Brief regering : Verificatie op de uitvoering van het overeengekomen verbeterplan met Microsoft

32 761 Verwerking en bescherming persoonsgegevens

Nr. 622 BRIEF VAN DE MINISTERS VAN JUSTITIE EN VEILIGHEID EN VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 1 juli 2019

Op 20 december 2018 berichtte ik u, mede namens de Minister van Binnenlandse Zaken
en Koninkrijksrelaties, over dataverzameling en -opslag door Microsoft.1 Ik berichtte u ook over het overeengekomen verbeterplan met Microsoft en u medio
2019 per brief nader te informeren over de door Strategisch Leveranciers-management
Microsoft Rijk (SLM Microsoft Rijk) uitgevoerde verificatie op de uitvoer van het
verbeterplan met Microsoft.

De Minister van BZK bevordert vanuit de verantwoordelijkheid voor het Rijksinkoopstelsel,
een gecoördineerde benadering van strategische ICT-leveranciers van de rijksoverheid.
De verantwoordelijkheid voor de uitvoering hiervan is, conform de governance van het
Rijksinkoopstelsel, bij verschillende ministeries belegd. Het aanspreekpunt voor Microsoft
is SLM Microsoft Rijk en wordt voor het Rijk uitgevoerd door het Ministerie van Justitie
en Veiligheid.

SLM Microsoft heeft in 2018 een Data Protection Impact Assessment (DPIA) laten uitvoeren
op diagnostische dataverzamelingen (dat is data over het gebruik van de software)
in nieuwe versies van Microsoft Office. Met de DPIA is vastgesteld dat er via het
product «Microsoft Office ProPlus» diagnostische gegevens van en over de gebruiker
verzameld en opgeslagen werden in een database in de VS. Het verzamelen, opslaan en
gebruik van deze gegevens is niet conform de Algemene Verordening Gegevensbescherming
(AVG).

SLM Microsoft Rijk is met Microsoft in gesprek gegaan en heeft op 26 oktober 2018
overeenstemming bereikt over een verbeterplan. Microsoft verplichtte zich in dit plan
om haar producten dusdanig te wijzigen dat het gebruik daarvan voor de bij SLM Microsoft
Rijk aangesloten Rijksorganisaties conform de AVG mogelijk is.

De meest urgente wijzigingen, zoals een instellingsmogelijkheid voor beheerders om
de verzamelde gegevens tot een minimum te beperken en een mogelijkheid de verzamelde
gegevens te verifiëren, heeft Microsoft inmiddels conform het verbeterplan aangebracht.
Microsoft heeft eind april een nieuwe versie van de software aangeboden ter verificatie.
Deze nieuwe versie van de software is getest en in orde bevonden. Zowel in het product
Office ProPlus als ook Windows 10 Enterprise heeft Microsoft wereldwijd de beloofde
verbeteringen doorgevoerd.

Tevens zijn er, zoals afgesproken in het verbeterplan, in mei 2019 aanvullende afspraken
gemaakt tussen de Nederlandse Staat en Microsoft waarmee de verplichtingen van de
Rijksorganisaties als verwerkingsverantwoordelijke enerzijds en die van Microsoft
als verwerker anderzijds nader geregeld worden. De aanvullende afspraken betreffen
de verplichtingen die betrekking hebben op de door Microsoft aangeboden producten
en diensten met online componenten2, waaronder Office ProPlus, Windows 10 Enterprise en de maatregelen op de in de DPIA
geïdentificeerde acht risico's ten aanzien van Office ProPlus. De aanvullende afspraken
gaan met name over risico 6 («onvoldoende doelbinding/basis voor geautoriseerde doelen»).
Dit risico is weggenomen door in de aanvullende afspraken:

• zeer gedetailleerd overeen te komen voor welke doelen Microsoft gegevens van de verwerkingsverantwoordelijke
(inclusief persoonsgegevens) die onder de reikwijdte van de overeenkomsten tussen
de Staat en Microsoft vallen, mag gebruiken;

• gebruik en doorgifte van gegevens aan derden voor data analytics, profilering,
adverteren, marktonderzoek te verbieden, tenzij dit is toegestaan op basis van schriftelijke
instructies van de Staat;

• gedetailleerd overeen te komen hoe gegevens worden geanonimiseerd3.

Hiermee zijn de in de DPIA genoemde risico’s in voldoende mate geadresseerd zodat
er geen AVG-overtredingen meer hoeven te zijn als een Rijksorganisatie -aangesloten
bij SLM Microsoft Rijk- de Microsoftproducten en -diensten besluit te gebruiken en
daarbij de implementatierichtlijnen aanhoudt.

Om naleving van Microsoft op de contractuele bepalingen en de AVG te kunnen controleren,
een verantwoordelijkheid van de verwerkingsverantwoordelijke, heeft de Nederlandse
Staat een procedure voor uitoefening van de verbeterde auditrechten bedongen. Deze
audits vinden jaarlijks plaats, waarna een samenvatting van de bevindingen zal worden
gepubliceerd op de website van SLM Microsoft.

Voor alle duidelijkheid, terwijl de door de Nederlandse Staat met Microsoft overeengekomen
productwijzigingen wereldwijd voor alle zogenaamde Enterprise klanten beschikbaar
zijn gekomen, geldt dit niet voor de aanvullende afspraken waarin de verplichtingen
van verwerkingsverantwoordelijke en verwerker geregeld worden. De reikwijdte van SLM
Microsoft strekt niet verder dan de Rijksdiensten en de daarbij behorende ZBO’s en
Agentschappen. Deze aanvullende afspraken zijn daarom uitsluitend van toepassing op
die Rijksonderdelen en ZBO’s die aangesloten zijn bij het Rijks Microsoft Business
en Services contract onder beheer bij SLM Microsoft Rijk.

Het is voor de bedrijfsvoering van de belang dat er gebruik wordt gemaakt van de courante
versies van de software van een leverancier. Deze versies bieden de beste mogelijkheden
om de ICT-omgevingen up-to-date en veilig te houden en de beveiliging tegen cyberaanvallen
en zijn bovendien aangepast aan de meest recente wetgeving zoals de AVG.

Gezien de behaalde resultaten zoals hierboven beschreven ziet SLM Microsoft Rijk,
vanuit AVG-perspectief geen bezwaren voor bij SLM Microsoft aangesloten organisaties
Microsoft Office ProPlus, Windows 10 Enterprise en Azure te gebruiken. Het blijft
altijd de eigen afweging van een organisatie als verwerkingsverantwoordelijke om te
besluiten of en welk product of dienst geschikt is voor een specifieke toepassing.
Hierbij dienen ook andere factoren zoals informatiebeveiligingsaspecten en specifieke
wet- en regelgeving voor de organisatie gewogen te worden.

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, K.H. Ollongren