Aanvullende afspraken over gegevensbescherming met Microsoft

De Nederlandse rijksoverheid heeft aanvullende afspraken gemaakt met Microsoft om te zorgen dat er controle kan plaatsvinden op de vraag of het bedrijf de afspraken met betrekking tot de naleving van de Algemene Verordening Gegevensbescherming (AVG) nakomt. Eind vorig jaar was er al overeenstemming over de aanpassingen die Microsoft software in lijn brengt met de AVG.

De meest urgente wijzigingen, zoals een instellingsmogelijkheid voor beheerders om de verzamelde gegevens tot een minimum te beperken en een mogelijkheid de verzamelde gegevens te verifiëren, heeft Microsoft inmiddels aangebracht. Microsoft heeft eind april een nieuwe versie van de software aangeboden ter verificatie. Deze nieuwe versie van de software is getest en in orde bevonden. Zowel in het product Office ProPlus als ook Windows 10 Enterprise heeft Microsoft wereldwijd de beloofde verbeteringen doorgevoerd, deze zijn dus ook voor Nederlandse gemeenten te gebruiken.

VNG is in gesprek met het ministerie van Justitie en Veiligheid (JenV) en Microsoft met als insteek om de voorwaarden voor het rijk waar mogelijk ook te laten gelden voor Nederlandse gemeenten.

Lees meer in de kamerbrief “Verificatie op de uitvoering van het overeengekomen verbeterplan met Microsoft”

*Update eind juli 2019

Eind juli bleek uit een blog van de uitvoerder van de DPIA dat het gebruik van Windows 10 Enterprise en de mobiele Office apps nog niet onder de reikwijdte vallen van de afspraken met het rijk. Bovendien zijn bepaalde technische verbeteringen die Microsoft heeft doorgevoerd in Office 365 ProPlus, (nog) niet beschikbaar in Office Online. Het rijk werkt eraan om ook deze verbeterpunten in de afspraken te verwerken.

Uit berichtgeving in de media over dit onderwerp zou men haast de conclusie trekken dat er nieuwe risico’s bestaan. Deze risico’s waren er altijd al maar komen dankzij de AVG en dankzij de uitgevoerde DPIA’s aan het licht. Dat een Amerikaanse multinational zich iets aantrekt van privacyrisico’s uit een DPIA van Nederland is de winst van het gegevensbeschermingsregime in Europa en zo worden de producten langzaam maar zeker privacyvriendelijker. Verbeteringen van deze aard kosten tijd en er is geen aanleiding voor drastische maatregelen aan de klantzijde als gevolg van de DPIA’s. Het advies blijft om gebruik te maken van de meest recente versie van de softwareproducten en de opgestelde implementatierichtlijnen te volgen.