Hoe erg is Office, pardon Microsoft 365 in strijd met de AVG?

Microsoft 365 is volgens het Duitse Datenschutzkonferenz nog steeds in strijd met de Europese GDPR-privacyregelgevingen. Dat meldde Tweakers onlangs. Het gaat om een voorlopige conclusie van een tweejarig onderzoek naar de online services binnen de Office-tool (met nieuwe merknaam) van het bedrijf. Volgens de Dsk zijn er ‘geen substantiële verbeteringen’ doorgevoerd, Microsoft heeft een beter PR bureau want spreekt van “we halen, nee: overstijgen, GDPR-vereisten”. Nou gaat niemand voor z’n lol meer doen dan de AVG eist, dus wat is hier aan de hand?

Het probleem kwam in 2020 aan het licht:

DSK, de Duitse waakhond voor databescherming, heeft onderzocht hoe de Enterprise-editie van Windows 10 omgaat met gebruikersinformatie. Gebruikers kunnen instellen dat Windows helemaal geen gegevens verzendt naar Microsoft. Volgens het onderzoek van DSK blijkt dit niet helemaal vlekkeloos te verlopen. Zelfs wanneer een gebruiker daar geen toestemming voor geeft, verzendt Windows 10 alsnog gegevens naar Microsoft.
Sindsdien is Microsoft al twee jaar aan het onderhandelen en aanpassen om de goedkeuring van het Duitse samenwerkingsverband van privacytoezichthouders te verkrijgen (iedere deelstaat heeft zijn eigen AP). Het bleek niet alleen te gaan om dat stukje telemetrie, maar ook over zaken als de export van die gegevens naar buiten de EU (hoi Schrems II) en de omgang met subverwerkers. Microsoft kwam in september nog met een nieuwe privacyverklaring, waarin zwaarder ingezet werd op legitiem belang als grondslag voor van alles en nog wat.

De DSK mist nog steeds het nodige. Zo maakt die nieuwe privacyverklaring nog steeds niet duidelijk welke gegevens precies worden verstuurd naar de VS en voor welk doel. Lees ‘m hier in al haar juridische glorie, maar concreter dan deze wordt het niet volgens mij (“Microsoft stellt die nötige Transparenz über Verarbeitungstätigkeiten durch umfangreiche Dokumentation her.”):

Klantgegevens, Gegevens van Professionele Diensten en Persoonsgegevens die Microsoft namens de Klant verwerkt, mogen niet worden overgedragen aan, of opgeslagen en verwerkt op een geografische locatie, uitgezonderd in overeenstemming met de Voorwaarden van de [Bijlage Bescherming van persoonsgegevens, BBP] en de waarborgen die hieronder in dit artikel worden beschreven. Rekening houdend met dergelijke waarborgen, machtigt de Klant Microsoft om Klantgegevens, Gegevens van Professionele Diensten en Persoonsgegevens over te dragen naar de Verenigde Staten of enig ander land waarin Microsoft of haar Subverwerkers actief zijn en om Klantgegevens en Persoonsgegevens op te slaan en te verwerken voor het leveren van de Producten, behalve zoals elders in de Voorwaarden van de BBP is beschreven.
Er gaan nog steeds gegevens naar de VS. Volgens Microsoft zou dat mogen vanwege de privacyschaamlap pardon Executive Order die het Privacy Shield zou moeten vervangen. Daar valt het nodige over te zeggen, maar ik volsta met opmerken dat Microsoft vervolgens verwijst naar SCC’s als reden om de gegevens in de VS op te mogen slaan. Ook zou het alleen gaan om geanonimiseerde gegevens waar de AVG niet voor geldt.

Alles bij elkaar: ik krijg niet het gevoel dat Microsoft écht iets veranderd heeft, maar vooral meer argumenten heeft aangedragen waarom alles eigenlijk wel in orde is. Dat riekt naar tijd winnen en hopen dat die executive order door de Europese Commissie wordt geaccepteerd.

Arnoud

 

9 reacties

  1. Microsoft zou er inderdaad goed aan doen om veel specifieker te zijn over “telmetrie”. Want met de term “persoonsgegevens” zie je niet of het gaat om statistiekjes en performance schattingen op basis van pak m beet logins op office, of het delen van je complete surf geschiedenis en zoekopdrachten in Office. Niemand zal wakker liggen van 1, wel van 2. Die onduidelijkheid over wat er wordt ge-transferred en verwerkt voedt het wantrouwen. En dan is er ook nog weer de vraag of de DPA strikt in de leer gaat zijn “persoonsgegeven = persoonsgegeven”, of bereid is de noodzaak van transfers af te wegen tegen daadwerkelijke risicos’s voor de betrokkene, zie mijn soorten telemetrie. Daar heb ik een hard hoofd in, de risk-based benadering is bij de NL DPA compleet buiten beeld geraakt, zoals Lokke Moerel laatst betoogde. Al met al olie op het vuur van de activisten die altijd al wisten dat US clouds evil empires zijn en verboden zouden moeten worden, en dat open-source het panacee is voor alle privacy kwesties.

    1. Nou, letterlijk wakker liggen is niet het geval, maar figuurlijk wel. “Geen telemetrie versturen” is “Geen telemetrie versturen”, en niet “Toch stiekem een klein beetje telemetrie versturen”. Ik ben het wel geheel eens dat de manier waarop dit soort bedrijven omschijven wat ze doen enorm onduidelijk en ambigu is. Naar alle waarschijnlijkheid doen ze dat bewust. Het is juridische obfuscatie om te verbergen wat ze doen, met zoveel mogelijk kruisverwijzingen om het verder te veronduidelijken.

      Ik stel voor dat ze als vierde tegen de muur gaan als de revolutie komt.

      1. Je kunt windows telemetrie dichtzetten en dan tegen office of een apache telemetrie aanlopen wegens onduidelijke testafsraken en een onduidelijke insteek van wat het doel is. We weten niet wat er gebeurt dus moet het wel fout zijn is een omgekeerde bewijslast.

        Ik heb al die tijd nog nooit het netwerkverkeer decrypt zien worden voor een echt bewijs. Met virtuele omgevingen in hosted datacenters wordt die vraag nog veel lastiger, eigenlijk onmogelijk te beantwoorden.

        Ik maak me meer zorgen over de gemakzucht waar verwerkingsverantwoordelijken hun verantwoordelijkheid niet nemen en het afschuiven op verwerker / leverancier. De supplychain als grootste risicofactor.

  2. Hoe erg is Office, pardon Microsoft 365, ja wat is het nou? Bij MS Office ELK document dat je maakt of opent meld dat bij Microsoft. of dat nu Excel Word Infopath Project Outlook Acces Publisher Visio of welk office pakket je ook gebruikt. Blokkeer je die met je firewall dan zal je zie dat jou licentie ineens ‘verlopen’ is. Blokkade weg en je kan opeens weer bij je documenten… Vandaar dat ik een ooit een betaalde studenten licentie gebruik van €10 maar wel installeer met een locale KMS dan heb je nergens last van. Oh ja om overbodig netwerk verkeer tegen te gaan kan je de licentie controle van elke 4 uur permanent veranderen naar 1 maal per maand.

    Beter nog Libre office gebruiken. Kan meer en is compatibel

      1. Ik zie het anders, Word is gedeeltelijk compatible, en is na versie 2003 niets verandert behalve het uiterlijk. En krankzinning traag is dan jouw ervaring of mijn definitie van grote documenten is anders.

        Max bij Word was 32 mB en later pas 512 mb Die beperking heb ik bij Libre Office niet, en zelfs vanaf een usb stick werkt Libreoffice sneller als Word. Word dat niet eens kan draaien vanaf een usb stick ( officieel). https://learn.microsoft.com/nl-nl/office/troubleshoot/word/file-larger-than-512-megabytes En Libre office heeft geen moeite met documenten van 1 Gb en meer, zelfs niet vanaf een usb stick

        1. Test: Libreoffice 6.4 onder Linux Mint, openen doc-document (dus het ‘oude’ Word-formaat) uit 2014, van 7,5 megabyte: 1 minuut 40 seconden voordat er eindelijk iets in beeld staat. Dan mag je voor 1 GB wel een week uittrekken.

          Word zelf: heb ik niet paraat, kan ik niet testen. HTML met nano, bestand 3 MB even verdrievoudigd tot 9 MB: flits, staat meteen op het scherm. Bijna tweehonderd duizend regels. Dezelfde HTML met Firefox: staat na 3 à 4 seconden in beeld.

          Conclusie: Libreoffice is onwerkbaar traag met wat grotere bestanden. O ja, maar we hadden het over privacy.

          1. Laat ik nu met Libreoffice vergelijkbare waarde hebben, maar dan ook nog eens vanaf een usb stick waardoor het niet uitmaakt of je windows of linux gebruikt . En dan nog niet eens met native libreoffice format. Blijf jij maar alleen vendor-lockin gebruiken. (grr eigenaar) Dan kijk ik wel wat op een bepaald moment het beste werkt:-)

            En idd privacy is met LibreOffice perfect geregeld. Waar je bij word elk document bij openen en of sluiten bij MS meld. Dus het starten van de app, het openen van een bestaand of van een nieuw bestand het sluiten alles word bij MS gemeld. Eigenlijk is MS office zonder netwerk niet werkbaar of normaal te gebruiken.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.