Microsoft unplugged? Over sneaky software, geheime dataverzameling en een Europees hoofdpijndossier

Na alle media - aandacht voor het (inmiddels voor Nederlandse ambtenaren verboden) gebruik van de beveiligings - en antivirus software van het Russische Kapersky Lab, de ophef en commotie over de privacy - schendingen van Facebook en het luidruchtige tumult rondom het Chinese telecombedrijf Huawei, blijft het angstvallig en relatief stil rondom de sneaky software , de grootschalige privacy - schendingen en de mysterieuze datastromen van Microsoft.

10 minuten leestijd


Sneaky software

Sneaky software van Microsoft? Ja, sneaky software. Op 5 november 2018 heeft The Privacy Company in opdracht van het Ministerie van Justitie en Veiligheid namelijk een Data Privacy Impact Assessment (DPIA) gedaan naar de (diagnostische) data in Microsoft Office Pro Plus. De bevindingen en conclusies i n dit lijvige, goed onderbouwde en 91 pagina’s tellende rapport zijn ronduit schokkend. Daaruit blijkt immers dat Microsoft systematisch en op grote schaal heimelijk gegevens verzamelt over het individuele gebruik van Word, Excel, PowerPoint en Outlook. Stiekem dus. Zonder mensen daarover te informeren. Vandaar sneaky software.

Mysterieuze datastromen

Die heimelijk verzamelde gegevens worden vervolgens versleuteld en naar de eigen servers van Microsoft in de Verenigde Staten of elders verstuurd . Microsoft heeft de onderzoekers geen inzage gegeven in het type en soort gegevens dat er verzameld en doorgestuurd wordt. Totdat Microsoft tegenbewijs levert, gaan de onderzoekers er daarom vanuit dat het zowel om metadata als om content/inhoud gaat.

Microsoft onder de privacy loep

Binnen het ministerie van J&V is SLM Rijk, een aparte inkoopafdeling, verantwoordelijk voor de inkoop van – onder meer – Microsoft software. Die afdeling koopt de software in voor 300.000 digitale werkplekken van de Rijksoverheid. Zoals bijvoorbeeld ministeries, de belastingdienst, de politie en justitie. Nu wordt alleen nog gebruik gemaakt van de versies van Office 2016 en Office 365 en worden de data van de verschillende ministeries en andere overheidsorganisaties op lokale servers en computers opgeslagen. In de (nabije) toekomst worden die versies niet meer ondersteund en dient de overstap naar de cloud gemaakt te worden.

Uit het rapport komt duidelijk naar voren dat Microsoft een geheel andere, Amerikaanse benadering heeft van privacy. Een benadering d ie volgens de opstellers van het rapport haaks staat op en in strijd is met de Europese privacy opvattingen en de Algemene Verordening Gegevensbescherming (AVG). Het rapport geeft verder een uitvoerige beschrijving van 8 hoge risico’s voor betrokkenen, zoals ambtenaren, contactpersonen, sollicitanten en mensen die besproken worden in de rapporten van ambtenaren of die gebruik maken van de Office - producten van het Rijk. Vertaald naar bijvoorbeeld de belastingdienst en justitie, betekent dit dus dat er hoge risico’s verbonden zijn aan het gebruik van Microsoft software door belastingplichtigen en deelnemers aan rechtszaken.

Reactie Microsoft: zero - exhaust settings

Microsoft heeft naar aan leiding van het rapport een aantal wereldwijde wijzigingen aangekondigd om de risico’s te verminderen. Daarnaast heeft zij zogenaamde zero - exhaust instellingen ontwikkeld die SLM Rijk exclusief ter beschikking mag stellen aan rijksinstellingen, onder oplegging van een geheimhoudingsverplichting. Die instellingen zouden er – volgens Microsoft - voor zorgen dat er geen netwerkverkeer (diagnostische of andere data) meer van Windows naar publieke IP - adressen gaat zonder de uitdrukkelijke toestemming van de gebruiker.

Resterende hoge risico’s

Maar ook na het gebruik van zero - exhaust instellingen resteren er volgens het rapport nog 6 hoge risico’s voor betrokkenen:

1. De onrechtmatige opslag van gevoelige, gerubriceerde of bijzondere persoonsgegevens door Microsoft, zowel in de verkeersgegevens als in de i nhoud van diagnostische gegevens;

2. Het zich ten onrechte presenteren als verwerker door Microsoft, in plaats van als gezamenlijk verantwoordelijke;

3. Onvoldoende controle over sub - verwerkers en de feitelijke gegevensverwerking;

4. Het gebrek aan doelbinding van de gegevensverzameling;

5. De doorgifte van alle soorten diagnostische Office - gegevens buiten Europa, op basis van het bij het Europese Hof ter discussie staande Privacy Shield;

6. De onbeperkte bewaartermijn van de diagnostische gegevens en het ontbreken van e en middel om deze gegevens te verwijderen (anders dan door het vernietigen van het account van de gebruiker).

Niet alleen persoonsgegevens maar ook bedrijfsgeheimen lopen risico

Overigens lopen niet alleen persoonsgegevens gevaar door de sneaky software van Microsoft. Ook bedrijfsgeheimen zouden wel eens minder veilig kunnen zijn dan doorgaans aangenomen wordt als deze geheimen met behulp van de software van Microsoft opgeslagen of anderszins v e r werkt worden. Niet duidelijk is immers welke informatie Microsoft allemaal verzamel t en doorzendt naar haar eigen servers in de Verenigde Staten of elders in de wereld. Bovendien blijkt uit het rapport dat Microsoft zelf ook niet precies weet over welke data zij precies beschikt en waar die data zich bevinden.

Verschillende benaderingen van privacy en third party doctrine

Wat opvalt bij lezing van het rapport, is dat Microsoft een geheel ander standpunt over privacy heeft en inneemt dan wij in Europa gewend zijn. Een standpunt dat waarschijnlijk te rug te voeren is op de Amerikaanse third party doctrine, die inhoudt dat een persoon geen legitieme verwachting van privacy kan hebben als hij informatie vrijwillig afstaat aan een derde partij. En daarvan is tegenwoordig bij het in de cloud (lees: op de server van een derde partij) opslaan van data al snel sprake.

CLOUD Act

Door Microsoft verzamelde data worden echter ook door een vorig jaar aangenomen Amerikaanse wet bedreigd , de Clarifying Lawful Overseas Use of Data (CLOUD) Act. Deze wet is het Amerikaanse antwoord op de Microsoft/FBI - zaak waarin de Amerikaanse rechter oordeelde dat Microsoft terecht geweigerd had om data (e - mailberichten) die opgeslagen waren in haar Europe se datacenters aan de FBI te verstrekken. Deze Cloud Act heeft een einde gemaakt aan de zaak Microsoft/FBI bij het Amerikaanse Supreme Court en Microsoft heeft de opgevraagde gegevens naar verluidt inmiddels aan de FBI overgedragen.

Systeembeheerders: kom in actie!

Gelet op de geconstateerde privacy - en securityrisico’s verdient het volgens The Privacy Company aanbeveling dat beheerders van Microsoft software een aantal maatregelen treffen om de privacy risico's te verkleinen. Te denken valt aan:

1. Het vragen aan Microsoft hoe de uitstoot van persoonsgegevens en andere gevoelige informatie verhinderd of beperkt kan worden (zero exhaust);

2. Het centraal verbieden van het gebruik van vrijwillige Connected Services ;

3. Het centraal uitzetten van de mogelijkheid om “Office te verbeteren” ;

4. Het verbieden van het gebruik van SharePoint online/Onedrive ;

5. Het verbieden van het gebruik van de web - only versie van Office 365 ;

6. Het vernietigen van het Active Directory Account ;

7. Het gebruiken van lokale accounts (zonder Microsoft account) en

8. Het zoeken naar alternatieve software.


Ook privacy toezichthouder EDPS doet onderzoek

Ook de Europese privacy toezichthouder EDPS is inmiddels een onderzoek gestart naar de software van Microsoft. EDPS gaat bekijken of de producten en diensten van Microsoft voldoen aan de wetgeving.

Geen privacy by design and default

Uit het rapport doemt het beeld op dat Microsoft niet bepaald privacy by design en privacy by default heeft toegepast. Sterker nog, gelet op het standaard aanstaan van data verzamelende instellingen, de zeer ruime doelstellingen die Microsoft nastreeft met de gegevensverwerking en de hier voor ge noem de aanbevelingen van de onderzoekers, lijkt privacy piraterij of privacy schending by default een treffendere omschrijving van de werkwijze van Microsoft.

Interessante vragen met verstrekkende gevolgen

De onderzoekers hebben vastgesteld dat Microsoft niet alleen geen privacy by design en geen privacy by default heeft toegepast, maar ook dat Microsoft zich ten onrechte als verwerker van persoonsgegevens voordoet terwijl zij samen met de afnemer van de software gezamenlijk verwerkingsverantwoordelijke is.

De vragen die de Europese privacy toezichthouders en – wellicht ook – de rechters de komende jaren mijns inziens zullen moeten beantwoorden zijn:

1. Dient Microsoft al s zorgvuldig handelend softwareleverancier dan wel SaaS - dienst verlener aan de eisen van privacy by design en privacy by default te voldoen?

2. Of dient Microsoft als (gezamenlijk) verantwoordelijke aan die eisen te voldoen?

3. En is het ontbreken van privacy by design en default reden om Microsoft een verwerkingsverbod van persoonsgegevens op te leggen als bedoeld in artikel 58 lid 2 onder f van de AVG?

Een andere, mijns inziens urgentere vraag die de Europese aanbestedende diensten zullen moeten beantwoorden, is de vraag of zij Microsoft nog wel kunnen laten meedingen naar overheidsopdrachten. Immers, uit overweging 78 van de AVG blijkt dat bij openbare aanbestedingen de beginselen van gegevensbescherming door ontwerp en door standaardinstellingen in aanmerking worden genomen. Als de aanbestedende diensten die beginselen inderdaad in aanmerking en serieus nemen, ligt uitsluiting van Microsoft voor de hand en in de rede.

Het grote probleem

Het grote probleem is echter dat het niet gebruiken van Microsoft software momenteel uiterst problematisch is . Er is namelijk geen (echt) alternatief en dus sprake van een vendor lock in optima forma .

Europees hoofdpijndossier : Microsoft unplugged?

foto-bij-artikel-MW-Microsoft-Unplugged-kopie.JPG#asset:445


De hamvraag is dan ook wat de Autoriteit Persoonsgegevens, de andere Europese privacy toezichthouders en de aanbestedende diensten gaan doen aan de sneaky software van Microsoft. Kiezen ze voor de easy way out en leggen ze alleen boetes op aan Microsoft? Of laten ze echt hun tanden zien en verbieden zij Microsoft geheel of gedeeltelijk, permanent of tijdelijk persoonsgegevens te verwerken en aan aanbestedingen deel te nemen totdat de software wel privacy proof is? Anders gezegd, (wordt) Microsoft unplugged?

Fraaie uitdaging

Wordt de privacy piraat Microsoft nu eindelijk eens aangepakt of blijft het software business as usual ? Wordt de datahonger van de big tech bedrijven een halt toegeroepen of delft de (Europese) privacy het onderspit? Of ligt hier wellicht een fraaie uitdaging voor een Europese software ontwikkelaar die het belang van privacy wel op de juiste waarde schat en zijn kans grijpt om een software leverancier van wereldformaat te worden? De toekomst zal het leren.



Kennisblogs

Kennisblogs in ICT

Microsoft unplugged? About sneaky software, secret data collection and a European headache

After all the media attention for the use of the security and antivirus software of the Russian company Kaspersky Lab (now forbidden for Dutch civil servants), the fuss and commotion about the privacy violations of Facebook and the noisy turmoil surrounding the Chinese telecom company Huawei, the media has been relatively - and scarily - quiet about the sneaky software, the large-scale privacy violations and the mysterious data streams of Microsoft.

Lees dit artikel

(How to avoid ) Tons of trouble in SAP’s software licence bubble

On indirect use, a brake on the Internet of Things and Industry 4.0, financial and legal uncertainty and a disturbed relationship between software suppliers and their customers.

While many software vendors are pushing their customers - gently or more forcefully - towards the cloud and are claiming to be modern businesses, in practice they are still often using old-fashioned contract clauses that frustrate their customers' roll-out of the Internet of Things and the development of Industry 4.0, and wreck their own reputation and goodwill.

Lees dit artikel