Paniek rondom privacy en security in Office 365: hoe zit het nu écht?

Op 30 juli ontstond er paniek in Office 365-land: Webwereld schreef dat de Nederlandse overheid online Microsoft-producten niet langer mag gebruiken. Eind vorig jaar ging de overheid met Microsoft om de tafel om te zorgen dat de Office 365-diensten zouden voldoen aan de AVG. Er leek geen vuiltje aan de lucht: Microsoft deed bepaalde aanpassingen en de overheid verklaarde aan de Tweede Kamer dat het veilig was om Office 365 en aanverwante producten te gebruiken. Vandaar dat het recente tegenrapport nogal een schok teweegbracht: hierin staat dat bepaalde Microsoft-producten toch níet aan de AVG voldoen.

Het gevolg van dit nieuws: een stortvloed aan vragen. Oók van onze klanten. Logisch, want de vraag is: kun je je applicaties nog wel veilig gebruiken? Met deze blog geven we duidelijkheid!

Problematische producten: waar wringt de schoen?

In het tegenrapport komen diverse producten ter sprake: Windows 10 Enterprise, Office Online en Mobile Office Apps. Het probleem beslaat 3 onderdelen. We bespreken ze hieronder!

1. Windows 10 Enterprise
Binnen Windows 10 Enterprise wordt automatisch informatie verstuurd waarin bepaalde gebruikersgegevens zijn opgenomen. Alarmerend? Dat valt best mee. Het gaat namelijk niet om gebruikersnamen of inhoudelijke documentgegevens. Microsoft verstuurt alléén analytische informatie. Maar omdat dit niet aan je wordt verteld, is het een probleem. In de AVG staat bovendien dat je zo min mogelijk informatie moet verzamelen – en Microsoft verzamelt standaard al te veel. Bij Windows 10 Enterprise is de oplossing overigens vrij eenvoudig: je kunt je instellingen aanpassen door deze voor telemetrie op ‘secure’ te zetten.

2. Office Online
Gebruik je applicaties zoals Word en Excel in je webbrowser, dan wordt er op de achtergrond informatie verzameld. Ook dit gebeurt puur voor analysedoeleinden – en wederom wordt er géén inhoudelijke informatie verzameld. Maar strikt genomen gaat het wél weer om informatie die de AVG als onacceptabel bestempelt (zoals IP-adressen). Het probleem: je kunt dit niet voorkomen.

3. Mobile Office Apps
Bij de iOS-apps voor Word, Excel en PowerPoint wordt óók informatie doorgestuurd naar Microsoft om te analyseren (dit geldt overigens alléén voor de iOS-apps en níet voor de Android-varianten daarvan). Een extra aandachtspunt: er wordt eveneens gebruikersinformatie naar een derde partij gestuurd voor gebruikersprofilering. Niet op de Google- en Facebook-manier, maar om te bekijken hoe je met de applicatie werkt. Helaas bestaat er geen functie waarmee je dit zelf kunt blokkeren.

Samengevat: wat moet jíj doen?

Momenteel werkt Microsoft samen met de overheid om de geconstateerde problemen zo snel mogelijk op te lossen. Maar in de tussentijd wil jij natuurlijk wél weten wat je moet doen.

Veel organisaties zijn gerust wanneer ze horen dat Microsoft geen informatie deelt die écht gevoelig is. Maar een financiële instelling kan dit bijvoorbeeld toch een struikelblok vinden, omdat zij hele strikte privacyregels hanteert. Wat je in zo’n geval te doen staat? Zet je telemetrie-instellingen op ‘secure’ en maak je medewerkers bewust van de gewenste werkwijze. Vertel hen dat zij voorlopig even níet in de browser moeten werken met de Online Office 365-applicaties: Word Online, Excel Online en PowerPoint Online. En laat hen géén iOS-applicaties gebruiken!