Nederlandse overheid: Microsoft maakt met Office inbreuk op GDPR-regels

De Nederlandse overheid is van mening dat Microsoft inbreuk maakt op de Europese General Data Protection Regulation (GDPR). Er zijn acht pijnpunten aangewezen door de Nederlandse overheid, als het aankomt op de ProPlus-abonnementen van Office 2016 en Office 365. Ook binnen de webversie van Office 365 treft men problemen aan.

De onderzoekers stellen dat Microsoft “grootschalig en geheim persoonlijke gegevens” verzamelt via de telemetrie van Office. Microsoft doet dat zonder de gebruikers daar goed van op de hoogte te stellen. Zo konden de onderzoekers geen formele documentatie vinden over wat voor informatie Microsoft verzamelt via Office. Ook was er geen manier om deze gegevensverzameling uit te schakelen.

Verzamelen normaal?

De onderzoekers gaven wel toe dat het verzamelen van functionele en diagnostische gegevens een veelvoorkomende praktijk is bij softwareontwikkelaars. Maar de onderzoekers stellen dat ze ook ontdekten dat Microsoft-apps ook daadwerkelijk content van gebruikers verzamelen. Zo werden onderwerpregels van e-mails, en zinnen uit documenten overgezet naar de servers van Microsoft. Dat laatste gebeurde als een gebruikers de vertaalmachine of spelchecker van Office inschakelde.

Ondanks dat Microsoft probeert de Office-producten aan GDPR te laten voldoen door de documenten van EU-inwoners op EU-servers op te slaan, werd Nederlandse telemetrische data overgezet naar Amerikaanse servers. Die informatie zou de Amerikaanse overheid kunnen opvragen om bepaalde onderzoeken uit te voeren.

Daar maakt de Nederlandse overheid zich dan ook zorgen over. Er zouden bijvoorbeeld ook gevoelige Nederlandse overheidsdocumenten op de Amerikaanse servers kunnen staan. De overheid draait op meer dan 300.000 computers Office-apps. Dat is voor de overheid extra vervelend, omdat de telemetrie die Microsoft rond Office verzamelt ook verregaander is dan bijvoorbeeld Windows 10.

Hieronder een tabel met alle risico’s die geïdentificeerd zijn en wat mogelijk oplossingen zijn.

De Nederlandse onderzoekers staan al in contact met Microsoft, dat momenteel kijkt naar de oplossingen die de onderzoekers bieden. Zo zal het in elk geval oplossingen #1 en #2 toepassen, en kijkt het bedrijf met de overheid naar #3 tot en met #8. Daardoor zou Microsoft een grote boete kunnen vermijden.