In deze toelichting vindt u een nadere duiding van de DPIA en achtergrondinformatie over de gevonden privacyrisico’s.
Hoog risico
Sinds juni 2019 heeft Microsoft in overleg met SLM Rijk en SURF, veel juridische, technische en organisatorische maatregelen genomen om de risico’s voor de privacy van leerlingen en medewerkers te beperken. Uit de onlangs uitgevoerde DPIA blijkt dat er een hoog risico bestaat voor het delen van gevoelige en bijzondere persoonsgegevens via Microsoft Teams, SharePoint of OneDrive. Om dit risico te verlagen, is het advies om geen bijzondere of gevoelige persoonsgegevens op te slaan of te delen in Teams, en om in OneDrive en SharePoint gegevens te versleutelen. Microsoft biedt nog geen end-to-end encryptie (E2EE) voor de streaming communicatie met meerdere deelnemers in Teams. Microsoft heeft bevestigd dat ze E2EE mogelijk gaat maken in Teams-groepsvergaderingen en voor de chats maar noemt nog geen termijn.
Het risico op dit onderdeel is nog ‘hoog’. SIVON, SURF, APS IT-diensten en SLBdiensten trekken gezamenlijk op om Microsoft op dit punt tot een concrete toezegging te bewegen, zodat dit risico gemitigeerd is. Als de toezegging er is, kan het risico worden beperkt tot ‘laag’. Voor spontane één op één Teams calls is E2EE wel beschikbaar.
Voor OneDrive en SharePoint is het advies om de gegevens die bij Microsoft worden opgeslagen, apart te versleutelen, met een eigen sleutel (key). Hierdoor wordt de toegang tot deze persoonsgegevens beperkt tot de eigen organisatie. Er wordt onderzocht wat de mogelijkheden zijn voor scholen om encryptiesoftware te gebruiken. Dit kan bijvoorbeeld met behulp van het programma Microsoft Double Key Encryption (DKE). Uit eerder onderzoek van de AIVD blijkt dat bij dit product Microsoft geen toegang heeft tot de sleutel. Door de gegevens te versleutelen, is dit risico beperkt tot ‘laag’. SIVON is samen met SURF, SLBdiensten en APS IT-diensten in gesprek met Microsoft met als doel deze software voor alle onderwijsinstellingen laagdrempelig ter beschikking te stellen.
Ook al werkt Microsoft aan een oplossing voor Europese klanten door een Europees datacentrum te bouwen (EU Data Boundery) waarin alle persoonsgegevens worden verwerkt, dan blijft het risico dat de toegang tot die informatie beperkt moet worden.
Hoge risico: doorgifte van persoonsgegevens naar de VS
De risico’s voor de privacy van leerlingen en medewerkers, hangt samen met wie er toegang heeft tot hun persoonsgegevens. Bij het hoge risico gaat het over de doorgifte van gevoelige en bijzondere persoonsgegevens vanuit Nederland naar landen buiten de Europese Economische Ruimte (EER). De AVG noemt dit derde landen. De regels van de AVG zijn niet automatisch van toepassing in deze derde landen: er is geen adequaat beschermingsniveau van de persoonsgegevens. Daarom gelden er aparte regels als persoonsgegevens worden uitgewisseld met of opgeslagen in deze derde landen. Volgens de gezamenlijke Europese privacytoezichthouders, verenigd in de EDPB, moet er een aparte privacytoets worden uitgevoerd op deze doorgifte. Dit wordt in de DPIA een data transfer impact assessment (DTIA) genoemd. In deze DPIA is in opdracht van het ministerie van Justitie en Veiligheid het toepasselijk Amerikaans recht onderzocht en wat de risico’s daarvan zijn van doorgifte van persoonsgegevens aan de Verenigde Staten. Bij het gebruik van Amerikaanse cloudleveranciers zoals Microsoft, is gebleken dat het risico bestaat dat Amerikaanse opsporings- en inlichtingendiensten toegang krijgen tot persoonsgegevens van gebruikers van de clouddiensten. Hierbij blijkt dat de privacy van de gebruikers van deze clouddiensten daarbij minder goed is beschermd volgens de normen van de AVG. Voor “gewone” soorten persoonsgegevens worden de doorgifterisico’s als zeer laag beoordeeld.
De kans dat een bedrijf als Microsoft wordt gedwongen persoonsgegevens van EU-klanten uit de publieke sector te verstrekken, lijkt klein. Toch is dit niet in overeenstemming met de AVG: het risico doet zich zelfs voor wanneer deze gegevens uitsluitend in de EU worden verwerkt en opgeslagen, omdat toegang tot deze gegevens kan worden gevorderd via Amerikaanse wetgeving zoals de US CLOUD Act.
Microsoft heeft verklaard dat ze nog geen verzoeken heeft gehad van overheden met betrekking tot personen in de (Nederlandse) publieke sector en het beleid is ook om tegen dat soort verzoeken in beroep te gaan.
Gegevens zelf versleutelen
Microsoft slaat alle data encrypted op. Het probleem is dat de encryptie sleutel door Microsoft beheerd wordt. Microsoft kan door de Amerikaanse opsporings- en inlichtingendiensten gedwongen worden de sleutel af te geven. Zelfs al is het lastig voorstelbaar dat deze Amerikaanse diensten de gegevens van bijvoorbeeld een 8-jarige leerling willen inzien. Als scholen zelf hun persoonsgegevens versleutelen, en de sleutel dus zelf houden, dan kan Microsoft daar niet meer bij. En daarmee kunnen de Amerikaanse opsporings- en inlichtingendiensten ook niet meer bij de persoonsgegevens van de school.
Gevoelige en bijzondere persoonsgegevens
De hoge risico’s die in de DPIA genoemd worden, gelden voor gevoelige en bijzondere persoonsgegevens. Bij het gebruik van ‘gewone’ persoonsgegevens is het oordeel in de DPIA dat dit minder impact heeft op de privacy van de gebruikers. Als bijvoorbeeld Amerikaanse veiligheidsdiensten toegang krijgen tot gewone persoonsgegevens van een leerling of medewerker, is de impact op de privacy beperkt. Het gebruik van deze persoonsgegevens binnen Microsoft Teams, OneDrive en SharePoint levert geen hoge risico’s op.
Bij gevoelige en bijzondere persoonsgegevens is dat anders. Bijzondere persoonsgegevens zijn apart in de AVG genoemd. Het gebruik van bijzondere persoonsgegevens is standaard niet toegestaan tenzij je een beroep kunt doen op een uitzondering. Voor het onderwijs geldt bijvoorbeeld dat gezondheidsgegevens alleen gebruikt mogen worden als dat noodzakelijk is voor het leren en begeleiden van een leerling. Ze zijn bijzonder omdat het gebruik van deze gegevens iemands privacy ernstig kan beïnvloeden. Voorbeelden zijn gezondheidsgegevens, levensovertuiging, politieke voorkeur, ras of etnische afkomst. Bij gevoelige gegevens op school gaat het volgens de Autoriteit Persoonsgegevens (AP) om gegevens die snel inbreuk (kunnen) maken op de persoonlijke levenssfeer. Het gaat bijvoorbeeld om leerresultaten van kinderen, omdat daar conclusies aan kunnen worden verbonden met gevolgen voor het latere maatschappelijke leven. Of het gaat om grote verzamelingen van informatie van (zeer) jonge kinderen, gegevens over (problematische) gezinssituatie, gezondheid of zelfs mishandeling. Het is extra belangrijk dat scholen zeggenschap houden over deze gegevens en weten wat daarmee gebeurt. Naarmate de gegevens een gevoeliger karakter hebben, of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden volgens de AP zwaardere eisen gesteld aan de beveiliging van de gegevens. Daarom blijkt uit de afweging in deze DPIA dat het risico bij het gebruik van gevoelige en bijzondere persoonsgegevens hoog is: de toegang tot deze gegevens is niet beperkt (genoeg) voor Microsoft en de Amerikaanse opsporings- en inlichtingendiensten.
6 lage privacyrisico’s
Naast het hoge risico, zijn er 6 lage privacyrisico’s geïdentificeerd.
- Verlies van controle en heridentificatie van pseudonieme persoonsgegevens door de structurele doorgifte van telemetriegegevens naar de VS. Uit het onderzoek blijkt dat Microsoft informatie verzamelt over hoe gebruikers gebruik maken van de onderzochte Microsoft-producten. Dit wordt opgeslagen met een pseudoniem, maar door de manier waarop Microsoft deze informatie opslaat, is de informatie te herleiden. Vanaf 2023 is dit risico te beperken door ervoor te kiezen om alle diagnostische gegevens, support tickets en account gegevens exclusief in de EU te laten verwerken. Na 2022 wordt de doorgifte van persoonsgegevens beperkt (incidenteel, gepseudonimiseerd en geaggregeerd). Hierdoor is het risico beperkt tot laag.
- Verlies van controle en oneigenlijke verdere verwerking vanwege de incidentele verwerking van padnamen, gebruikersnamen en e-mailadressen in specifieke telemetrieberichten over OneDrive. Gegevens over gebruik van de onderzochte Microsoft-diensten, bevat alleen pseudonieme gegevens. De toegang tot deze informatie door Microsoft is beperkt. Systeembeheerders kunnen zelf risicoverlagende maatregelen toepassen, zoals het gebruik van pseudoniemen in de Azure AD, en het opstellen van beleid dat medewerkers geen persoonsgegevens mogen gebruiken in bestands- en padnamen. Als deze maatregelen worden toegepast, is het risico beperkt tot laag. Het gebruik van telefoonnummers voor multi factor authenticatie wordt afgeraden. De telefoonnummers worden unencrypted doorgegeven en zijn dus te onderscheppen. Als mitigerende maatregel adviseren we de authenticator app te gebruiken.
- Verlies van controle en gebrek aan transparantie over de telemetriegegevens uit de browser, en over het gebruik van zogenaamde ‘Verbonden Ervaringen’ (Connected Experiences). Microsoft noemt deze categorie van gebruiksinformatie (telemetriegegevens) Required Service Data. Volgens Microsoft zijn deze gegevens te dynamisch of te bedrijfsvertrouwelijk van aard om in detail te publiceren, maar ze geeft wel inzage (indien beschikbaar) via inzageverzoeken. Microsoft bevestigt dat de gegevens uitsluitend worden verwerkt voor de drie overeengekomen verwerkingsdoeleinden die met SURF zijn afgesproken en zijn opgenomen in de contracten met scholen. Daarmee is het risico bepaald op laag.
- Beperkingen op het recht van inzage voor betrokkenen. Uit het onderzoek blijkt dat de functie die Microsoft aanbiedt aan systeembeheerders om de informatie (diagnostische gegevens) uit te draaien, over het gebruik van de diensten door één of meerdere werknemers, resultaten oplevert die moeilijk te begrijpen zijn. Microsoft heeft toegezegd om beheerders beter te helpen bij inzageverzoeken, ook als dat uitleg vergt van Microsoft waarom sommige Required Service Data géén persoonsgegevens zijn of niet meer beschikbaar zijn omdat ze onmiddellijk van alle identifiers zijn ontdaan. Het risico is met deze uitleg beperkt tot laag.
- Oneigenlijke verdere verwerking door derde partijen. Uit onderzoek van Privacy Company bleek dat Microsoft verkeer doorgaf aan een aantal derde partijen via ingebouwde diensten in Teams, OneDrive en SharePoint. Microsoft heeft dit risico grotendeels verholpen door ofwel een subverwerkersovereenkomst aan te gaan, of door systeembeheerders in staat te stellen het verkeer centraal te blokkeren. Wel bleek dat er nog verkeer was naar Microsoft’s zoekmachine Bing als een gebruiker een plaatje wilde invoegen in een SharePoint pagina. Microsoft is voor Bing een zelfstandige verantwoordelijke met eigen commerciële doelen. Microsoft heeft toegezegd dat verkeer naar Bing vanuit SharePoint uiterlijk in juli 2022 verwijderd is. Daarom is het risico beperkt tot laag.
- Personeelsvolgsysteem: chilling effect. Microsoft biedt verschillende analytische diensten aan voor Teams: Teams Analytics & Reports en Viva Insights. Teams Analytics & Reports geeft gedetailleerde inzichten aan systeembeheerders over individueel werkgedrag. Systeembeheerders van scholen moeten dit risico beperken door deze functionaliteit uit te schakelen. Microsoft is niet bereid de standaardinstelling te wijzigen. Viva Insights is wel privacyvriendelijker geconfigureerd: die staat standaard uit. Deze tool omvat MyAnalytics en Workplace Analytics. Dit zijn diensten die werknemers informatie bieden over hun productiviteit, en managers inzicht bieden in de werkpatronen van individuele werknemers. Hiermee is dit risico ook beperkt tot laag.
Adviezen voor scholen
Scholen moeten zelf een aantal maatregelen nemen om de in de DPIA genoemde risico’s te beperken. In deze handleiding heeft SIVON deze maatregelen voor u op een rij gezet.
Google Workspace for Education
Net als bij Microsoft, is Google een Amerikaans bedrijf. SIVON heeft eerder een DPIA uitgevoerd op Google Workspace for Education. Ook bij Google bestaat de mogelijkheid dat Amerikaanse opsporings- en inlichtingendiensten toegang eisen tot persoonsgegevens van gebruikers van Google producten. SIVON gaat daarom in samenwerking met SURF en SLM Rijk de komende periode aan de hand van deze DPIA een data transfer impact assessment (DTIA) uitvoeren. Deze DTIA wordt naar verwachting voor de zomer gepubliceerd.
Voorbehoud
Het is niet zeker hoe alle Europese privacytoezichthouders (verenigd in de EDPB) de risico’s van doorgifte van persoonsgegevens aan Amerikaanse cloud-providers beoordelen. Er wordt door de EDPB een onderzoek uitgevoerd naar het gebruik van clouddiensten door publieke (sector)organisaties. De resultaten worden eind 2022 verwacht. Voor de huidige DPIA zijn de risico’s van doorgifte streng beoordeeld, met inbegrip van een afzonderlijke DTIA. Zo nodig wordt deze DPIA en DTIA in 2023 geactualiseerd.
Als de EDPB het risico van doorgifte toch hoger inschat dan blijkt uit deze DPIA en de DPIA op Google Workspace for Education, dan kunnen organisaties in Europa eigenlijk geen gebruik meer maken van diensten van Amerikaanse providers. Dit zal veel grotere gevolgen hebben dan alleen het gebruik van Google en Microsoft producten. SIVON houdt u op de hoogte van de ontwikkelingen.