De Nederlandse overheid liet een DPIA (Data Protection Impact Assessment) uitvoeren op Microsoft Office ProPlus. Uit deze DPIA bleek dat Microsoft op grote schaal persoonsgegevens verwerkt over het gedrag van gebruikers. De verzameling van die persoonsgegevens gebeurt zonder dat de gebruiker hierover geïnformeerd wordt, zonder toestemming van de gebruiker, zelfs zonder dat de gebruiker dit kan uitschakelen of zelfs nog maar kan zien over welke gegevens het gaat.

Gegevens over gebruik Office

Microsoft slaat gegevens op van het gebruik van Word, Excel, Powerpoint en Outlook (zowel de online versies als de lokaal geïnstalleerde versies). Microsoft heeft een pilot lopende om de gegevens van die programma’s op te slaan in de Microsoft Cloud (via Sharepoint en OneDrive).

Microsoft verzamelt diagnostische gegevens over de handelingen van de gebruiker via ingebouwde telemetriesoftware. De verzamelde gegevens worden periodiek in een batch naar de servers van Microsoft in de US gestuurd. Bij online gebruik van diensten (bijvoorbeeld de online versie van Office 365) wordt het gebruik ook vastgelegd in de logbestanden van Microsoft zelf.

Het is echter niet duidelijk welke inhoud van bestanden met deze diagnostische gegevens worden opgeslagen. Zo blijkt dat deze diagnostische gegevens onder andere bevatten welke woorden voor en na een woord dat u wil vertalen komen. Microsoft heeft bijvoorbeeld ook aangegeven dat ze niet de inhoud van e-mails opslaat, maar de logbestanden van Microsoft geven wel de onderwerp-titels van e-mail weer. Voorlopig is het onmogelijk om als gebruiker te zien welke gegevens precies worden verzameld en doorgestuurd.

Onderhandelingen met de Nederlandse overheid

Gezien potentieel heel wat gegevens met een hoog risico op die manier door Microsoft worden verwerkt zonder toestemming of passende garanties is duidelijk dat er actie ondernomen moet worden. De Nederlandse overheid, die gebruik maakt van Microsoft en 300.000 gebruikers uitmaakt, is daarom in onderhandeling getreden met Microsoft om deze problemen te verhelpen.

Microsoft heeft naar aanleiding van de DPIA zero exhaust settings ontwikkeld, waardoor er zo geen telemetriegegevens meer zouden verzameld worden (als de zero exhaust settings aangezet worden). Deze initiatieven zijn wel een begin, maar er blijven nog een aantal problemen over, niet in het minst de reeds gedane verwerkingen van persoonsgegevens.

Wat te doen?

Theoretische technische maatregelen

Ervan uit gaand dat de optie ooit toegankelijk wordt, kan de office beheerder de zero exhaust settings toepassen voor alle gebruikers. Daarnaast kan hij de vrijwillige connected services uitschakelen (zoals de online spellingschecker en vertaalservice). Microsoft vraagt ook om gegevens te delen om Office te verbeteren, maar de beheerder kan uitschakelen dat gebruikers deze melding krijgen (en zo hun gegevens delen).

Het gebruik van de Microsoft Cloud, zoals Sharepoint en OneDrive is op zich problematisch. Het kan aangewezen zijn enkel lokaal geïnstalleerde versies van Office te gebruiken en niet de online versie van Office 365.

Tot slot kan men ook opteren voor alternatieve software. Hierbij moet men natuurlijk wel uitkijken dat deze software niet aan dezelfde gegevensrisico’s is blootgesteld als Office.

Haalbare organisatorische maatregelen

Bovenstaande technische maatregelen laten echter niet toe om het risico bij het gebruik van Office volledig uit te sluiten, noch zijn ze voor iedereen haalbaar. En zoals de Nederlandse overheid zelf in onderhandeling treden met Microsoft lijkt weinig realistisch.

Het is echter geen optie om geheel niks te ondernemen, gezien je dan in de problemen komt met je eigen GDPR-verplichtingen. Deze realiteit moet worden meegenomen in uw risicoanalyse en veiligheidsplan/beleid. Bij stilzitten van Microsoft kan bijvoorbeeld beleidsmatig worden uitgemaakt om op termijn te kijken naar alternatieven. Daarnaast kan men de Gegevensbeschermingsautoriteit raadplegen in het kader van de residuele risico’s die blijken uit de DPIA van de Nederlandse overheid.

 

De GDPR voorziet expliciet dat een Data Protection Officer  een externe consultant kan zijn. Dit heeft als voordeel dat hij met de nodige afstand en onafhankelijk kan opereren t.o.v. van het bedrijf.

Ontslag DPO

Bovendien vereist de GDPR dat de DPO geen instructies mag ontvangen van de onderneming in de uitvoeringen van zijn taken en worden ontslagen (of blootgesteld aan andere disciplinaire acties) vanwege de uitvoering van zijn taken als DPO. Dit heeft belangrijke implicaties indien men een werknemer aanstelt als DPO, o.a. dat het moeilijk te combineren zal zijn met de functie van een werknemer die per definitie onder het gezag van zijn werkgever staat.

Onafhankelijkheid DPO

Bovendien zullen in het geval van een interne DPO ook de nodige structuren dienen te worden aangepast om hem voldoende macht en onafhankelijkheid te geven. En moet de organisatie voorzien in training en opleiding van de DPO. Dit zal in veel meerdere mate het geval zijn bij een externe DPO die op dat vlak zal kunnen terugvallen op zijn eigen organisatie.

Een instantie als DPO

Bovendien kan de externe consultant ook een organisatie zijn, waardoor zij verschillende personen kunnen inzetten om met hun gedeelde expertise de functie van DPO in te vullen. In dat geval moet er wel worden voorzien in een heldere taakverdeling, met een centrale contactpersoon.

Vertrouwensfunctie DPO

Personen wiens gegevens worden verwerkt hebben meer vertrouwen in een externe DPO instantie buiten iemand die binnen het bedrijf zelf werkzaam is.

Continuïteit

De werkgever zal vaak investeringen moeten doen in opleidingen, softwarepakketten en organisatie om zijn interne DPO in staat te stellen zijn functie naar behoren uit te laten oefenen. Hierbij bestaat er een reëel risico op afwervingvan die persoon, zeker gezien deze nieuwe functie zeer gevraagd zal zijn.

Vlakke functie

De functie van DPO is een vlakke functie die er door een bepaalde medewerker zal moeten worden bijgenomen en is op zich dus een vlakke functie die de betrokkene weinig doorgroeimogelijkheden zal bieden.

De GDPR voorziet dat in bepaalde gevallen organisaties verplicht zijn een DPO aan te stellen. Wil je weten of je verplicht een DPO moet aanstellen? Gebruik onze DPO-checker tool. Maar ook indien het niet wettelijk verplicht is, kan het toch bijzonder nuttig zijn om een DPO aan te stellen.

De voordelen van een vrijwillig aangestelde DPO

  • Het is een duidelijk signaal dat je privacy en gegevensbescherming ernstig neemt en bevordert een positief imago;
  • Een DPO helpt u in ieder geval bij het tegemoetkomen aan de (nieuwe) verplichtingen uit de GDPR, zoals o.m.:
    • Helpen bij het implementeren van principes van Privacy by Design & Default;
    • Informatie verstrekking en advisering op vlak van de verplichtingen die voortvloeien uit de GDPR;
    • Toezien compliance (wettelijk en eigen beleid);
    • Uitvoeren en advies verstrekken m.b.t. tot gegevensbeschermingseffectbeoordelingen (in het Engels Privacy Impact Assessment of PIA);
    • Samenwerken met de toezichthoudende autoriteit (in België de Privacy Commissie);
  • Hij is het aanspreekpunt zowel intern als extern voor wat betreft databescherming, wat het vertrouwen bij alle betrokken partijen enkel vergroot.

Schaduw-DPO

Heb je intern al een DPO aangesteld, dan ondersteunen wij hem graag bij het uitvoeren van zijn taken. Zo kunnen wij op korte termijn hem up-to-date brengen met deze nieuwe wetgeving of op lange termijn ondersteuning bieden aangaande de juridische aspecten. Als bijkomend voordeel hebben wij als derde een objectieve kijk op de interne uitdagingen en kunnen nieuwe of andere oplossingen worden aangereikt.