DPIA Microsoft Teams, OneDrive, SharePoint

SURF en SLM Rijk (ministerie van Justitie en Veiligheid) hebben met medewerking van Privacy Company een nieuwe Data Protection Impact Assessment (DPIA) uitgevoerd naar Microsoft Teams in combinatie met OneDrive en SharePoint. Uit deze privacytoets komt naar voren dat er een hoog risico bestaat voor de uitwisseling en opslag van gevoelige en bijzondere persoonsgegevens. 

De DPIA is van toepassing op de cloudversie van Microsoft Teams, OneDrive en SharePoint. Naar de zogenaamde “on premise” versie is geen onderzoek gedaan. 

Hoog risico

Er bestaat een hoog risico voor het delen van gevoelige en bijzondere persoonsgegevens via Microsoft Teams, SharePoint of OneDrive. De toegang tot informatie op OneDrive, SharePoint en groepsgesprekken in Teams zijn niet voldoende versleuteld, omdat Microsoft zelf de toegang (sleutel) heeft. Aangezien Microsoft een Amerikaans bedrijf is, bestaat de mogelijkheid dat Amerikaanse opsporings- en inlichtingendiensten van Microsoft toegang eisen tot persoonsgegevens van gebruikers van deze diensten. Ondanks de kleine kans hierop, is dit een risico voor de privacy van leerlingen en medewerkers. Bij gebruik van de Microsoft-diensten staat de data in Europa, maar de Amerikaanse opsporings- en inlichtingendiensten kunnen Microsoft vorderen toegang te geven tot die persoonsgegevens. De AVG eist daarom dat er aanvullende maatregelen worden genomen. Door gebruik te maken van een vorm van versleuteling waarvan Microsoft de sleutel niet heeft, wordt dit opgelost.  

Volgens de DPIA heeft het gebruik van ‘gewone’ persoonsgegevens minder impact op de privacy van de gebruikers. Als bijvoorbeeld Amerikaans veiligheidsdiensten toegang krijgen tot deze gewone informatie, is het oordeel in de DPIA dat de impact op de privacy beperkt is. Bij gevoelige en bijzondere persoonsgegevens is dat volgens de DPIA anders. Bijzondere persoonsgegevens zijn apart in de AVG genoemd en het gebruik is standaard niet toegestaan tenzij er een uitzondering geldt. Het is extra belangrijk dat scholen zeggenschap houden over deze gegevens en weten wat daarmee gebeurt. Uit de DPIA blijkt dat het risico bij het gebruik van gevoelige en bijzondere persoonsgegevens hoog is, omdat de toegang tot deze gegevens niet voldoende te beperken of te reguleren is.  

Microsoft heeft verklaard dat ze nog geen verzoeken heeft gehad van overheden met betrekking tot personen in de (Nederlandse) publieke sector en dat het beleid is om tegen dat soort verzoeken in beroep te gaan. Daarnaast staat in de overeenkomst met Microsoft dat zij gegevens uitsluitend gebruikt overeenkomstig de gedocumenteerde instructies van de school. Er zijn strenge afspraken, regels en procedures voor medewerkers zodat Microsoft niet zomaar kan snuffelen in bestanden van leerlingen en medewerkers. 

Een nadere duiding van de DPIA en achtergrondinformatie over de overige privacyrisico’s is te lezen in deze uitgebreide toelichting.

Andere risico’s

Naast het hoge risico zijn er zes privacyrisico’s geïdentificeerd die op basis van de DPIA als ‘laag’ beoordeeld kunnen worden als hiervoor de nodige maatregelen worden genomen: 

  1. Verlies van controle en heridentificatie van pseudonieme persoonsgegevens door de structurele doorgifte van telemetriegegevens naar de VS.
  2.  Verlies van controle en oneigenlijke verdere verwerking vanwege de incidentele verwerking van padnamen, gebruikersnamen en e-mailadressen in specifieke telemetrieberichten over OneDrive.
  3. Verlies van controle en gebrek aan transparantie over de telemetriegegevens uit de browser, en over het gebruik van zogenaamde ‘Verbonden Ervaringen’ (Connected Experiences). 
  4. Beperkingen op het recht van inzage voor betrokkenen. 
  5. Oneigenlijke verdere verwerking door derde partijen.  
  6. Personeelsvolgsysteem: chilling effect. 

Al deze risico’s worden beperkt door enerzijds maatregelen die Microsoft genomen heeft, en anderzijds doordat scholen zelf maatregelen kunnen nemen.  

Maatregelen

Om het hoge risico te verlagen, moeten de gegevens in Teams, OneDrive en SharePoint volgens de DPIA worden versleuteld.  

Voor spontane Teams-calls is end-to-end encryptie (E2EE) beschikbaar, wat voldoende is volgens de DPIA. Voor geplande Teams-calls is E2EE nog niet beschikbaar. Microsoft heeft toegezegd dat ze E2EE voor de streaming communicatie met meerdere deelnemers in Teams gaat realiseren, maar niet op welke termijn. Totdat dit is geregeld, adviseren we om tijdens groepsgesprekken in Teams geen gevoelige of bijzondere persoonsgegevens uit te wisselen.  

Het risico op dit onderdeel is nog ‘hoog’. SIVON, SURF, APS IT-diensten en SLBdiensten trekken gezamenlijk op om Microsoft op dit punt tot een concrete toezegging te bewegen, zodat dit risico gemitigeerd is. 

Voor OneDrive en SharePoint is een mogelijke oplossing om de gegevens die daarin worden opgeslagen, apart te versleutelen, met een eigen sleutel (key), zodat Microsoft en via Microsoft Amerikaanse opsporings- en inlichtingendiensten geen toegang heeft tot deze gegevens. Er wordt onderzocht wat de mogelijkheden zijn voor scholen om encryptiesoftware te gebruiken. Dit kan bijvoorbeeld met behulp van het programma Microsoft Double Key Encryption (DKE).  SIVON is samen met SURF, SLBdiensten en APS IT-diensten in gesprek met Microsoft om deze software voor alle onderwijsinstellingen laagdrempelig ter beschikking te stellen. 

Scholen moeten zelf een aantal maatregelen nemen om de in de DPIA genoemde risico’s te beperken. In deze handleiding hebben we die maatregelen voor u op een rij gezet.