De Rijksoverheid en universiteiten wordt aangeraden om geen Microsoft Teams te gebruiken voor het uitwisselen van gevoelige informatie. Dat schrijft Privacy Company in een rapport dat is opgesteld in opdracht van onder meer het Nederlandse ministerie van Justitie en Veiligheid.
In het Data protection impact assessment of DPIA wordt onder andere gesproken over een 'hoog risico' voor de bescherming van gevoelige gegevens dat bestaat bij het gebruik van Microsoft Teams. Dat risico is gerelateerd aan het mogelijk opvragen van die gegevens door Amerikaanse wetshandhavings- en inlichtingendiensten, omdat Microsoft een Amerikaans bedrijf is.
Het risico zou niet afnemen als Microsoft gegevens op Europees grondgebied opslaat, omdat de VS dergelijke gegevens dan alsnog kan opvragen via wetten als de US Clouds Act. Privacy Company schrijft in een samenvatting dat Microsoft gedwongen kan worden om gegevens te ontsleutelen zolang het bedrijf toegang heeft tot de encryptiesleutel. Dat risico is wel voornamelijk theoretisch, schrijft Privacy Company. Microsoft heeft verklaard dat het nog nooit gegevens van werknemers van publiekesectorinstellingen heeft verstrekt aan enige overheid, dus ook niet aan de Amerikaanse overheid. Microsoft schrijft zelf: "Microsoft verstrekt geen persoonsgegevens van EU-burgers aan regeringen en heeft dat ook nooit gedaan."
Het hoge risico speelt ook voor Microsofts OneDrive-dienst voor cloudopslag en SharePoint, dat wordt gebruikt voor gegevensuitwisseling binnen een organisatie. Voor die diensten kunnen organisaties uit de publieke sector het risico mitigeren door Microsofts Double Key Encryption te gebruiken, concludeert het rapport. Daarmee kunnen gebruikers hun gegevens en bestanden versleutelen met een eigen encryptiesleutel, die niet in handen is van Microsoft. Dat is boven op de versleuteling die al wordt toegepast op OneDrive en SharePoint. Double Key Encryption wordt ook aangeraden voor het opslaan van Teams-opnames.
Publieke gebruikers wordt verder aangeraden om eind-tot-eindversleuteling voor Teams in te schakelen als die dienst wordt gebruikt voor niet-gevoelige informatie. Dat is al mogelijk voor ongeplande een-op-eengesprekken. Microsoft voegt later encryptie voor groepsgesprekken en chatberichten toe, maar het is niet bekend wanneer dat gebeurt.
In het impactrapport wordt ook ingegaan op een aantal 'lage risico's' bij het gebruik van Teams, OneDrive en SharePoint. Dat gaat onder meer om de doorgifte van telemetriegegevens naar de VS. Daarbij wordt wel geschreven dat Microsoft eind dit jaar met zijn EU Data Boundary komt, waarmee commerciële en publieke organisaties hun gegevens in de EU kunnen laten verwerken. In het rapport wordt ook ingegaan op het gebruik van analytics en personeelsvolgsystemen. Beheerders wordt aangeraden om deze in te stellen op hun laagst mogelijke niveaus.
Privacy Company voerde eerder al DPIA's uit voor Microsoft-software, zoals Windows 10 Enterprise en Microsoft Office. Microsoft deed toen toezeggingen om de software aan te passen. Daardoor kunnen publieke instanties die software blijven gebruiken in overeenstemming met de AVG. Dat deed Microsoft na onderhandelingen met de overheid en het Strategisch Leveranciersmanagement van het Rijk of SLM. In het nieuwe impactassessment wordt geschreven dat Microsoft nog meer aanpassingen en verbeteringen moet doorvoeren om de resterende risico's te beperken.