Ja, dat kan. Sterker nog, op dit moment adviseren wij om Microsoft Office 365 te gebruiken juist vanwege de privacyvriendelijkheid. Als gevolg van een onderhandeling met het Rijk heeft Microsoft enige tijd geleden haar privacyvoorwaarden wereldwijd aangepast en verbeterd. Microsoft verwerkt alleen nog maar persoonsgegevens voor slechts drie (legitieme) doelen, waarvan er geen één een commercieel doel is. Daarnaast verwerkt Microsoft persoonsgegevens ook niet meer voor profiling, data analytics, marktonderzoek of advertenties. De verbeterde privacyvoorwaarden zijn opgenomen in de licentievoorwaarden (Online Service Terms – OST) die vanaf januari 2020 gelden. Het is wel goed om te vermelden dat deze aanpassing geldt voor de Office 365 Enterprise-versie, maar ook voor de Business versie voor het midden- en kleinbedrijf. De aanpassingen gelden niet voor de Windows 10 Enterprise of de mobiele apps van Office. Meer informatie daarover vind je hier.
Advies Lumen Group
Ons advies luidt dan ook: Gebruik van Microsoft Office via een zakelijke licentie, maar niet via de mobiele app of Windows 10 Enterprise. Uiteraard zijn er ook andere privacyvriendelijke opties voor videobellen, zoals Jitsi en Signal. Hierover kun je meer lezen op de website van Bits of Freedom op deze pagina (algemeen) en deze pagina (Jitsi). Let op: ons advies is enkel indicatief bedoeld en hoeft niet leidend te zijn. Wellicht zijn andere aspecten voor jouw organisatie meer van doorslaggevend belang.
Privacyvriendelijk instellen
De uitkomsten van die DPIA’s hebben geleid tot een aantal aanbevelingen, zodat hoe Microsoft Office 365 privacyvriendelijk kan instellen. Deze kun je hier vinden. Inmiddels heeft Kennisnet ook een document gepubliceerd waarin deze aanbevelingen zijn weergegeven. Deze kun je hier vinden. Wij raden aan om deze aanbevelingen op te volgen.
UPDATE – Audit in opdracht van SLM Microsoft Rijk naar maatregelen Microsoft m.b.t. profilering d.d. 28-01-2022
Ernst & Young (EY) heeft vorig jaar in opdracht van SLM Microsoft Rijk een audit uitgevoerd naar de maatregelen van Microsoft met betrekking tot profilering. “De opzet en de werking van de beheersmaatregelen van Microsoft zijn effectief om te voldoen aan de beheersdoelstellingen die nodig zijn om met een redelijke waarschijnlijkheid te waarborgen dat geen verboden profilering aanwezig is met betrekking tot Office365 ProPlus”, zo concludeert EY in het rapport. Deze audit heeft echter betrekking op een specifieke periode en controle op de blijvende naleving van gemaakte afspraken tussen de Rijksoverheid en Microsoft vraagt om een continu en circulair controleproces. Daartoe behoren met name Data protection impact assessments (DPIA’s) die risico’s aan het licht brengen, kleinere technische verificatieonderzoeken en aanpassingen van de afspraken op basis van de resultaten en wijzigingen in (inter)nationale wet- en regelgeving. De audit toont aan dat gewerkt kan worden met Microsoft Office365 ProPlus conform de AVG. De controle is overigens ook bruikbaar voor SURF en VNG, aangezien SLM Rijk ook deze organisaties vertegenwoordigt bij privacy-audits op Microsoft.
