Office365 en Windows 10 toegestaan volgens AVG?

Office 365 AVG Windows 10 GDPR gebruik toegestaan?

Mag ik volgens de AVG gebruik maken van Office365 en Windows 10?

Het antwoord op deze vraag is ‘ja’. Helaas kun je niet alle functionaliteit gebruiken van Office365 en Windows 10 en dien je privacyinstellingen aan te passen. Lees hieronder verder en zie waar je wel en geen gebruik van mag maken (en met welke instellingen). We proberen het zo makkelijk mogelijk uit te leggen.

Onderzoek overheid 2018

Eind 2018 is in opdracht van het Ministerie van Veiligheid en Justitie een onderzoek uitgevoerd naar Office 2016 en Office365. Er onderzoek gedaan naar de privacyrisico’s bij het gebruik van deze pakketten. In het bijzonder naar diagnostische data (niet bekend is waarom andere soorten zijn weggelaten). Bij de overheid wordt op ongeveer 300.000 werkplekken gebruik gemaakt van deze software van Microsoft.

Uitkomst van dit onderzoek was dat Microsoft met haar Officepakketten op grote schaal persoonsgegevens verzamelt en bewaart over het gedrag van individuele werknemers, de diagnostische data. Het gaat dus niet om inhoudelijke data, maar om metadata. Medewerkers worden hierop niet gewezen. In het onderzoeksrapport (DPIA) worden 8 hoge privacyrisico’s onderkend voor betrokkenen. De overheid is met haar adviseur en Microsoft in gesprek getreden om naar oplossingen te zoeken.

Update 2019

De problemen met Office365 (Pro Plus) zijn in mei 2019 verholpen. Er zijn technische aanpassingen gedaan en de gebruiksvoorwaarden zijn aangepast.

Office online en de mobiele Office apps zijn echter nog niet voldoende aangepast. Daarnaast is ook gekeken naar Windows 10 Enterprise. Ook Windows 10 Enterprise doorstaat de toets niet. Overheidsinstellingen worden daarom geadviseerd om Office Online en de mobiele Office apps niet te gebruiken. Windows 10 (Enterprise) kan wel worden gebruikt, zolang de privacysetting op ‘Security’-niveau wordt gezet. De privacyrisico’s zijn dan beperkt.

Eerder onderzoek Windows 10 door Autoriteit Persoonsgegevens

Eerder had de Autoriteit Persoonsgegevens al onderzoek gedaan naar Windows 10 (Home en Pro). Uit dit onderzoek bleek dat Microsoft continue technische prestatie- en gebruiksgegevens verzameld. Het gaat daarbij om welke apps zijn geïnstalleerd, hoe vaak ze worden gebruikt en welke sites worden bezocht. Na aandringen van de Autoriteit, informeert Microsoft gebruikers vanaf april 2018 beter over de gegevens die worden verzameld. Daarnaast kan actief worden gekozen voor privacyvriendelijke instellingen. Zie hier het bericht van de Autoriteit.

Les voor de praktijk bij gebruik Office365 en Windows 10

Het gebruik van Windows 10 en Office365 lijkt op grond van de AVG toegestaan. Neem dan wel onderstaande maatregelen. Office Online en zeker de Office apps kun je beter niet gebruiken.

Windows 10

  • Voor Windows 10 Home en Pro: kies privacyvriendelijke instellingen via Windowsknop + I.
  • Voor Windows 10 Enterprise: upgrade naar versie 1903 om Intune te kunnen gebruiken in combinatie met de telemetriesetting ‘Security’.

Office365 ProPlus

  • Upgrade naar versie 1905 of hoger van Office365 ProPlus en zet de telemetrie op het niveau ‘Neither’.
  • Disable additional Connected Experiences.
  • Disable het Customer Experience Improvement Programma (CEIP).
  • Laat medewerkers de mobiele Office apps niet gebruiken.
  • Laat medewerkers de Controller Connected Experiences in Office Online niet gebruiken.
  • Actualiseer het interne privacybeleid voor omgang met diagnostische gegevens uit Microsofts verschillende diensten en producten (bekijken met het doel om te beschermen).

Update 28 augustus 2019

Bij een recente controle van de aanpassingen in Windows 10 Home en Pro is gebleken dat Microsoft mogelijk nog andere persoonsgegevens onrechtmatig verwerkt. De Autoriteit Persoonsgegevens heeft dit doorgespeeld aan de Ierse toezichthouder en gevraagd verder onderzoek te doen. Tot die tijd adviseert de Autoriteit om bij installatie goed te letten op de privacyinstellingen die je kiest.

Bron: https://www.privacycompany.eu/nieuwe-dpias-zakelijke-microsoft-office-en-windows-software-nog-steeds-privacyrisicos-lang/

Update: https://autoriteitpersoonsgegevens.nl/nl/nieuws/microsoft-verbetert-privacybescherming-nader-onderzoek-nodig

 

1 Trackback / Pingback

  1. Citrix: analyse problemen en toekomstig gebruik - PrivacyPortaal.nl

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd.


*