De Privacy Company is een Nederlands privacyconsultancy bedrijf dat al eerder degelijke DPIA’s publiceerde in opdracht van de Nederlandse overheid, bijvoorbeeld over Google Workplace en Microsoft Office365. Vandaag publiceerden ze de volgende in de rij, ditmaal over Microsoft Teams, Onedrive en Azure Active Directory. Simpel gezegd, dit is verplicht leesvoer voor iedereen die in privacycontext aanloopt tegen Microsoft tools.
Transfer Impact Assessment
In de DPIA zit ook meteen een TIA (Transfer Impact Assessment) verwerkt waar men gekozen heeft voor de risk-based approach. Gewaagd, want diverse autoriteiten in Europa zijn daar geen fan van. Tegelijk is het eigenlijk de enige zinvolle manier om te kijken naar de risico’s van transfers naar Amerika, de kans dat de persoonsgegevens van een KMO onderdeel zullen zijn van verzameling door Amerikaanse inlichtingendiensten is al erg klein en de kans dat de betreffende personen daar nadeel van gaan ondervinden nog kleiner.
Men maakt wel meteen de kanttekening dat er een Europese Taskforce kijkt naar gebruik van clouddiensten door overheden en dat eventuele uitkomsten die afwijken van de conclusies uit deze DPIA meegenomen zullen worden in een nieuwe versie.
Hoge en Lage Risico’s
De conclusie is dat er voornamelijk lage risico’s zitten aan het gebruik van de genoemde diensten. Gegevens die Microsoft doorspeelt betreffen over het algemeen pseudonieme gebruiksgegevens waar relatief weinig risico aan zit, tenzij je bestandsnamen gebruikt zoals “HIVtestBartvanBuitenen-POSITIEF.pdf”.
Een aantal andere risico’s zouden best wat hoger ingeschaald mogen worden wat ons betreft: de monitoringsprogramma’s waarmee medewerkers in de gaten te houden zijn kunnen best ver gaan (maar het gebruik bepaal je zelf) en de internationale doorgiftes mogen ook best een “medium” scoren. Een en ander heeft ook te maken met de risicomatrix die de ICO er op na houdt: in tegenstelling tot klassieke matrices gebruikt de ICO nogal veel “low”.
Lijst met maatregelen
Misschien nog wel het beste onderdeel van de DPIA, en de bijbehorende blogpost, is de lijst met maatregelen die je kunt nemen om de risico’s verder te beperken. De Privacy Company geeft een aantal concrete instellingen mee en afspraken die je kunt maken rond het gebruik van Microsoft tools.
Conclusie: wil je voor diverse organisaties kunnen onderbouwen dat Microsoft Teams en Onedrive GDPR-compliant gebruikt kunnen worden, ga je hier je inspiratie kunnen halen.