Het rapport, geschreven door The Privacy Company en besteld door de Nederlandse overheid, bekijkt hoe Microsoft omgaat met de informatie die het verzamelt via de online versie van Office 365 en de Office ProPlus suite. Die laatste is de enterprise versie van Office 365, die door bedrijven op pc's wordt geïnstalleerd, maar die wel nog met Office 365 servers contact maakt. Zo'n 300.000 medewerkers van de Nederlandse overheid gebruiken de software, die nu nog op servers van de overheid zelf staan, maar binnenkort naar een publieke of hybride cloud (in OneDrive of Sharepoint) moeten gaan. Nederland wilde eerst weten wat Microsoft daar met de informatie aanvangt.

Aanleiding van het onderzoek is dan ook de beslissing van Microsoft om niet bekend te maken welke informatie het verzamelt over gebruikers. Het geeft ook geen optie om het verzamelen van die gegevens uit te zetten, in tegenstelling tot bedrijven (zoals Google), die dan wel veel verzamelen maar daar ook redelijk transparant over communiceren.

Telemetrische data

Het gaat, volgens het rapport, om telemetriegegevens en andere informatie uit Office applicaties, waaronder titels van e-mails en zinnen waarop de vertaling- of spellingtools werden losgelaten. Vermoedelijk gebruikt Microsoft de data om zijn eigen software te verbeteren.

De informatie werd echter zonder medeweten van de gebruikers verzameld en opgeslagen op servers in de Verenigde Staten. En dat is in strijd met de GDPR-regels, zegt The Privacy Company. Het zou Microsoft mogelijk een miljoenenboete kunnen opleveren, maar zo ver is het nog niet. De Nederlandse overheid werkt momenteel samen met de techgigant om het probleem op te lossen.

Het lijkt erop dat Microsoft geprobeerd heeft zichzelf in lijn te stellen met de GDPR-richtlijk door zijn Office documenten op Europese servers te zetten, maar het verzamelde daarnaast ook gegevens die mogelijk persoonlijke data bevatten, en die ook op Amerikaanse servers terechtkwamen. "Microsoft verzamelt systematisch en op grote schaal gegevens over het individuele gebruik van Word, Excel, PowerPoint en Outlook. In het geheim, zonder dat aan mensen te melden", schrijft The Privacy Company in een blogpost naar aanleiding van het rapport. "Microsoft biedt geen opties over de hoeveelheid data die wordt verzameld, en geeft ook niet de mogelijkheid om de datagaring uit te zetten, of te zien welke data verzameld worden, omdat de datastroom versleuteld is."

Volgens het bedrijf is het uiteraard nodig om IP-adressen en mailtitels te verzamelen om communicatie mogelijk te maken, maar hoeft Microsoft die data daarom niet ook bij te houden. Volgens het rapport houdt Microsoft zo'n 25.000 verschillende soorten 'events' bij.

Microsoft, van zijn kant, meldt dat het de nodige veranderingen zal aanbrengen tegen april 2019, en heeft een versie van Office uitgebracht die geen data zou doorsturen. De Nederlandse privacycommissie zal de situatie opvolgen.