Microsoft Teams, in combinatie met OneDrive, SharePoint Online en Azure Active Directory, is niet geschikt voor de publieke sector voor het uitwisselen van gevoelige informatie. Dat verklaart het herhaalde Data Protection Impact Assessment (DPIA) van Privacy Company, uitgevoerd in opdracht van SLM Rijk en SURF.
Bij deze DPIA zijn zes lage privacy-risico’s rondom de verwerking van diagnostische gegevens (aanvullende gegevens over apparaten en instellingen) geïdentificeerd. Daarnaast is er één hoog risico geïdentificeerd in verband met mogelijke toegang tot onversleutelde bijzondere persoonsgegevens. Het gaat bij dit laatste om een theoretisch risico.
Het rapport is een advies aan de overheid, niet zozeer een advies vanuit de overheid.
Theoretisch risico op data verstrekken aan de Amerikaanse overheid
Het hoge risico heeft te maken met ´het mogelijk opvragen van die gegevens door Amerikaanse wetshandhavings- en inlichtingendiensten´, gezien het feit dat Microsoft een Amerikaans bedrijf is. Het maakt niet uit of Microsoft de data opslaat op Europees grondgebied. De VS kan de data alsnog opvragen via wetten als de US Cloud Act. Dit risico is nog nooit voorgekomen. Microsoft heeft verklaard dat ze nog nooit gegevens van werknemers van de publieke sector heeft verstrekt aan de Amerikaanse overheid.
Het DPIA adviseert overheden gebruik te maken van zes maatregelen. Twee hiervan zijn multifactor authenticatie (MFA) via de authenticator-app of hardware token en het lager zetten van de verzending van telemetrie. “Het is goed dat organisaties deze maatregelen implementeren, en wij raden dit dan ook ten zeerste aan”, zegt Sherwien Ramsoedh, Compliance Officer bij OGD.
Het gebruik van Double Key Encryption
Verder raadt het DPIA organisaties in de publieke sector aan om extra versleuteling toe te passen. Dit kan door bijvoorbeeld met de Double Key Encryption-oplossing van Microsoft. Daarmee kunnen organisaties hun gegevens en bestanden versleutelen met een eigen encryptiesleutel. Deze sleutel is niet in de handen van Microsoft. Hoewel Double Key Encryption een goede mitigatie biedt tegen het DPIA-risico, kleven er ook risico’s aan volgens Richard Plug, BISO bij OGD.
"Double Key Encryption is een drastische maatregel, die de nodige risico’s met zich meebrengt”, legt Plug uit. “Wanneer je geen goede key-management-processen hebt ingericht, kan dit leiden tot verlies van toegang tot data. Je moet die processen dus goed hebben afgestemd. Bij deze maatregel moet je de afweging maken: weegt dit op tegen het eventuele risico? Er rust op dit moment namelijk geen groot risico op het gebruik van Microsoft-producten.”
Hoe nu verder?
Het gaat vooralsnog om een theoretisch risico, en in de praktijk is er nog geen situatie voorgekomen dat Microsoft-gegevens heeft verstrekt aan de Amerikaanse overheid. Het is van belang dat organisaties de basisveiligheidsmaatregelen (zoals MFA) goed op orde hebben.
Daarnaast is het belangrijk om de ontwikkelingen te volgen van de Nederlandse Autoriteit voor Persoonsgegevens. Zij hebben nog geen standpunt ingenomen over de situatie. Hierbij is ook het onderzoek van de Europese privacy-toezichthouder EDPB belangrijk. Zij voeren onderzoek uit naar het gebruik van clouddiensten door organisaties in de publieke sector. Zij verwachten dit onderzoek eind 2022 af te ronden.
In de tussentijd houdt OGD de ontwikkelingen op dit gebied nauwlettend in de gaten. Op het moment dat er vanuit de autoriteiten bezwaren zijn, treden wij met onze klanten in gesprek.