U bevindt zich in
Onderzoek naar Microsoft
DWARSLIGGER
HoofdstukkenHoger Menu Pagina's start Data Verzameling en Opslag Overheid meer grip op Microsoft Strategisch Leveranciersmanagement Verificatie Verbeterplan Microsoft
Verificatie Verbeterplan Microsoft

Retouradres Postbus 20301 2500 EH Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Postbus 20018
2500 EA DEN HAAG
Directie Informatievoorziening en Inkoop
Turfmarkt 147
2511 DP Den Haag
Postbus 20301
2500 EH Den Haag
www.rijksoverheid.nl/jenv
Datum 1 juli 2019

Onderwerp: Verificatie op de uitvoering van het overeengekomen verbeterplan met Microsoft
Ons kenmerk
2635551
Bij beantwoording de datum en ons kenmerk vermelden.
Wilt u slechts één zaak in uw brief behandelen.

Op 20 december 2018 berichtte ik u, mede namens de minister van Binnenlandse Zaken en Koninkrijksrelaties, over dataverzameling en -opslag door Microsoft.
Ik berichtte u ook over het overeengekomen verbeterplan met Microsoft en u medio 2019 per brief nader te informeren over de door Strategisch Leveranciers-management Microsoft Rijk (SLM Microsoft Rijk) uitgevoerde verificatie op de uitvoer van het verbeterplan met Microsoft.
De minister van BZK bevordert vanuit de verantwoordelijkheid voor het Rijksinkoopstelsel, een gecoördineerde benadering van strategische ICT-leveranciers van de rijksoverheid.
De verantwoordelijkheid voor de uitvoering hiervan is, conform de governance van het Rijksinkoopstelsel, bij verschillende ministeries belegd.
Het aanspreekpunt voor Microsoft is SLM Microsoft Rijk en wordt voor het Rijk uitgevoerd door het ministerie van Justitie en Veiligheid.
SLM Microsoft heeft in 2018 een Data Protection Impact Assessment (DPIA) laten uitvoeren op diagnostische dataverzamelingen (dat is data over het gebruik van de software) in nieuwe versies van Microsoft Office.
Met de DPIA is vastgesteld dat er via het product 'Microsoft Office ProPlus' diagnostische gegevens van en over de gebruiker verzameld en opgeslagen werden in een database in de VS.
Het verzamelen, opslaan en gebruik van deze gegevens is niet conform de Algemene Verordening Gegevensbescherming (AVG).
SLM Microsoft Rijk is met Microsoft in gesprek gegaan en heeft op 26 oktober 2018 overeenstemming bereikt over een verbeterplan.
Microsoft verplichtte zich in dit plan om haar producten dusdanig te wijzigen dat het gebruik daarvan voor de bij SLM Microsoft Rijk aangesloten Rijksorganisaties conform de AVG mogelijk is.

De meest urgente wijzigingen, zoals een instellingsmogelijkheid voor beheerders om de verzamelde gegevens tot een minimum te beperken en een mogelijkheid de verzamelde gegevens te verifiëren, heeft Microsoft inmiddels conform het verbeterplan aangebracht.
Microsoft heeft eind april een nieuwe versie van de software aangeboden ter verificatie.
Deze nieuwe versie van de software is getest en in orde bevonden.
Zowel in het product Office ProPlus als ook Windows 10 Enterprise heeft Microsoft wereldwijd de beloofde verbeteringen doorgevoerd.
Tevens zijn er, zoals afgesproken in het verbeterplan, in mei 2019 aanvullende afspraken gemaakt tussen de Nederlandse Staat en Microsoft waarmee de verplichtingen van de Rijksorganisaties als verwerkingsverantwoordelijke enerzijds en die van Microsoft als verwerker anderzijds nader geregeld worden.
De aanvullende afspraken betreffen de verplichtingen die betrekking hebben op de door Microsoft aangeboden producten en diensten met online componenten, waaronder Office ProPlus, Windows 10 Enterprise en de maatregelen op de in de DPIA geïdentificeerde acht risico's ten aanzien van Office ProPlus.
De aanvullende afspraken gaan met name over risico 6 ("onvoldoende doelbinding/basis voor geautoriseerde doelen").
Dit risico is weggenomen door in de aanvullende afspraken:

Hiermee zijn de in de DPIA genoemde risico’s in voldoende mate geadresseerd zodat er geen AVG-overtredingen meer hoeven te zijn als een Rijksorganisatie - aangesloten bij SLM Microsoft Rijk- de Microsoftproducten en -diensten besluit te gebruiken en daarbij de implementatierichtlijnen aanhoudt.
Om naleving van Microsoft op de contractuele bepalingen en de AVG te kunnen controleren, een verantwoordelijkheid van de verwerkingsverantwoordelijke, heeft de Nederlandse Staat een procedure voor uitoefening van de verbeterde auditrechten bedongen.
Deze audits vinden jaarlijks plaats, waarna een samenvatting van de bevindingen zal worden gepubliceerd op de website van SLM Microsoft.
Voor alle duidelijkheid, terwijl de door de Nederlandse Staat met Microsoft overeengekomen productwijzigingen wereldwijd voor alle zogenaamde Enterprise klanten beschikbaar zijn gekomen, geldt dit niet voor de aanvullende afspraken waarin de verplichtingen van verwerkingsverantwoordelijke en verwerkergeregeld worden.
De reikwijdte van SLM Microsoft strekt niet verder dan de Rijksdiensten en de daarbij behorende ZBO’s en Agentschappen.
Deze aanvullende afspraken zijn daarom uitsluitend van toepassing op die Rijksonderdelen en ZBO’s die aangesloten zijn bij het Rijks Microsoft Business en Services contract onder beheer bij SLM Microsoft Rijk.
Het is voor de bedrijfsvoering van de belang dat er gebruik wordt gemaakt van de courante versies van de software van een leverancier.
Deze versies bieden de beste mogelijkheden om de ICT-omgevingen up-to-date en veilig te houden en te beveiliging tegen cyberaanvallen en zijn bovendien aangepast aan de meest recente wetgeving zoals de AVG.
Gezien de behaalde resultaten zoals hierboven beschreven ziet SLM Microsoft Rijk, vanuit AVG-perspectief geen bezwaren voor bij SLM Microsoft aangesloten organisaties Microsoft Office ProPlus, Windows 10 Enterprise en Azure te gebruiken.
Het blijft altijd de eigen afweging van een organisatie als verwerkingsverantwoordelijke om te besluiten of en welk product of dienst geschikt is voor een specifieke toepassing.
Hierbij dienen ook andere factoren zoals informatiebeveiligingsaspecten en specifieke wet- en regelgeving voor de organisatie gewogen te worden.

De Minister van Justitie en Veiligheid,


Ferd Grapperhaus

De Minister van Binnenlandse Zaken en Koninkrijksrelaties,

Kajsa Ollongren

Bron: document van RijksOverheid.
Valid HTML 5.0 Valid CSS
Een link is een pagina,
een link is een hoofdstuk,
een link is in een externe website,
een link is een download.
© Dwarsligger.org, overname met bronvermelding toegestaan,
tenzij anders aangegeven.
Ron's CMS versie 200924a
Samengesteld in
Inhoud grootte
Aangemaakt op
Aangepast    op
30791 µsec.
12357 bytes
22 okt 2019
22 okt 2019