Sjoera Nas en Arnold Roosendaal (beiden werkzaam bij Privacy Company) hebben in opdracht van het Ministerie van Justitie & Veiligheid een data protection impact assessment (DPIA) gemaakt van de Office software van Microsoft.
Uit de DPIA is naar voren gekomen dat Microsoft een deel van de telemetrische (diagnostische) data niet als persoonsgegeven aanmerkt. Naar aanleiding van de DPIA heeft Microsoft haar standpunt op dit punt gewijzigd. Volgens de DPIA heeft Microsoft op dit moment geen documentatie, settings of tools beschikbaar waardoor organisaties een goed overzicht kunnen krijgen van de Office telemetrie data.
Een deel van de DPIA was het uitvoeren van technische tests bij een lab van het Ministerie van Justitie & Veiligheid. Uit de audit logs bleek dat de diagnostische data óók metadata over het gedrag van de gebruiker bevatte, alsmede bestandsnamen, paden en de onderwerpregels van e-mails. Microsoft heeft wel aangegeven dat er nooit e-mailinhoud wordt verstuurd via diagnostische data.
Uit de DPIA komen 8 risico’s naar voren die grafisch in bijgaande tabel zijn weergeven. Let op: de measures die in italics staan zijn measures waar Microsoft niet akkoord mee gegaan is.
Tot slot, uit de DPIA bleek ook dat de telemetrie-data en de
event logs uit Office voor minimaal 30 dagen worden opgeslagen in d
e centrale Cosmos database van Microsoft in de VS. De data wordt maximaal 18 maanden opgeslagen, tenzij een analyse-team een subset van de data heeft geëxporteerd. Tevens hebben systeembeheerders geen mogelijkheid om historische diagnostische data te verwijderen, tenzij ze de gebruiker verwijderen. Privacy Company heeft dan ook als aanbeveling opgenomen dat de gebruikersaccounts van bepaalde VIPs verwijderd kunnen worden om hun privacy op die manier te beschermen.
Lees de volledige DPIA hier.