26 643 Informatie- en communicatietechnologie (ICT)

32 761 Verwerking en bescherming persoonsgegevens

Nr. 585 BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 20 december 2018

De heer Öztürk (DENK) heeft tijdens regeling van werkzaamheden van 14 november (Handelingen II 2018/19, nr. 23, item 7) gesproken over berichtgeving in de media over dataverzameling en opslag door Microsoft1.

Naar aanleiding van zijn verzoek deel ik u, mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties, het volgende mede.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties bevordert vanuit de verantwoordelijkheid voor het Rijksinkoopstel, een gecoördineerde benadering van strategische ICT-leveranciers van de rijksoverheid. De verantwoordelijkheid voor de uitvoering hiervan is, conform de governance van het Rijksinkoopstelsel, bij verschillende organisaties belegd.

Het aanspreekpunt voor Microsoft is Strategisch Leveranciersmanagement Microsoft Rijk (SLM Microsoft). SLM Microsoft wordt voor het Rijk uitgevoerd door het Ministerie van Justitie en Veiligheid.

SLM Microsoft heeft een Data Protection Impact Assessment (DPIA) laten uitvoeren op diagnostische dataverzamelingen (dat is data over het gebruik van de software) in nieuwe versies van Microsoft Office. Dit onderzoek is uitgevoerd in het kader van de adviesfunctie van SLM binnen de rijksoverheid.

Met de DPIA is vastgesteld dat er via het product «Microsoft Office» diagnostische gegevens van en over de gebruiker verzameld en opgeslagen worden in een database in de VS.

SLM Microsoft is met Microsoft in gesprek gegaan en heeft op 26 oktober jl. overeenstemming bereikt over een verbeterplan van Microsoft. Microsoft verplicht zich in dit plan om haar producten dusdanig te wijzigen dat het gebruik daarvan voor de Nederlandse overheid binnen de context van de AVG en ander vigerende wet- en regelgeving mogelijk is. Microsoft committeert zich deze wijzingen in april 2019 ter verificatie aan te bieden. Belangrijke afspraken in dit verbeterplan zijn een instellingsmogelijkheid tot het beperken van diagnostische datastromen naar Microsoft en volledige inzage in de resterende datastromen naar Microsoft. Er is met Microsoft afgesproken dat SLM op de hoogte wordt gehouden van de voortgang op de realisatie van de verbeteringen.

SLM Microsoft zal, na aanbieding van de verbeterde versies van de Office producten, deze opnieuw beoordelen en de DPIA actualiseren.

Als uit de geactualiseerde DPIA blijkt dat de doorgevoerde verbeteringen onvoldoende zijn, zal SLM Microsoft haar positie opnieuw wegen en is ook de gang naar de Autoriteit Persoonsgegevens, met een verzoek voor een voorafgaande raadpleging en handhaving, een mogelijkheid.

In de tussentijd zullen onderdelen van het Rijk aanvullende maatregelen moeten nemen om het gebruik van Microsoft Office software AVG compliant in te richten. Deze maatregelen bestaan onder andere uit het stremmen van de datastromen naar Microsoft. SLM Microsoft heeft hiertoe van Microsoft de te gebruiken tijdelijke instellingen ontvangen. Deze instellingen zijn verspreid binnen het Rijk.

Tenslotte stelde de heer Öztürk (DENK) de vraag of de Autoriteit Persoonsgegevens een onderzoek is gestart naar Microsoft en, zo nee, waarom niet. De Autoriteit Persoonsgegevens is een onafhankelijke toezichthouder die zelf bepaalt waarnaar zij onderzoek doet.

Ik zal uw Kamer medio 2019 per brief nader informeren over de door SLM Microsoft uitgevoerde verificatie op de uitvoer van het overeengekomen verbeterplan met Microsoft, zoals ook verzocht door de heer Öztürk (DENK) op 14 november jl.

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus

X Noot
1

Microsoft lekt data Nederlandse ambtenaren naar VS» (Nrc.nl, 13 november 2018). https://www.nrc.nl/nieuws/2018/11/13/microsoft-lekt-data-nederlandse-ambtenaren-naar-vs-a2755066

Naar boven