Verificatie van de uitvoering van het overeengekomen verbeterplan

"Head in de cloud, feet on the ground!"

Op 18 juni 2019 hebben de minister van Justitie en Veiligheid, Ferd Grapperhaus, en de minister van Binnenlandse Zaken en Koninkrijksrelaties, Kajsa Ollongren, de Tweede Kamer geïnformeerd over de verificatie van de uitvoering van het met Microsoft overeengekomen verbeterplan.

English version

In 2018 heeft SLM Microsoft een Data Protection Impact Assessment (DPIA) laten uitvoeren voor diagnostische dataverzameling (data over het gebruik van de software) in nieuwe versies van Microsoft Office. De DPIA stelde vast dat diagnostische gegevens van en over gebruikers werden verzameld en opgeslagen in een database in de VS via het product ‘Microsoft Office ProPlus’. Het verzamelen, opslaan en gebruiken van deze gegevens was niet in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG).

SLM Microsoft Rijk is in gesprek gegaan met Microsoft en op 26 oktober 2018 is overeenstemming bereikt over een plan van aanpak. In dat plan heeft Microsoft toegezegd haar producten aan te passen zodat het gebruik ervan door Nederlandse overheidsinstanties die vallen onder SLM Microsoft Rijk mogelijk zou zijn in overeenstemming met de AVG.

Microsoft heeft inmiddels de meest urgente aanpassingen doorgevoerd zoals afgesproken in het verbeterplan. Deze omvatten het toevoegen van een optie voor beheerders om het verzamelen van gegevens tot een minimum te beperken en de mogelijkheid om de verzamelde gegevens te verifiëren. Eind april 2019 heeft Microsoft een nieuwe versie van de software ter verificatie aangeboden. Deze nieuwe versie is getest en goedgekeurd. Microsoft heeft de beloofde verbeteringen wereldwijd doorgevoerd in Office ProPlus en Windows 10 Enterprise.

In mei 2019 zijn, zoals afgesproken in het verbeterplan, aanvullende afspraken gemaakt tussen de Nederlandse staat en Microsoft, waarin de verplichtingen van de Rijksorganisaties als verwerkingsverantwoordelijke en van Microsoft als verwerker nader zijn uitgewerkt. Deze aanvullende afspraken hebben betrekking op de verplichtingen met betrekking tot Microsoft-producten en -diensten met een online component [i], waaronder Office ProPlus en Windows 10 Enterprise, en de maatregelen om de acht risico’s met betrekking tot Office ProPlus die in de DPIA zijn geïdentificeerd aan te pakken. De afspraken hebben primair betrekking op risico 6 (‘onvoldoende doelbinding / basis voor geautoriseerde doeleinden’. Dit risico is weggenomen door in de aanvullende afspraken op te nemen:

  • zeer gedetailleerde afspraken over de doeleinden waarvoor Microsoft de gegevens van de verwerkingsverantwoordelijke mag gebruiken (inclusief persoonsgegevens) die vallen binnen de reikwijdte van de overeenkomsten tussen de staat en Microsoft;
  • een verbod op het gebruik en de verspreiding aan derden van gegevens voor doeleinden van data-analyse, profilering, reclame en marktonderzoek, tenzij de Staat daartoe schriftelijke instructies heeft gegeven;
  • gedetailleerde afspraken over hoe gegevens worden geanonimiseerd. [ii]

Dit betekent dat de risico’s in de DPIA zijn vastgesteld naar tevredenheid zijn aangepakt, zodat er geen overtredingen van de AVG zullen plaatsvinden als een Rijksorganisatie die valt onder SLM Microsoft Rijk besluit gebruik te maken van de betreffende Microsoft-producten en -diensten en zich daarbij houdt aan de implementatierichtlijnen.

De Nederlandse staat heeft een procedure opgesteld voor het uitoefenen van verbeterde auditrechten om te beoordelen of Microsoft de contractuele bepalingen en de AVG – een van de verantwoordelijkheden van de gegevensbeheerder – naleeft. Deze audits zullen jaarlijks plaatsvinden en een samenvatting van de bevindingen zal vervolgens op de website van SLM Microsoft worden gepubliceerd.

Voor de goede orde, hoewel productwijzigingen die door de Nederlandse staat met Microsoft zijn overeengekomen voor alle Enterprise-klanten wereldwijd zijn uitgerold, is dit niet het geval voor de aanvullende overeenkomsten waarin de verplichtingen van de gegevensbeheerder en gegevensverwerker zijn vastgelegd. Het toepassingsgebied van SLM Microsoft heeft alleen betrekking op overheidsinstanties en de bijbehorende afdelings- en niet-afdelingsinstanties. De aanvullende afspraken gelden dan ook uitsluitend voor de overheidsinstanties en niet-departementale instanties die partij zijn bij het door SLM Microsoft Rijk beheerde contract Microsoft Business and Services Rijk.

Om operationele redenen is het belangrijk dat de actuele versies van de software van een leverancier worden gebruikt. Deze versies bieden de beste mogelijkheid om IT-omgevingen up-to-date, veilig en beschermd te houden tegen cyberaanvallen en te voldoen aan de eisen in recente wetgeving zoals de AVG.

In het licht van de behaalde resultaten, die hierboven zijn uiteengezet, ziet SLM Microsoft Rijk geen bezwaren met betrekking tot de AVG voor organisaties die onder SLM Microsoft vallen om gebruik te maken van Microsoft Office ProPlus, Windows 10 Enterprise en Azure. Organisaties blijven echter in hun rol als verwerkingsverantwoordelijke verantwoordelijk om te beslissen of een product of dienst geschikt is voor een specifiek doel. Ook factoren als informatiebeveiliging en specifieke legalisatie die voor de organisatie gelden, moeten in overweging worden genomen.

[i] Deze producten en services worden beschreven in de Online Service Terms (OST).
[ii] WP29 Advies 05/2014 over anonimiseringstechnieken (WP216)