Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 20 december 2018
De heer Öztürk (DENK) heeft tijdens regeling van werkzaamheden van 14 november (Handelingen
II 2018/19, nr. 23, item 7) gesproken over berichtgeving in de media over dataverzameling en opslag door Microsoft1.
Naar aanleiding van zijn verzoek deel ik u, mede namens de Minister van Binnenlandse
Zaken en Koninkrijksrelaties, het volgende mede.
De Minister van Binnenlandse Zaken en Koninkrijksrelaties bevordert vanuit de verantwoordelijkheid
voor het Rijksinkoopstel, een gecoördineerde benadering van strategische ICT-leveranciers
van de rijksoverheid. De verantwoordelijkheid voor de uitvoering hiervan is, conform
de governance van het Rijksinkoopstelsel, bij verschillende organisaties belegd.
Het aanspreekpunt voor Microsoft is Strategisch Leveranciersmanagement Microsoft Rijk (SLM Microsoft). SLM Microsoft wordt voor het Rijk uitgevoerd
door het Ministerie van Justitie en Veiligheid.
SLM Microsoft heeft een Data Protection Impact Assessment (DPIA) laten uitvoeren op
diagnostische dataverzamelingen (dat is data over het gebruik van de software) in
nieuwe versies van Microsoft Office. Dit onderzoek is uitgevoerd in het kader van
de adviesfunctie van SLM binnen de rijksoverheid.
Met de DPIA is vastgesteld dat er via het product «Microsoft Office» diagnostische
gegevens van en over de gebruiker verzameld en opgeslagen worden in een database in
de VS.
SLM Microsoft is met Microsoft in gesprek gegaan en heeft op 26 oktober jl. overeenstemming
bereikt over een verbeterplan van Microsoft. Microsoft verplicht zich in dit plan
om haar producten dusdanig te wijzigen dat het gebruik daarvan voor de Nederlandse
overheid binnen de context van de AVG en ander vigerende wet- en regelgeving mogelijk
is. Microsoft committeert zich deze wijzingen in april 2019 ter verificatie aan te
bieden. Belangrijke afspraken in dit verbeterplan zijn een instellingsmogelijkheid
tot het beperken van diagnostische datastromen naar Microsoft en volledige inzage
in de resterende datastromen naar Microsoft. Er is met Microsoft afgesproken dat SLM
op de hoogte wordt gehouden van de voortgang op de realisatie van de verbeteringen.
SLM Microsoft zal, na aanbieding van de verbeterde versies van de Office producten,
deze opnieuw beoordelen en de DPIA actualiseren.
Als uit de geactualiseerde DPIA blijkt dat de doorgevoerde verbeteringen onvoldoende
zijn, zal SLM Microsoft haar positie opnieuw wegen en is ook de gang naar de Autoriteit
Persoonsgegevens, met een verzoek voor een voorafgaande raadpleging en handhaving,
een mogelijkheid.
In de tussentijd zullen onderdelen van het Rijk aanvullende maatregelen moeten nemen
om het gebruik van Microsoft Office software AVG compliant in te richten. Deze maatregelen
bestaan onder andere uit het stremmen van de datastromen naar Microsoft. SLM Microsoft
heeft hiertoe van Microsoft de te gebruiken tijdelijke instellingen ontvangen. Deze
instellingen zijn verspreid binnen het Rijk.
Tenslotte stelde de heer Öztürk (DENK) de vraag of de Autoriteit Persoonsgegevens
een onderzoek is gestart naar Microsoft en, zo nee, waarom niet. De Autoriteit Persoonsgegevens
is een onafhankelijke toezichthouder die zelf bepaalt waarnaar zij onderzoek doet.
Ik zal uw Kamer medio 2019 per brief nader informeren over de door SLM Microsoft uitgevoerde
verificatie op de uitvoer van het overeengekomen verbeterplan met Microsoft, zoals
ook verzocht door de heer Öztürk (DENK) op 14 november jl.
De Minister van Justitie en Veiligheid,
F.B.J. Grapperhaus