Voor de beste ervaring schakelt u JavaScript in en gebruikt u een moderne browser!
Je gebruikt een niet-ondersteunde browser. Deze site kan er anders uitzien dan je verwacht.

Het Nederlands hoger onderwijs en de Rijksoverheid kregen onlangs het advies om geen (zeer) gevoelige informatie te bespreken via het communicatieplatform Microsoft Teams. Dat blijkt uit een privacytoets van onderzoeksbureau Privacy Company, die in opdracht van SURF en het ministerie van Justitie en Veiligheid is uitgevoerd. Werk je met (bijzondere) persoonsgegevens? Lees hieronder wat dit betekent voor jouw werk of studie.

Wat is er aan de hand met de beveiliging en privacy van data als je met Microsoft 365 werkt?  

De overheid en SURF hebben risicoanalyses voor Microsoft Teams, SharePoint en OneDrive gepubliceerd (eind februari 2022). Deze publicatie heeft de nodige media-aandacht gekregen. Medewerkers die bijvoorbeeld een verantwoordelijkheid hebben op het gebied van de beveiliging en privacy van data, ontvingen vragen over de bevindingen van deze risicoanalyses.  

Wat is er onderzocht door SURF en de overheid? 

Of Microsoft 365 veilig genoeg omgaat met data. De diensten Microsoft Teams, SharePoint en OneDrive zijn nauwkeurig onderzocht. Deze drie diensten verwerken en slaan de meeste gegevens op: het versturen en opslaan van bestanden en chatberichten en videobellen en de opnames daarvan. Daarnaast is er gekeken naar zogenaamde gebruiks- en diagnostische gegevens die worden verstuurd naar Microsoft. Dit zijn bijvoorbeeld gegevens die nodig zijn om te kunnen samenwerken aan een document in MS Word.  

Wat zijn de bevindingen? 

Er blijken zes lage privacy-risico’s en één hoog risico. Het hoge risico heeft betrekking op de mogelijke toegang van opsporings- en inlichtingendiensten uit de VS tot zeer gevoelige en bijzondere persoonsgegevens. Ondanks dat al onze gegevens uitsluitend opgeslagen worden in Europese datacenters, kunnen gegevens worden gevorderd door Amerikaanse wetgeving (denk bijvoorbeeld aan de US CLOUD Act.). 

Heeft dit invloed op jouw werk of studie? 

Als je met heel gevoelige en/of bijzondere persoonsgegevens werkt wel. Alle gegevens die worden opgeslagen in Microsoft 365 zijn versleuteld, maar Microsoft heeft ook toegang tot die sleutels. Ons advies vanuit de HvA en UvA blijft om zeer gevoelige en bijzondere (persoons)gegevens  niet op te slaan, te versturen via chatberichten of te bespreken tijdens het videobellen in Microsoft Teams. Dit advies komt o.a. voort uit de uitgebreide risicoanalyses die de HvA en UvA hebben uitgevoerd. 

Wat zijn zeer gevoelige en/of bijzondere persoonsgegevens? 

Bijzondere persoonsgegevens zijn (art. 9 AVG) tot de persoon herleidbare gegevens over ras of etnische afkomst, politieke opvattingen, religieuze overtuiging, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op unieke identificatie van een persoon, gegevens over gezondheid en seksueel gedrag of gerichtheid.  Zeer gevoelige gegevens kunnen persoonsgegevens zijn, maar zijn daar niet toe beperkt. Denk aan bankrekeningnummers, maar ook hoog vertrouwelijke onderzoeksgegevens, bedrijfskritische of strategische informatie. 

Wat kun je dan gebruiken in plaats van Microsoft 365?

Je kunt de gebruikelijke diensten van Microsoft 365 wel gewoon gebruiken, behalve als je met de genoemde gevoelige persoonsgegevens werkt. Dan moet je dat niet delen via chat of opslaan in Microsoft Teams, OneDrive of SharePoint. We bieden voor de opslag van dit type gegevens de nodige alternatieven, zoals de vaak aanwezige facultaire opslag, opslag via ICT Services, ResearchDrive of SURFdrive. In Q2 2022 starten we met een pilot om het opslaan van dit soort hoog vertrouwelijke gegevens in een Cloud-omgeving verantwoord en veilig te kunnen doen.  

Is videobellen dan wel veilig?

Voor het videobellen met meerdere personen en het versturen van chatberichten is een andere vorm van versleuteling nodig. Dit wordt ook wel End-To-End Encryptie (E2EE) genoemd. Deze vorm van versleuteling wordt door Microsoft ontwikkeld. Tot die tijd adviseren we vertrouwelijke gegevens niet via videobellen te bespreken.

Wat zijn de lage privacy risico’s?  

De zes lage risico’s hebben vooral betrekking op het doorgeven van de gepseudonimiseerde gebruik- en diagnostische gegevens naar Microsoft. Deze gegevens worden op dit moment nog verwerkt in Amerikaanse datacenters. Microsoft werkt aan het verbeteren van de 6 lage risico's door middel van de EU Data Boundary. Microsoft heeft toegezegd dat uiterlijk eind 2022 alle gegevens binnen Europa verwerkt worden.

Heb je hier nog vragen over? 

Deze reactie is samengesteld in samenwerking met de CISO (Chief Information Security Officer), Privacy Officers van de HvA en UvA en het Productteam Samenwerking (voorheen Microsoft 365). Mocht je naar aanleiding van dit bericht of de risicoanalyses nog vragen hebben, neem dan contact op met je Facultair Informatiemanager, Privacy Contactpersoon of Facultair Information Security Officer.