijven Minister van Justitie en Veiligheid Ferd Grapperhaus en Minister van Binnenlandse Zaken en Koninkrijksrelaties Kajsa Ollongren in een brief aan de Kamer met als onderwerp 'Verificatie op de uitvoering van het overeengekomen verbeterplan met Microsoft'.

Om naleving van Microsoft op de uitgebreidere contractuele bepalingen en de AVG te kunnen controleren, een verantwoordelijkheid van een organisatie binnen het Rijk als verwerkingsverantwoordelijke zelf, heeft de Nederlandse Staat een procedure voor uitoefening van de verbeterde auditrechten op Microsoft bedongen. Deze audits zijn jaarlijks, waarna een samenvatting van de bevindingen telkens wordt gepubliceerd.

De productwijzigingen die door de Nederlandse Staat met Microsoft zijn overeengekomen gelden wereldwijd. Het aanvullende contract waarin de relatie tussen de Rijksorganisaties als verwerkingsverantwoordelijke enerzijds en de Microsoft als  verwerker anderzijds nader geregeld worden geldt  voor de Rijksdiensten en de daarbij behorende ZBO’s en Agentschappen.

Het telemetrie datagegevens verzamelingsmechanisme van Microsoft Office en Windows 10 schendt de algemene verordening gegevensbescherming, zo meldde de Nederlandse overheid eerder a een Data Protection Impact Assessment (DPIA) dat het ministerie van Justitie en Veiligheid heeft laten uitvoeren. Tot april 2019 had Microsoft de tijd om aanpassingen door te voeren.

Strategisch Leveranciersmanagement Microsoft Rijk (SLM Microsoft Rijk), onderdeel van heeft het ministerie van Justitie en Veiligheid, heeft eerder Privacy Company opdracht gegeven voor het uitvoeren van een Data Protection Impact Assessment (DPIA) op Microsoft Office. De resultaten van dit onderzoek zijn toen in 2018 gepresenteerd (pdf).

In de brief van 1 juli 2019 staat nu het volgende te lezen:

Op 20 december 2018 berichtte ik u, mede namens de minister van Binnenlandse Zaken en Koninkrijksrelaties, over dataverzameling en -opslag door Microsoft. Ik berichtte u ook over het overeengekomen verbeterplan met Microsoft en u medio 2019 per brief nader te informeren over de door Strategisch Leveranciers-management Microsoft Rijk (SLM Microsoft Rijk) uitgevoerde verificatie op de uitvoer van het verbeterplan met Microsoft.

De minister van BZK bevordert vanuit de verantwoordelijkheid voor het Rijksinkoopstelsel, een gecoördineerde benadering van strategische ICT-leveranciers van de rijksoverheid. De verantwoordelijkheid voor de uitvoering hiervan is, conform de governance van het Rijksinkoopstelsel, bij verschillende ministeries belegd. Het aanspreekpunt voor Microsoft is SLM Microsoft Rijk en wordt voor het Rijk uitgevoerd door het ministerie van Justitie en Veiligheid.

SLM Microsoft heeft in 2018 een Data Protection Impact Assessment (DPIA) laten uitvoeren op diagnostische dataverzamelingen (dat is data over het gebruik van de software) in nieuwe versies van Microsoft Office. Met de DPIA is vastgesteld dat er via het product 'Microsoft Office ProPlus' diagnostische gegevens van en over de gebruiker verzameld en opgeslagen werden in een database in de VS. Het verzamelen, opslaan en gebruik van deze gegevens is niet conform de Algemene Verordening Gegevensbescherming (AVG).

SLM Microsoft Rijk is met Microsoft in gesprek gegaan en heeft op 26 oktober 2018 overeenstemming bereikt over een verbeterplan. Microsoft verplichtte zich in dit plan om haar producten dusdanig te wijzigen dat het gebruik daarvan voor de bij SLM Microsoft Rijk aangesloten Rijksorganisaties conform de AVG mogelijk is.

De meest urgente wijzigingen, zoals een instellingsmogelijkheid voor beheerders om de verzamelde gegevens tot een minimum te beperken en een mogelijkheid de verzamelde gegevens te verifiëren, heeft Microsoft inmiddels conform het verbeterplan aangebracht. Microsoft heeft eind april een nieuwe versie van de software aangeboden ter verificatie. Deze nieuwe versie van de software is getest en in orde bevonden. Zowel in het product Office ProPlus als ook Windows 10 Enterprise heeft Microsoft wereldwijd de beloofde verbeteringen doorgevoerd.

Tevens zijn er, zoals afgesproken in het verbeterplan, in mei 2019 aanvullende afspraken gemaakt tussen de Nederlandse Staat en Microsoft waarmee de verplichtingen van de Rijksorganisaties als verwerkingsverantwoordelijke enerzijds en die van Microsoft als verwerker anderzijds nader geregeld worden. De aanvullende afspraken betreffen de verplichtingen die betrekking hebben op de door Microsoft aangeboden producten en diensten met online componenten , waaronder Office ProPlus, Windows 10 Enterprise en de maatregelen op de in de DPIA geïdentificeerde acht risico's ten aanzien van Office ProPlus. De aanvullende afspraken gaan met name over risico 6 ("onvoldoende doelbinding/basis voor geautoriseerde doelen").

Dit risico is weggenomen door in de aanvullende afspraken:
• zeer gedetailleerd overeen te komen voor welke doelen Microsoft gegevens van de verwerkingsverantwoordelijke (inclusief persoonsgegevens) die onder de reikwijdte van de overeenkomsten tussen de Staat en Microsoft vallen, mag gebruiken;
• gebruik en doorgifte van gegevens aan derden voor data analytics, profilering, adverteren, marktonderzoek te verbieden, tenzij dit is toegestaan op basis van schriftelijke instructies van de Staat;
• gedetailleerd overeen te komen hoe gegevens worden geanonimiseerd.

Hiermee zijn de in de DPIA genoemde risico’s in voldoende mate geadresseerd zodat er geen AVG-overtredingen meer hoeven te zijn als een Rijksorganisatie -aangesloten bij SLM Microsoft Rijk- de Microsoftproducten en -diensten besluit te gebruiken en daarbij de implementatierichtlijnen aanhoudt.

Om naleving van Microsoft op de contractuele bepalingen en de AVG te kunnen controleren, een verantwoordelijkheid van de verwerkingsverantwoordelijke, heeft de Nederlandse Staat een procedure voor uitoefening van de verbeterde auditrechten bedongen. Deze audits vinden jaarlijks plaats, waarna een samenvatting van de bevindingen zal worden gepubliceerd op de website van SLM Microsoft.

Voor alle duidelijkheid, terwijl de door de Nederlandse Staat met Microsoft overeengekomen productwijzigingen wereldwijd voor alle zogenaamde Enterprise klanten beschikbaar zijn gekomen, geldt dit niet voor de aanvullende afspraken waarin de verplichtingen van verwerkingsverantwoordelijke en verwerker geregeld worden. De reikwijdte van SLM Microsoft strekt niet verder dan de Rijksdiensten en de daarbij behorende ZBO’s en Agentschappen. Deze aanvullende afspraken zijn daarom uitsluitend van toepassing op die Rijksonderdelen en ZBO’s die aangesloten zijn bij het Rijks Microsoft Business en Services contract onder beheer bij SLM Microsoft Rijk.

Het is voor de bedrijfsvoering van de belang dat er gebruik wordt gemaakt van de courante versies van de software van een leverancier. Deze versies bieden de beste mogelijkheden om de ICT-omgevingen up-to-date en veilig te houden en te beveiliging tegen cyberaanvallen en zijn bovendien aangepast aan de meest recente wetgeving zoals de AVG.

Gezien de behaalde resultaten zoals hierboven beschreven ziet SLM Microsoft Rijk, vanuit AVG-perspectief geen bezwaren voor bij SLM Microsoft aangesloten organisaties Microsoft Office ProPlus, Windows 10 Enterprise en Azure te gebruiken. Het blijft altijd de eigen afweging van een organisatie als verwerkingsverantwoordelijke om te besluiten of en welk product of dienst geschikt is voor een specifieke toepassing. Hierbij dienen ook andere factoren zoals informatiebeveiligingsaspecten en specifieke wet- en regelgeving voor de organisatie gewogen te worden.

Dutch IT events

Event icon

Event

Future of Business Technology - 23 april 2024

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events