Duitse privacytoezichthouders: Microsoft 365 niet AVG compliant

Risico op inzage door Amerikaanse overheid

Het eerste probleem is dat de Amerikaanse overheid zich toegang kan verschaffen tot data van Amerikaanse bedrijven. De overheid heeft in de VS ook onder de Freedom Act nog steeds vrij grote bevoegdheden data op te vragen van private bedrijven zoals Microsoft, als zij een vermoeden hebben van onrechtmatigheden zoals terrorisme en fraude. Ze mogen inmiddels niet meer net zoals voorheen (onder de Patriot Act) zonder gerechtelijk bevel aftappen bij vermoedens. Deze moeten wel getoetst worden door een rechter maar er blijven verschillende mogelijkheden voor de Amerikaanse overheid om toch toegang te krijgen tot gegevens. Ze kunnen bijvoorbeeld via een MLAT-verzoek (Mutual Legal Assistance Treaty) toegang vragen tot de bestanden. Er zal dus sneller een gegrond verzoek zijn.

Dit risico mitigeert Microsoft door EU hosting aan te bieden en te werken met verwerkersovereenkomsten (DPA’s) en zich te committeren aan de standard contractual clauses van de Europese Commissie (SCC’s). Bovendien geeft Microsoft aan geen ‘customer data’ te verstrekken aan overheden zonder dat hier een schriftelijk verzoek van politie of justitie aan ten grondslag ligt. De Duitse toezichthouders concluderen dat ook met deze maatregelen een volledige onafhankelijkheid van Amerikaanse servers vooralsnog niet mogelijk is en stellen dat bepaalde data alsnog zonder versleuteling door Microsoft kan worden ingezien. Eerder werd al door verschillende Europese toezichthouders negatief geadviseerd over het gebruik van Google analytics (1, 2, 3, 4) vanwege de dataopslag in de VS.

Microsoft vaag over eigen gebruik diagnostische data

De Nederlandse overheid heeft verschillende privacy impact assesments (DPIA’s) laten uitvoeren op het gebruik van Microsoft. Hier kwam het gebruik van telemetrie data als risico naar voren. Microsoft verzamelt diagnostische gegevens op verschillende technische manieren, via door het systeem gegenereerde serverlogboeken op zijn eigen cloudservers en via de zogenaamde telemetrie client die is ingebouwd in de Teams, OneDrive en SharePoint software. Die client is geprogrammeerd om systematisch telemetriegegevens te verzamelen op het apparaat van de eindgebruiker (of vanuit de browser in Office voor het web) en deze periodiek naar de servers van Microsoft in de VS te sturen. Voor de verwerking van deze gegevens is Microsoft verwerkingsverantwoordelijke, de data wordt gebruikt voor eigen (diagnostische) doeleinden. Ook hier oordelen de Duitse toezichthouders nu dat Microsoft niet goed uitlegt hoe het bedrijf data zelf gebruikt voor zijn eigen doeleinden. Bij sommige diensten/licenties is overigens het gebruik van telemetriegegevens uit te schakelen.

En nu?

We hebben natuurlijk SCC’s en er wordt gewerkt aan een nieuw verdrag tussen de EU en de VS om de uitwisseling van persoonsgegevens weer legaal te maken. Maar ook daarvan kan je je afvragen of dat stand houdt als de Freedom Act ongewijzigd blijft. In dit licht is ook DORA van belang de Digital Operational Resilliance Act. DORA streeft ernaar dat alle deelnemers aan het financiële systeem over de nodige waarborgen beschikken om cyberaanvallen en andere risico’s te beperken. Voor het eerst wordt hier ook een belangrijke groep niet-financiële dienstverleners onder het toezicht van financiële toezichthouders gebracht, namelijk de zogeheten ‘cruciale aanbieders van ICT-diensten’. Ook aanbieders van Cloud diensten. Om effectief toezicht mogelijk te maken moeten deze ICT-aanbieders straks op grond van DORA (ook) gevestigd zijn in de EU. En zo blijven de overheid, de big tech en de toezichthouders vanuit zichzelf redeneren, zonder dat dit leidt tot een echt werkbare oplossing. En dat is jammer voor de burger en zijn privacy en voor de organisaties die op dit moment gebruik maken van de clouddiensten en geen (redelijk) alternatief hebben.