Bijzondere persoonsgegevens opslaan in Microsoft 365 OneDrive of SharePoint of delen in Teams, mag dat? Sinds de opkomst van de functionaris gegevensbescherming (FG), die in overheidsorganisaties intern toezicht houdt op naleving van de Algemene Verordening Gegevensbescherming (AVG) is er gelukkig meer aandacht voor de veiligheid, het beheer en tijdige verwijdering van privacygevoelige gegevens. Een Data Protection Impact Assessment (DPIA) van eerder dit jaar kwam met stellige uitspraken over opslag van zulke gegevens in Microsoft 365 tenants bij de overheid. Maar hier en daar lijken de uitkomsten van dat onderzoek en eigen leven te zijn gaan leiden. Wat mag nou wel – en wat beter niet?
‘AVG!’
De AVG helpt ons burgers van de EU lidstaten om onze privé informatie te beschermen tegen bedrijven en overheidsinstanties. Maar je hoort en ziet steeds vaker dat “AVG” roepen net zo goed als magisch afweermiddel tegen juist meer transparantie wordt ingezet door diezelfde overheid. Bijvoorbeeld als je als journalist de naam van een behandelend ambtenaar voor je hebt, op een brief en je vraagt naar die persoon er dan gezegd wordt ‘ik mag u niet doorverbinden, vanwege de AVG’. Of dat zelfs de doden privacy lijken te hebben (quod non) ‘vanwege de AVG’. Zo is het ook op dit moment in overheidsorganisaties bon ton geworden om onzeker te doen over het al dan niet mogen gebruiken van Microsoft 365 ‘vanwege de AVG, want persoonsgegevens’.
Nieuwe DPIA
De onzekerheid is sterk aangewakkerd sinds februari van dit jaar, toen Privacycompany een nieuwe DPIA publiceerde voor de Rijksoverheid en universiteiten op Microsoft Teams, OneDrive en SharePoint Online. Dit onderzoek, in opdracht van Ministerie van Justitie en Veiligheid, SURF, resulteerde in een aantal geruststellende constateringen over maatregelen die Microsoft inmiddels heeft genomen rond onder andere telemetrie (het geautomatiseerd doorzenden van bepaalde gebruiksgegevens naar de Verenigde Staten):
“Het resultaat van deze DPIA, na herhaald overleg met Microsoft, is dat er geen bekende hoge risico’s meer zijn voor de verwerking van de diagnostische gegevens, als beheerders de eerdere aanbevelingen over het gebruik van Office 365 opvolgen. Maar er is wel een hoog risico als organisaties Teams gebruiken om zeer gevoelige en bijzondere categorieën gegevens te verwerken, vanwege de mogelijke toegang door opsporings- en veiligheidsdiensten in de VS.”
Het artikel op de website van Privacy Company spreekt van een hoog risico voor bijzondere persoonsgegevens die niet met een eigen sleutel zijn versleuteld. Aangezien de Amerikaanse justitie mogelijk toegang zou kunnen vorderen tot informatie die door Microsoft in cloud servers is opgeslagen, zelfs als dat in Europa zou zijn, zou een organisatie niet zonder minimaal Microsofts Double Key Encryption (DKE) encryptie ‘gevoelige of bijzondere persoonsgegevens via Teams mogen uitwisselen.’ En: ‘Om gevoelige en bijzondere persoonsgegevens te beschermen in OneDrive en SharePoint kunnen organisaties gebruik maken van Microsoft’s Double Key Encryption (DKE). Privacy Company heeft op verzoek van het NBV van de AIVD een openbaar rapport geschreven over DKE. Aanbevolen maatregelen publieke sectororganisaties: Tips voor de organisatie: Deel geen zeer gevoelige of bijzondere persoonsgegevens via Teams, tenzij het om een openbare bijeenkomst gaat.’
Ik citeer uitgebreid, aangezien de tekst hier expliciet spreekt van ‘gevoelige en bijzondere persoonsgegevens.’ Hetzelfde artikel noemt ‘gevoelige of bijzondere persoonsgegevens’, ‘zeer gevoelige of bijzondere persoonsgegevens en ‘bijzondere persoonsgegevens’ [mijn curs.]. De AVG kent echter twee categorieën gegevens, waarvoor verschillende gradaties van maatregelen moeten worden toegepast. Dat zijn persoonsgegevens, waarvan de Autoriteit Persoonsgegevens (AP) als voorbeelden naam, adres en telefoonnummers noemt. En er zijn bijzondere persoonsgegevens, waarvan de AP stelt dat
“gevoelige gegevens als iemands ras, godsdienst of gezondheid bijzondere persoonsgegevens [worden] genoemd. Deze zijn door de wetgever extra beschermd. Het is verboden om bijzondere persoonsgegevens te verwerken, tenzij er een wettelijke uitzondering is.”
Is het zó anders dan?
Natuurlijk waren organisaties zònder cloudoplossingen als Microsoft 365 al langer gehouden aan de zeer strikte regels voor verwerking van deze bijzondere persoonsgegevens. Het is verboden die te verwerken, TENZIJ de organisatie zich kan beroepen op een wettelijke uitzondering èn op één van de tien uitzonderingsgronden in de AVG.
Eigenlijk voegt de DPIA over Teams, OneDrive en SharePoint Online aan dat aspect althans niet veel nieuws aan toe. Het Ministerie van Justitie schreef naar aanleiding van de DPIA daarom ook in een memo aan CIO Rijk, CIO-beraad, CTO-raad, deelnemers SLM MIcrosoft, Google en AWS Rijk en geïnteresseerden dat er ‘op sommige plaatsen een vertekend beeld [is] ontstaan over het geconstateerde hoge risico, dat optreedt bij de verwerking van bijzondere persoonsgegevens.’ Want: ‘De afweging of een organisatie wel bijzondere persoonsgegevens mag verwerken gaat vooraf [mijn curs.] aan de risico-afweging over de doorgifte van bijzondere persoonsgegevens via een clouddienst zoals Teams, OneDrive of SharePoint Online.’ Als voorbeeld stelt de memo dat je geen ‘ziektelijstjes of roddels over bijzondere kenmerken van mensen’ zou moeten uitwisselen via Teams, maar ja ‘dat mag ook niet op het prikbord van de kantine.’ En: het kàn gebeuren dat je een keer op een foto of video-opname (Teams vergaderopnamen!) deelt waarop een bijzonder persoonsgegeven van een persoon zichtbaar is (bv een geloofskenmerk als Davidster of hoofddoekje). Maar dit is nog niet meteen een verwerking van bijzondere persoonsgegevens volgens de AVG. De memo continueert met behartenswaardige aanbevelingen over het opslaan van vergaderopnamen (gebruik vooral de door Teams admin aangeboden mogelijkheid voor automatische expiratie).
Bezint eer ge migreert
Als een organisatie migreert van fileshare naar SharePoint Online in Microsoft 365 dan is een controle op rechtmatige opslag van documenten met daarin bijzondere persoonsgegevens natuurlijk op zijn plaats. Zeker waar overheidsinstellingen op hun schijven terabytes aan documenten hadden bewaard van de afgelopen twintig-dertig jaar is dat een uitdaging. Miljoenen documenten waarvan geen bewaartermijn bekend is. Die veelal toch al veel te lang bewaard zijn gebleven, in strijd met de Archiefwet – en waar van toepassing met de AVG. Deze hete aardappel lijkt nu doorgeschoven te worden naar het cloud bordje. Maar is in essentie dus helemaal geen cloud probleem.
Hoog tijd om bij een migratie naar de Microsoft cloud meteen ook recordsmanagement-, informatieveiligheid en privacy-maatregelen te treffen met behulp van de oplossingen in Microsoft Purview!
afbeelding Tim Gouw, Unsplash
Check mijn account op:
Bedankt voor de recensie op onze Teams DPIA! Je hebt natuurlijk gelijk dat de AVG alleen gewone en bijzondere persoonsgegevens kent. Maar de twee onderzoeken die we naar Microsoft Teams, SharePoint en OneDrive hebben gedaan zijn risico-inschattingen. Een Data Protection Impact Assessment (DPIA), en een Data Transfer Impact Assessment (DTIA). En bij risico-inschattingen gaat het altijd over de aard van de gegevens, en de gevolgen van onrechtmatige verdere verwerking. Denk aan gegevens van kinderen, salarisgegevens/schulden of surfgedrag. Als dat soort gegevens worden opgevraagd door autoriteiten in strijd met de AVG, of uitlekken bij een datalek, is er sprake van een hoger risico voor betrokkenen dan bij ‘gewone’ gegevens.
Dank voor je reactie en aanvullingen Sjoera! En zie het zeker niet als een ‘recensie’. Jullie werk is erg doorwrocht en degelijk. FG’s zijn er zeker mee geholpen. Het punt van de aard van persoonsgegevens (bijzonder, gevoelig, zeer gevoelig, etc.) is iets wat blijkbaar wat enige verwarring oplevert in de organisaties.