Iedere Nederlander wordt geacht de wet te kennen. Toch zijn we juristen nodig die ons de strekking van de wet uitleggen.
Ieder bedrijf moet van de belastingdienst een zorgvuldige administratie bijhouden. Toch zijn we boekhouders en accountants nodig om er voor te zorgen dat we niet te veel of te weinig belasting betalen.
Iedere organisatie wordt geacht de Algemene Verordening Gegevensbescherming (AVG) na te leven en in kaart te brengen of de processen voldoen aan de eisen van deze Europese privacywet. Er moet een verwerkingsregister bijgehouden worden en er moeten (soms) assessments uitgevoerd worden. Het management is er verantwoordelijk voor dat dat zorgvuldig gebeurt. Maar moet de manager dat zelf doen?
PrivacyZone heeft de kennis en de tools om de organisatie te helpen bij het opstellen van privacybeleid, het uitvoeren van DPIA’s, het inrichten van processen, het opzetten van een verwerkingsregister en het geven van security awareness trainingen.
Goede trainingen, die aansluiten op de dagelijkse praktijk, zijn onmisbaar. Ons trainingsaanbod vormt een belangrijke schakel binnen onze dienstverlening. Niet alleen bij de ingebruikname van software en tools maar ook voor het op niveau houden van de kennis en de vaardigheden van medewerkers. PrivacyZone biedt uiteenlopende trainingen voor de verschillende verplichtingen die de AVG met zich mee brengt en de software waarmee de organisatie aan die verplichtingen kan voldoen.
PrivacyZone biedt:
- Standaard/Op maat trainingen
- Train-de-Trainer trainingen
- Super User/Admin training
- e-Learning End User training
Privacy Nieuws
Microsoft verzamelt volgens het ministerie van Justitie en Veiligheid via Microsoft Office ‘heimelijk gedragsgegevens van gevoelige aard van 300.000 rijkswerkplekken bij ministeries, politie, rechtspraak en toezichthouders’. Grote vraag is nu of dat ook gebeurt bij het bedrijfsleven.
Het datalek is ontdekt tijdens een Data Protection Impact Assessment (DPIA) die het Strategisch Leveranciersmanagement Microsoft (SLM) van de overheid op Microsoft Office en Windows 10 heeft laten uitvoeren door PrivacyCompany.
De DPIA maakt duidelijk dat de overheid en Microsoft een groot probleem hebben. Ze voldoen niet aan de Algemene Verordening Gegevensbescherming (AVG).
De conclusies die de onderzoekers trekken zijn ernstig:
- We weten niet precies welke gegevens Microsoft verzamelt en bewaart over het gedrag van gebruikers
- Het gaat om 23 tot 25 duizend soorten gebeurtenissen (events). Engineers kunnen dynamisch nieuwe events toevoegen
- Er werken 20 tot 30 teams met engineers met deze gegevens, die met eigen kopieën van de datasets kunnen werken
Microsoft verzamelt op grote schaal gegevens
Microsoft blijkt volgens PrivacyCompany bij Windows 10, Microsoft Office en Office 365 aparte scripts te hebben ingebouwd die allerlei handelingen vastleggen die door gebruikers worden verricht.
Maar naar alle waarschijnlijkheid gebeurt hetzelfde bij andere organisaties die Microsoft gebruiken. Want het is niet waarschijnlijk dat Microsoft voor de overheid andere versies van zijn software heeft als bij het bedrijfsleven.
Microsoft verzamelt via de scripts systematisch en op grote schaal gegevens over het individuele gebruik van Word, Excel, PowerPoint en Outlook. Dat gebeurt zonder mensen daarover te informeren en zonder invloed te geven op de instellingen.
Microsoft verstuurt deze telemetriegegevens af en toe in een batch naar haar eigen servers in de Verenigde Staten. Deze telemetrie is versleuteld.
Microsoft biedt (nog) geen mogelijkheid om te kijken naar de inhoud van de diagnostische gegevensstroom.
Het enige dat bekend is, is dat om 23 tot 25 duizend soorten gebeurtenissen gaat (events). En dat er 20 tot 30 teams met engineers werken met deze gegevens.
Net als bij Windows, bepaalt Microsoft ook bij Office zelf de doelen van de gegevensverwerking, en de bewaartermijn van de gegevens (30 dagen tot 18 maanden, of zoveel langer als Microsoft nodig acht).
In het onderzoek wordt geconcludeerd dat er geen instelling bij Office is om te voorkomen dat de software telemetriedata doorstuurt.
Bij Windows 10 Enterprise is die er wel.
PrivacyCompany zegt niet te weten wat Office precies voor gedragsgegevens doorstuurt, maar na een brede analyse durft het bureau te zeggen dat het om de grootschalige verwerking van persoonsgegevens van gevoelige aard gaat.
Microsoft heeft het ministerie van Justitie en Veiligheid belooft om Windows 10 Enterprise en Microsoft Office aan te passen.
De wijzigingen moeten ertoe leiden dat overheidsdiensten de software in overeenstemming met de AVG kunnen gebruiken.
De wijzigingen moeten In april 2019 zijn doorgevoerd.
“In de tussentijd zullen onderdelen van het Rijk aanvullende maatregelen moeten nemen om de datastromen naar Microsoft zoveel mogelijk te stremmen”, staat in een mededeling over de onderhandelingen tussen het Rijk en Microsoft met betrekking tot het voldoen aan de AVG.
Als de verbeteringen onvoldoende zijn, is een gang naar de Autoriteit Persoonsgegevens ‘een mogelijkheid’ voor handhaving, volgens het ministerie.
Die conclusie is ook opmerkelijk. De overheid en Microsoft hadden op 25 mei 2018 al moeten voldoen aan de AVG. Er is nu een datalek geconstateerd. Dan is een gang naar de Autoriteit Persoonsgegevens geen mogelijkheid, maar volgens de Algemene Verordening Gegevensbescherming een verplichting.
Overheidsdiensten krijgen het advies om een eigen assessment uit te voeren en maatregelen te nemen. Het pakket ‘zero exhaust settings’ lost echter niet alle risico’s op, ook blijken niet alle voorgestelde maatregelen haalbaar voor ICT-organisaties van ministeries en andere diensten van overheden.
De afnemers van Office kunnen volgens Privacy Company sowieso niet alle risico’s oplossen. Voor de contracten en de doorgifte naar de VS moet een Europese oplossing worden gezocht. SLM Rijk en Microsoft zullen de komende maanden nauw blijven overleggen.
Privacy Company zegt intussen vervolgonderzoek te doen naar de inhoud van de telemetrie data.
