‘Microsoft lekt data Nederlandse ambtenaren naar VS’

Kantoorpakket Office Gegevens van Nederlandse ambtenaren zijn door Microsoft verzameld, bewerkt en bewaard op Amerikaanse servers. Dat mag niet.

Het nieuwe kantoor van Microsoft Nederland. Foto BAS CZERWINSKI/ ANP

Microsoft gaat kantoorpakket Office aanpassen op aandringen van de Nederlandse overheid. Programma’s als Word, Excel en Outlook verzamelen op de achtergrond gegevens over Europese gebruikers, onder wie Nederlandse ambtenaren. Die data bewaart en bewerkt Microsoft op Amerikaanse servers. Het gaat om diagnostische data - welke functies worden vaak gebruikt - maar ook om hele zinnen voor online vertaalsoftware en mogelijk de onderwerpregels van e-mails.

Dat druist in tegen de Europese privacyregels (GDPR), blijkt uit een onderzoek dat het ministerie van Justitie en Veiligheid liet uitvoeren. Microsoft is een grote ict-leverancier voor de Nederlandse overheid, goed voor 300.000 digitale werkplekken.

In het dinsdag gepubliceerde rapport stelt het ministerie dat de huidige werkwijze „hoge risico’s meebrengt voor de privacy van de gebruiker”.

Vrijwel alle Nederlandse ambtenaren werken met Office. De bestanden worden opgeslagen op servers in de EU, zoals de overheid het wil. Maar data over de activiteit van Office-gebruikers worden bewaard en verwerkt in de VS, blijkt uit een analyse door onderzoeksbureau Privacy Company. Amerikaanse overheden kunnen toegang tot die servers eisen.

Er is echter geen overzicht over wat Microsoft verzamelt – zelfs bij Microsoft niet, stellen de onderzoekers. Het doorsturen van zulke gegevens kan bovendien niet uitgezet worden.

De overheid liet een nieuwe Office-versie onderzoeken, maar vervolgens kwamen problemen aan het licht met de versie van Office die Nederlandse ambtenaren momenteel gebruiken (ProPlus). Microsoft verzamelt meer dan 23.000 tot 25.000 soorten ‘gedrag’. Die data worden door meer dan twintig teams van ontwikkelaars geanalyseerd.

Microsoft telt de backspace-toets

Microsoft mag gebruiksgegevens verzamelen om de veiligheid van het product te vergroten en de foutjes te verbeteren. Het is niet toegestaan zulke gegevens te verwerken om nieuwe diensten te ontwikkelen of te gebruiken voor toekomstige analyse. Volgens het rapport beschouwt Microsoft telemetrische gegevens ten onrechte niet als persoonlijke data.

De term ‘verbetering’ van software is vaag. Microsoft gaf zelf dit voorbeeld: als een gebruiker moeite heeft met de spelling van een woord en een paar keer op de backspace-knop drukt, dan wil Microsoft die wetenschap gebruiken om het online woordenboek te adviseren, zodra de gebruiker de backspace-toets indrukt.

Voor de online woordenboeken en spellingchecker worden hele zinnen heen en weer gestuurd, ook extra zinnen rondom het te vertalen gedeelte - voor extra context.

Nog meer gevoelige gegevens: onderwerpregels van e-mails worden bewaard in zogeheten audit logs, waarvan Microsoft niet kan garanderen dat ze in de EU blijven.

De Amerikaanse softwaremaker gaat er van uit dat het aan de regels voldoet omdat het documenten opslaat op servers in Europa, zoals in het Noordhollandse Middenmeer.

In een reactie beaamt Microsoft dat het aan een oplossing werkt. Die moet in april 2019 klaar zijn. Dat is een ‘harde eis’, benadrukt het ministerie van Justitie en Veiligheid. Tot die tijd krijgen de overheidsinstellingen het advies om de internetpoorten te blokkeren die de gevoelige data naar de VS sturen. Het ligt voor de hand dat wijziging in Office wereldwijd wordt doorgevoerd. Het kantoorpakket telt meer dan 1,2 miljard gebruikers.

Windows 10

Het probleem met kantoorpakket Office lijkt op de wijziging die Microsoft begin dit jaar doorvoerde in de consumentenversie van Windows 10. Het besturingssysteem verzamelde standaard gedrag van computergebruikers, onder meer ten behoeve van advertenties op maat. Sinds april 2018 is die optie uit te schakelen in Windows en zijn alle diagnostische gegevens ook te verwijderen.

De aanpassing van Windows 10 kwam net voordat een overtreding van de GDPR-regels daadwerkelijk beboet kon worden. Dat risico loopt Microsoft met Office wel.

De boete voor het overtreden van de GDPR-regels hangt af van het type van de overtreding, maar kan oplopen tot maximaal 4 procent van de omzet. Microsoft haalde in het gebroken boekjaar 2018 een omzet van 110 miljard dollar.

    • Marc Hijink