Via Windows 10 Enterprise en Microsoft Office verzamelt Microsoft gebruikersgegevens die het bedrijf in de VS opslaat. Dit vormt een risico voor de privacy van gebruikers, constateert het ministerie van Justitie en Veiligheid na onderzoek.

Microsoft belooft het ministerie van Justitie en Veiligheid Windows 10 Enterprise en Microsoft Office aan te passen. De wijzigingen moeten ertoe leiden dat overheidsdiensten de software in overeenstemming met de AVG kunnen gebruiken. In april 2019 moeten de wijzigingen zijn doorgevoerd, waarna het ministerie zal verifiëren of dit inderdaad het geval is.

"In de tussentijd zullen onderdelen van het Rijk aanvullende maatregelen moeten nemen om de datastromen naar Microsoft zoveel mogelijk te stremmen", staat in een mededeling over de onderhandelingen tussen het Rijk en Microsoft met betrekking tot het voldoen aan de AVG. Als de verbeteringen onvoldoende zijn, is een gang naar de Autoriteit Persoonsgegevens 'een mogelijkheid' voor handhaving, volgens het ministerie.

De onderhandelingen zijn het gevolg van de Data Protection Impact Assessment die het 'Strategisch Leveranciersmanagement Microsoft Rijk' op Microsoft Office en Windows 10 liet uitvoeren. Het SLM Microsoft is binnen het ministerie van Justitie en Veiligheid het aanspreekpunt voor Microsoft. SLM Microsoft gaf het bedrijf PrivacyCompany opdracht om de Data Protection Impact Assessment uit te voeren. Het onderzoeksrapport is onder andere opgesteld door Sjoera Nas, die voorheen bij onder meer de Autoriteit Persoonsgegevens en Bits of Freedom werkzaam was.

In een presentatie spreekt PrivacyCompany ervan dat Microsoft Office 'heimelijk gedragsgegevens van 300.000 rijkswerkplekken, van ministeries en politie tot rechtspraak en toezichthouders verzamelt'. Het onderzoek concludeert dat er geen instelling bij Office is om te voorkomen dat de software telemetriedata doorstuurt. Bij Windows 10 Enterprise is die er wel. PrivacyCompany erkent niet te weten wat Office precies voor gedragsgegevens doorstuurt, maar na een brede analyse durft het bureau te zeggen dat het om de grootschalige verwerking van persoonsgegevens van gevoelige aard gaat.