Privacyrisico's bij gebruik Microsoft-clouddiensten door overheid en onderwijs

[Captain Kirk]

Bij het gebruik van Microsoft Teams, OneDrive en SharePoint door de Rijksoverheid en universiteiten zijn er verschillende privacyrisico's, zo blijkt uit onderzoek van de Haagse Privacy Company dat werd uitgevoerd in opdracht van het ministerie van Justitie en Veiligheid en SURF, de ict-inkooporganisatie van hogescholen en universiteiten. Dit is het derde onderzoek dat Privacy Company op deze diensten heeft uitgevoerd sinds Microsoft uitgebreide nieuwe privacy-afspraken heeft gemaakt met de Nederlandse overheid en de universiteiten voor alle werknemers.

Voor het onderzoek werd gekeken naar de risico's van het verzamelen en verwerken van zogenaamde diagnostische gegevens. Het gaat dan om informatie over het individuele gebruik van de diensten, zoals wie er met Teams belt en wordt gebeld, aan een chat of intranetpagina toegevoegde afbeeldingen en het soort geschreven, gelezen en gedeelde documenten. Ook keek het onderzoek naar de privacyrisico’s van het gebruik van Microsofts cloud voor de inhoudelijke gegevens die via deze diensten zijn te delen.

Het onderzoek leverde zes privacyrisico's op die als laag zijn geclassificeerd en een hoog privacyrisico bij het gebruik van Teams om zeer gevoelige en bijzondere categorieën gegevens te verwerken. De lage privacyrisico's bestaan onder andere uit het verlies van controle en oneigenlijke verdere verwerking vanwege de incidentele verwerking van padnamen, gebruikersnamen en e-mailadressen in specifieke telemetrieberichten over OneDrive, beperkingen op het recht van inzage en oneigenlijke verdere verwerking door derde partijen.

Het hoge privacyrisico bij het gebruik van Teams doet zich voor vanwege de mogelijke toegang door Amerikaanse opsporings- en veiligheidsdiensten. Het gaat dan specifiek om bijzondere persoonsgegevens die niet met een eigen sleutel zijn versleuteld. "De belangrijkste maatregel die organisaties in Europa kunnen nemen tegen dit risico van massasurveillance is het versleutelen van de gegevens met een eigen sleutel, waar ook een leverancier zoals Microsoft geen toegang toe heeft", aldus Privacy Company.

Volgens de onderzoekers zouden organisaties geen gevoelige of bijzondere persoonsgegevens via Teams mogen uitwisselen, tenzij de gegevens van nature openbaar zijn, omdat zij geen controle hebben over de encryptiesleutels. Om gevoelige en bijzondere persoonsgegevens te beschermen in OneDrive en SharePoint kunnen organisaties gebruik maken van Microsofts Double Key Encryption (DKE).

Conclusie

Privacy Company stelt in de conclusie dat Microsoft meer aanpassingen en verbeteringen moet doorvoeren om het hoge privacyrisico en de zes vastgestelde lage risico's te beperken. Zo moet het techbedrijf bekendmaken wanneer end-to-end encryptie voor alle Teams-uitwisselingen beschikbaar is. Ook moet Microsoft ervoor zorgen dat standaardinstellingen privacyvriendelijk zijn.

Onlangs kondigden de Europese privacytoezichthouders (EDPB) een groot onderzoek aan naar het gebruik van clouddiensten door overheidsinstanties. "Als de EDPB het risico van doorgifte toch hoger zou inschatten, zelfs nadat Microsoft de EU Data Boundary heeft voltooid, kunnen organisaties in Nederland eigenlijk geen gebruik meer maken van diensten van Amerikaanse providers, en heeft dit veel grotere gevolgen dan alleen het gebruik van deze Microsoft-diensten", zo waarschuwen de onderzoekers. Naast het onderzoek geeft Privacy Company ook tips voor het instellen van Microsofts clouddiensten.

 

 

bron: https://www.security.nl