Ernst & Young (EY) heeft vorig jaar in opdracht van SLM Microsoft Rijk een audit uitgevoerd naar de maatregelen van Microsoft met betrekking tot profilering in de periode 1 juli tot en met 30 september 2020. “De opzet en de werking van de beheersmaatregelen van Microsoft zijn effectief om te voldoen aan de beheersdoelstellingen die nodig zijn om met een redelijke waarschijnlijkheid te waarborgen dat geen verboden profilering aanwezig is met betrekking tot Office365 ProPlus”, zo concludeert EY in het rapport ‘Assurance report on profiling restrictions with regard to Microsoft Office 365 ProPlus’. Deze audit heeft echter betrekking op een specifieke periode en controle op de blijvende naleving van gemaakte afspraken tussen de Rijksoverheid en Microsoft vraagt om een continu en circulair controleproces. Daartoe behoren met name Data protection impact assessments (DPIA’s) die risico’s aan het licht brengen, kleinere technische verificatieonderzoeken en aanpassingen van de afspraken op basis van de resultaten en wijzigingen in (inter)nationale wet- en regelgeving.

Net zoals de meeste leveranciers wil Microsoft haar klanten zo persoonlijk als mogelijk aanspreken met voor hen relevante informatie. Dit is de reden voor het zogenoemde profileren: het opbouwen van gebruikersprofielen waarmee Microsoft voorspellingen kan doen over gedrag en interesses. Profilering dient onder meer marketingdoeleinden zoals het aanbieden van gepersonaliseerde advertenties, nieuwsbrieven, etc.

De Rijksoverheid vindt het onwenselijk dat leveranciers zonder meer dergelijke profielen creëren van gebruikers van de diensten omdat deze persoonsgegevens bevatten en daarmee onder de Algemene Verordening Gegevensbescherming (AVG) vallen. Conform de AVG vraagt profilering op expliciete toestemming van de gebruiker.

In de rijksbrede Microsoft Business and Services Agreement (MBSA) die SLM Microsoft Rijk overeengekomen is, is het Microsoft verboden om profilering te laten plaatsvinden. De MBSA geeft de Rijksoverheid bovendien het recht om periodiek te (laten) controleren of de leverancier zich in de praktijk houdt aan gemaakte afspraken. Dit zogenaamde auditrecht is een sterk middel om naleving van gemaakte afspraken met Microsoft te borgen.

EY voerde als externe auditor in opdracht van SLM Microsoft Rijk een IT-audit uit die “redelijke zekerheid” biedt dat Microsoft de bescherming van persoonsgegevens in Office 365 ProPlus waarborgt betreffende de navolging van de overeengekomen profileringsbeperkingen.

De audit van EY richtte zich op de wijze waarop Microsoft er voor zorgt dat profilering van persoonsgegevens wordt voorkomen en Microsoft de volgende maatregelen toepast:

• Risicobeoordeling vanuit het perspectief van de gebruiker bij profilering op basis van persoonsgegevens;
• Intern beleid, richtlijnen en instructies om naleving met betrekking tot profilering te waarborgen;
• Ontworpen beheersmaatregelen en effectieve werking van beheersmaatregelen;
• Monitoren en evalueren van, en rapporteren over de compliance;
• Reageren op mogelijke gevallen van niet-naleving.

Op 17 maart 2021 leverde EY de bevindingen op in het rapport ‘Assurance report on profiling restrictions with regard to Microsofts Office 365 ProPlus’. EY maakt daarbij de kanttekening dat het “zoeken naar verboden profilering is als zoeken naar een speld in een hooiberg. De door ons gekozen aanpak is daarom dan ook gericht op het beoordelen van het toepassen van beheersmaatregelen door Microsoft om te ‘voorkomen dat een naald bestaat’ (verboden profilering kan voorkomen), en als ‘een dergelijke naald zou worden gevonden’ (verboden profilering zou worden gedetecteerd), een adequate reactie door Microsoft aanwezig is om ‘de naald te verwijderen’ (functionaliteit van verboden profilering ongedaan te maken).”

De conclusie van het onderzoek is dat de operationele maatregelen bij Microsoft afdoende zijn, zowel qua opzet als werking. Microsofts interne processen zijn dus op orde voor wat betreft het contractuele verbod op profilering. EY stelt met een “redelijke waarschijnlijkheid” vast dat Microsoft kan waarborgen dat geen verboden profilering plaatsvindt met betrekking tot Office365 ProPlus, zoals overeengekomen in de rijksbrede MBSA. “We beschouwen de waarschijnlijkheid dat verboden profilering aanwezig is in Office 365 ProPlus als laag, en indien toch verboden profilering zou worden opgemerkt, dan zijn beheersmaatregelen aanwezig om dergelijke verboden profilering te elimineren”, aldus het rapport. Dit betekent dat de Rijksdiensten en de daarbij behorende ZBO’s en Agentschappen die aangesloten zijn bij de rijksbrede MBSA kunnen werken met Microsoft Office365 ProPlus conform de AVG. De controle is overigens ook bruikbaar voor SURF en VNG, aangezien SLM Rijk ook deze organisaties vertegenwoordigt bij privacy-audits op Microsoft.

Continu en circulair controleproces
Het is belangrijk op te merken dat de conclusie van de audit van EY geldt voor de periode 1 juli tot en met 30 september 2020. Het rapport van EY wijst er dan ook op dat dit niet garandeert dat er buiten deze periode geen onrechtmatige profilering heeft plaatsgevonden of zal plaatsvinden. Daarom is SLM Microsoft Rijk van mening dat de controle op de naleving door Microsoft een continu en circulair controleproces moet zijn dat bestaat uit drie fasen:

1. Het uitvoeren van DPIA’s en technische onderzoeken.
2. Het uitvoeren van IT-audits.
3. Het evalueren van de contract-, product- en gebruiksvoorwaarden en de (wijzigende) wet- en regelgeving in Nederland, Europa en het land van dataopslag en/of -verwerking en het waar nodig aanpassen van de voorwaarden op basis van de resultaten van deze evaluaties, onderzoeken en audits.

Naast IT-audits laat SLM Microsoft Rijk met regelmaat technische onderzoeken uitvoeren, waarbij concreet gekeken wordt naar datastromen tussen Rijksorganisaties en de cloudomgeving van Microsoft en de verwerking van gegevens door Microsoft. De uitkomsten van deze onderzoeken worden vervolgens getoetst aan de contractuele afspraken. Door middel van deze en verschillende andere controlemaatregelen verwacht SLM Rijk voldoende grip te hebben op de verwerkingsactiviteiten van Microsoft.