Det är inte vem som helst som upptäckt missförhållandet. Företaget Privacy Company, specialister inom säkerhetsanalys, har på uppdrag av den nederländska staten, som totalt använder 300 000 Windows-klienter inom ministerier, rättsväsendet, polisen och skattemyndigheten, genomfört en så kallad Data Protection Impact Assessment (DPIA).

Privacy Company har kommit fram till att Microsoft samlar in och lagrar personuppgifter, som det definieras under GDPR, från enskilda användare av Microsofts företagsprodukter i stor skala. Detta utan att meddela databehandlingen eller erbjuda någon möjlighet för användarna att stänga av funktionen, skriver The Next Web.

I ett blogginlägg skriver Privacy Company att resultatet av deras DPIA är alarmerande:

"Microsoft samlar systematiskt och i stor skala in data om individers användande av Word, Excel, PowerPoint och Outlook. I hemlighet, utan att informera människor. Microsoft erbjuder inga möjligheter att reglera mängden data, se vilka data det handlar om eller att stänga av funktionen, eftersom dataströmmen är krypterad. Ungefär som i Windows 10 har Microsoft inkluderat mjukvara i Office som regelbundet skickar telemetridata till sina egna servrar i USA”.

Ett av de största bekymren som rapporten pekar ut är att Microsofts insamlande av telemetridata sammanfaller med nederländska statens ambition och uttalade vilja att att migrera sina data från egna datacenters till Microsofts molntjänster som SharePoint, OneDrive och webbversionen av Office 365. Nederländska myndigheter är mitt uppe i en utvärdering av en eventuell migrering, och Privacy Company skriver i rapporten att de nya metoderna för datahantering kommer med "stora risker för skyddandet av personuppgifter".

I blogginlägget påpekas att Microsoft redan vidtagit vissa åtgärder för att förbättra datasäkerheten för telemetridata genom introduktionen av ett granskningsverktyg och en inställningsmöjlighet för att helt stänga av "utsläppen”, en "zero-exhaust setting”.

Även om Microsoft inför dessa möjligheter återstår sex olika risker, enligt rapporten:

  • Otillåten lagring av känsliga data, både metadata och till exempel data från ämnesraden i epost.
  • Den felaktiga klassificeringen av Microsoft som en databehandlare, när de i själva verket delar på ett dataansvar enligt artikel 26 i GDPR.
  • Otillräcklig kontroll av databehandlande tredje parter och den faktiska databehandlingen.
  • Otillräcklig syftesminimering i databehandlingen.
  • Överföring av data utanför EU.
  • Odefinierad tidsperiod för databehandlingen.

Under tiden Microsoft jobbar med att se över sina rutiner och eventuellt införa bättre möjligheter för användarna att ta kontroll över sina personuppgifter och andra data, rekommenderar Privacy Company att de myndigheter i Nederländerna som använder Office ProPlus att:

  • Slå på den nya inställningen att helt stoppa utflödet av data "zero-exhaust setting”.
  • Se till att centralt förhindra användandet av Connected Services.
  • Se till att centralt förhindra användarna möjligheten att skicka data till Microsoft för att "förbättra Office”.
  • Använd inte SharePoint Online eller OneDrive.
  • Använd inte webbversionen av Office 365.
  • Ta regelbundet bort känsliga AD-konton och skapa nya för att se till att Microsoft raderar historiska diagnostiska data.
  • Se över möjligheten till (stand-alone) utrullning av mjukvaror utan att använda ett Microsoft-konto för känsliga arbetsstationer.
  • Se över möjligheten till ett försöksprojekt att införa alternativa mjukvaror, exempelvis med öppen källkod.

Läs också:
Expertgrupp varnar: Stora risker med känsliga data i molntjänster
Vändningen: Göteborgs stad ger grönt ljus till Office 365 – även för känsliga data