Microsoft har lenge framstått som en forkjemper for personvern og har skapt inntrykk av å ønske å være best i klassen når det gjelder overholdelse av GDPR-regelverket. Nå viser en undersøkelse som selskapet Privacy Company har gjort på vegne av det nederlandske justis- og sikkerhetsdepartementet, at selskapet er nødt til å rydde betydelig i eget reir før det kan klappe seg selv på skulderen.
Etter det digi.no kjenner til, hadde Microsoft tidligere i høst rundt 1600 ingeniører som fortsatt jobber aktivt med å tilpasse selskapets produkter og tjenester til GDPR.
Office ProPlus
Den omfattende rapporten tar for seg Microsoft Office ProPlus (Office 2016 MSI og Office 365 CTR), som på daglig basis brukes av rundt 300 000 offentlig ansatte i Nederland til å sende og motta epost, samt lese og lage tekstdokumenter, regneark og presentasjoner.
_logo.svg.png){kind=logo}
Det er kun Microsoft Office ProPlus som er undersøkt. Andre versjoner kan likevel være berørt at den samme problematikken, men Privacy Company opplyser at Enterprise-utgaven blant annet har innstillinger som gjør det mulig for IT-administratorer å redusere personvernrisikoen.
Ifølge et blogginnlegg som Privacy Company har skrevet om rapporten, samler Microsoft systematisk, og i stor stil, inn data om den individuelle bruken av Office-applikasjonene. Dette gjøres uten at brukerne er blitt informert. Det er også et viktig poeng at disse dataene lagres og prosesseres i USA, også når brukeren er europeisk.
Telemetridata
Det dreier seg om såkalte telemetridata. Det nederlandske datatilsynet konkluderte i fjor høst med at Microsofts innsamling av slike data i Windows 10 var i strid med personvernlovgivningen. Microsoft skal i våres ha gjort de nødvendige endringer i Windows 10 for å tilfredsstille personvernkravene.
Men mens telemetridataene fra Windows 10 omfatter et sted mellom 1000 og 1200 hendelser, er innsamlingen fra Office ProPlus langt mer omfattende. Privacy Company skriver at Microsoft selv har oppgitt at det samles inn data fra mellom 20 000 og 25 000 ulike typer hendelser. Disse behandles av mellom 20 og 30 ulike team i selskapet.
Leste du denne? Endelig skal Windows 10-brukerne få se dataene som sendes til Microsoft
Udokumentert
Ifølge Privacy Company har ikke Microsoft offentlig dokumentert detaljer om datainnsamlingen. Brukerne har heller ikke kunnet skru av datainnsamlingen.
Avdelingen som er det sentrale kontaktpunktet mellom regjeringen og Microsoft, Strategisch Leveranciersmanagement Microsoft (SLM) Rijk, skal i forrige uke ha begynt å tilby IT-administratorer i offentlig, nederlandske organisasjoner en pakke med innstillinger som bidrar til å redusere overføringen av personopplysninger fra den aktuelle programvaren. Pakken skal være lagd i samarbeid med Microsoft.
Hele setninger
Blant det Privacy Company nå mener blir samlet inn, er blant annet betydelige brukerdata fra stavekontrollen i Office-applikasjonene. Det gjelder ikke bare enkeltord som brukeren kan ha feilstavet, men også setningen før dette ordet og setning etter dette ordet. Også titlene på eposter kan være blant dataene som samles inn.
Disse dataene kan inneholde sensitiv informasjon om blant annet enkeltpersoner.
I tillegg til de innebygde tjenestene i Office-produktet, utfører Microsoft lignende datainnsamling i forbindelse med frivillige tilleggstjenester (Connected Services), inkludert oversettelsestjenesten.
Har inngått avtale
Microsoft skal ikke ha nektet for at funnene i rapporten faktisk stemmer.
Ifølge en oppdatering fra den nederlandske regjeringen, skal selskapet og de nederlandske myndighetene ha kommet til enighet den 26. oktober i år om en plan for hvordan nederlandske myndigheter skal kunne bruke selskapets produkter og samtidig overholde GDPR og annen relevant lovgivning.
Microsoft har forpliktet seg til å gjøre disse endringene innen april 2019. I mellomtiden må nederlandske myndigheter i så stor grad som mulig blokkere datastrømmen fra både Office- og Windows-programvaren så mye som mulig.
Ingen bøter i første omgang
Microsoft har også forpliktet seg til jevnlig å rapportere om denne prosessen. Dersom progresjonen anses som utilstrekkelig eller at forbedringene ikke holder mål, kan det nederlandske datatilsynet bli bedt om å gjøre en vurdering og pålegge håndhevelsesforanstaltninger. Dette kan omfatte bøter i den størrelsesorden som GDPR legger opp til.
Blant annet The Register har mottatt en uttalelse fra Microsoft i forbindelse med en sak om rapporten.
– Vi er engasjert i personvernet til kundene våre, ved å gi dem kontrollen over deres data og sikre at Office ProPlus og andre Microsoft-produkter og tjenester overholder GDPR og andre relevante lover. Vi setter pris på muligheten til å diskutere praksisen for håndtering av diagnosedata i Office ProPlus med det nederlandske justisdepartementet og ser fram til en vellykket løsning på eventuelle bekymringer, heter det i uttalelsen.
Les også: Mener mange også utenfor Europa setter pris på GDPR (Digi ekstra)
