Privacy Company constateerde zes hoge en drie lage privacyrisico's bij een data protection impact assessment voor de mobiele apps voor Office 365 en Office for Web. Het bedrijf voerde die beoordeling uit in opdracht van het Ministerie van Justitie en Veiligheid, dat via zijn Strategisch Leveranciersmanagement Microsoft Rijk afspraken met Microsoft maakt over gebruik van software en diensten voor werkplekken.

Privacy Company bekeek de apps Word, PowerPoint, Outlook, Excel en Teams, in combinatie met online diensten als de spellingchecker, SharePoint Online, OneDrive for Business, Azure Active Directory en Exchange Online. De mobiele Office-apps en Office for Web verzamelen namelijk telemetriegegevens en sturen deze door naar Microsoft-servers. Privacy Company analyseerde de risico’s van de verwerking van deze diagnostische gegevens, niet die van inhoudelijke gegevens.

Daarbij constateerde het bedrijf onder andere dat Microsoft bij Office for the Web persoonsgegevens naar Optimizely en Giphy en bij de mobiele apps verkeer naar zes andere bedrijven stuurt. Geen van deze bedrijven zijn verwerkers en het risico bestaat dat via deze weg gepseudonimiseerde gegevens misbruikt kunnen worden. Sommige telemetriegegevens bleken inhoudelijke gegevens zoals bestands- en gebruikersnamen te bevatten en bij Office for the Web en de mobiele Teams, OneDrive en Office hadden beheerders geen optie om die telemetriedoorgifte te minimaliseren. Privacy Company spreekt onder meer over gebrek aan transparantie over de verzamelde diagnostische gegevens

Microsoft belooft na gesprekken met SLM Microsoft Rijk nog voor het einde van de zomer maatregelen voor drie van de zes hoge risico's door te voeren. De rest volgt later dit jaar. De maatregelen gelden uitsluitend voor Office-diensten en -apps die overheidsorganisaties gebruiken. Privacy Company adviseert bedrijven en organisaties die geen deel uitmaken van de Rijksoverheid via bijvoorbeeld vakorganisaties vergelijkbare privacygaranties te bedingen.

Privacy Company nam ook Microsofts Intune voor beheer van mobiele apparaten onder de loep. Daar kwamen vijf lage privacyrisico's uit. Een van de risico's kwam bijvoorbeeld doordat systeembeheerders de status van een apparaat ongemerkt kunnen wijzigen van ‘persoonlijk’ naar ‘zakelijk’, waarna ze alle geïnstalleerde apps op een apparaat kunnen zien.

Alles bij de bron; Tweakers