Privacywet

Rapport: Microsoft-diensten niet veilig genoeg voor overheid en hoger onderwijs

22 februari 2022 om 13:01
Laatste update: 22 februari 2022 om 14:24

De Rijksoverheid en het hoger onderwijs wordt aangeraden clouddiensten van Microsoft, zoals Teams en OneDrive, niet zomaar te gebruiken voor de uitwisseling of opslag van gevoelige of bijzondere persoonsgegevens.

Dat staat in een nieuw rapport, een zogenoemd ‘data protection impact assessment' (DPIA). Dat is een onafhankelijk onderzoek naar de databescherming van de Microsoft-diensten, uitgevoerd door de Privacy Company in opdracht van het ministerie van Justitie en Veiligheid en SURF, de ICT-inkooporganisatie van hogescholen en universiteiten.

Zo'n soortgelijk onderzoek naar Google leidde vorig jaar tot een advies aan overheid en onderwijs om te stoppen met Google-diensten. In het onderwijs zijn de Google-diensten na aanpassingen al wel weer zonder bezwaar te gebruiken.

Voor Microsoft lijkt de oplossing ingewikkelder, schrijft de Privacy Company. Microsoft heeft op basis van het onderzoek al maatregelen genomen om "zes hoge risico's" te verhelpen. Toch blijft de uitwisseling en/of opslag van persoonsgegevens een heikel punt: gebruikers zoals de overheid of het onderwijs moeten zulke data zelf gaan versleutelen. Alleen dan voldoet het gebruik aan de Europese privacyeisen, stelt de Privacy Company.

Amerikanen kunnen data theoretisch vorderen

Zonder eigen versleuteling is het risico op toegang vanuit de VS te hoog, stelt het rapport. Amerikaanse inlichtingendiensten zouden toegang tot data op de Amerikaanse servers van Microsoft kunnen vorderen.

Dat is een theoretisch risico, aldus het rapport. In de praktijk heeft Microsoft naar eigen zeggen "nog nooit data van werknemers van publieke sectorinstellingen verstrekt aan enige overheid".

Europese servers niet genoeg

Vanaf volgend jaar verwerkt Microsoft de persoonsgegevens van Europese zakelijke klanten exclusief in Europese datacentra. Ook dat is niet voldoende: via bijvoorbeeld de Amerikaanse Cloud Act kan de VS ook toegang tot data op Europese servers vorderen.

Het feit dat Microsoft de data van klanten tijdens transport versleutelt, biedt volgens de Privacy Company onvoldoende waarborg. Gebruik van Microsoft-diensten is volgens het rapport pas veilig wanneer gebruikers zelf een externe versleuteling gebruiken, waarvan Microsoft de sleutel niet heeft. Microsoft heeft nog niet op het rapport gereageerd.

Oordeel autoriteiten volgt later

De risico's van Microsoft-diensten zijn door de Privacy Company bewust streng beoordeeld. Het is nog niet bekend hoe toezichthouder Autoriteit Persoonsgegevens (AP) de situatie zal beoordelen op basis van dit rapport.

Dat gebeurt vermoedelijk eind dit jaar, na afronding van een gezamenlijk onderzoek van de AP en haar EU-zusterorganisaties. Die kondigden onlangs een onderzoek aan naar het gebruik van clouddiensten door overheden.

Cyberoorlog dreigt: hoe kan dit ook Nederland raken?