terug

Privacytoets op Microsoft Teams, OneDrive, SharePoint

SURF en SLM Rijk (ministerie van Justitie en Veiligheid) hebben met medewerking van Privacy Company een nieuwe Data Protection Impact Assessment (DPIA) uitgevoerd naar Microsoft Teams in combinatie met OneDrive en SharePoint. Uit deze privacytoets komt naar voren dat er een hoog risico bestaat voor de uitwisseling en opslag van gevoelige en bijzondere persoonsgegevens. 

Microsoft slaat gegevens in Teams, Onedrive en Sharepoint versleuteld op. Het probleem is dat zij zelf de sleutel hebben. SIVON pakt dit samen met SURF, APS IT-diensten en SLBdiensten op.

In dit artikel leggen wij uit wat deze DPIA voor scholen in het primair en voortgezet onderwijs betekent en geven wij adviezen om risico’s te beperken.

Hoog risico: Amerikaanse overheid kan een verzoek doen tot toegang van persoonsgegevens 

Er bestaat een hoog risico voor het delen van gevoelige en bijzondere persoonsgegevens via Microsoft Teams, SharePoint of OneDrive. De toegang tot informatie op OneDrive, SharePoint en groepsgesprekken in Teams zijn niet voldoende versleuteld, omdat Microsoft zelf de toegang (sleutel) heeft. Aangezien Microsoft een Amerikaans bedrijf is, bestaat de mogelijkheid dat Amerikaanse opsporings- en inlichtingendiensten van Microsoft toegang eisen tot persoonsgegevens van gebruikers van deze diensten. Ondanks de kleine kans hierop, is dit een risico voor de privacy van leerlingen en medewerkers. Bij gebruik van de Microsoft-diensten staat de data in Europa, maar de Amerikaanse opsporings- en inlichtingendiensten kunnen Microsoft vorderen toegang te geven tot die persoonsgegevens. De AVG eist daarom dat er aanvullende maatregelen worden genomen. Door gebruik te maken van een vorm van versleuteling waar Microsoft de sleutel niet van heeft, wordt dit opgelost.  

Volgens de DPIA heeft het gebruik van ‘gewone’ persoonsgegevens minder impact op de privacy van de gebruikers. Als bijvoorbeeld Amerikaans veiligheidsdiensten toegang krijgen tot deze gewone informatie, is het oordeel in de DPIA dat de impact op de privacy beperkt is. Bij gevoelige en bijzondere persoonsgegevens is dat volgens de DPIA anders. Bijzondere persoonsgegevens zijn apart in de AVG genoemd en het gebruik is standaard niet toegestaan tenzij er een uitzondering geldt. Het is extra belangrijk dat scholen zeggenschap houden over deze gegevens en weten wat daarmee gebeurt. Uit de DPIA blijkt dat het risico bij het gebruik van gevoelige en bijzondere persoonsgegevens hoog is, omdat de toegang tot deze gegevens niet voldoende te beperken of te reguleren is.  

Microsoft heeft verklaard dat ze nog geen verzoeken heeft gehad van overheden met betrekking tot personen in de (Nederlandse) publieke sector en dat het beleid is om tegen dat soort verzoeken in beroep te gaan. Daarnaast staat in de overeenkomst met Microsoft dat zij gegevens uitsluitend gebruikt overeenkomstig de gedocumenteerde instructies van de school. Er zijn strenge afspraken, regels en procedures voor medewerkers zodat Microsoft niet zomaar kan snuffelen in bestanden van leerlingen en medewerkers. 

Een nadere duiding van de DPIA en achtergrondinformatie over de overige privacyrisico’s is te lezen in deze uitgebreide toelichting.

Hoe kan het risico worden gemitigeerd?  

Om het hoge risico te verlagen, moeten de gegevens in Teams, OneDrive en SharePoint volgens de DPIA versleuteld worden.  

Voor spontane Teams call is end-to-end encryptie (E2EE) beschikbaar, dat is voldoende volgens de DPIA. Voor geplande Teams call is E2EE nog niet beschikbaar. Microsoft heeft toegezegd dat ze E2EE voor de streaming communicatie met meerdere deelnemers in Teams gaat realiseren, maar niet op welke termijn. Totdat E2EE in Teams is geregeld door Microsoft, geven we in overweging om in Teams tijdens groepsgesprekken geen bijzondere of bijzondere persoonsgegevens uit te wisselen.  

Het risico op dit onderdeel is nog ‘hoog’. SIVON, SURF, APS IT-diensten en SLBdiensten trekken gezamenlijk op om Microsoft op dit punt tot een concrete toezegging te bewegen, zodat dit risico gemitigeerd is. 

Voor OneDrive en SharePoint is een mogelijke oplossing om de gegevens die daarin worden opgeslagen, apart te versleutelen, met een eigen sleutel (key), zodat Microsoft en via Microsoft Amerikaanse opsporings- en inlichtingendiensten geen toegang hebben tot de gegevens opgeslagen in deze diensten. Er wordt onderzocht wat de mogelijkheden zijn voor scholen om encryptiesoftware te gebruiken. Dit kan bijvoorbeeld met behulp van het programma Microsoft Double Key Encryption (DKE).  SIVON is samen met SURF, SLBdiensten en APS IT-diensten in gesprek met Microsoft met als doel deze software voor alle onderwijsinstellingen laagdrempelig ter beschikking te stellen. 

Welke andere risico’s zijn er? 

Naast het hoge risico zijn er zes privacyrisico’s geïdentificeerd die op basis van de DPIA als ‘laag’ beoordeeld kunnen worden als hiervoor de nodige maatregelen worden genomen: 

  1. Verlies van controle en heridentificatie van pseudonieme persoonsgegevens door de structurele doorgifte van telemetriegegevens naar de VS.
  2.  Verlies van controle en oneigenlijke verdere verwerking vanwege de incidentele verwerking van padnamen, gebruikersnamen en e-mailadressen in specifieke telemetrieberichten over OneDrive.
  3. Verlies van controle en gebrek aan transparantie over de telemetriegegevens uit de browser, en over het gebruik van zogenaamde ‘Verbonden Ervaringen’ (Connected Experiences). 
  4. Beperkingen op het recht van inzage voor betrokkenen. 
  5. Oneigenlijke verdere verwerking door derde partijen.  
  6. Personeelsvolgsysteem: chilling effect. 

Al deze risico’s worden beperkt door enerzijds maatregelen die Microsoft genomen heeft, en anderzijds doordat scholen zelf maatregelen kunnen nemen.  

Welke maatregelen kan ik nemen? 

Scholen moeten zelf een aantal maatregelen nemen om de in de DPIA genoemde risico’s te beperken. In deze handleiding heeft SIVON deze maatregelen voor u op een rij gezet. 

De DPIA is van toepassing op de cloudversie van Microsoft Teams, OneDrive en SharePoint. Naar de zogenaamde “on premise” versie is geen onderzoek gedaan.