Het Microsoft-basispakket en privacy: goed geregeld!

De meeste scholen in Nederland werken met Microsoft 365, Windows 10/11 en andere online diensten van Microsoft. Dat betekent dat Microsoft persoonsgegevens van jullie medewerkers en leerlingen verwerkt. Daar is een verwerkersovereenkomst voor nodig. De verwerkersovereenkomst met Microsoft is onderdeel van het Microsoft-contract dat je met APS IT-diensten hebt afgesloten. 

Microsoft is geen deelnemer in het Privacyconvenant Onderwijs en hanteert een eigen tekst. Jullie afspraken met Microsoft over de verwerking van persoonsgegevens bestaan uit drie onderdelen: 

• de standaard verwerkersovereenkomst
• de productvoorwaarden van Microsoft
• aantal speciale wijzigingen op de standaardteksten van Microsoft voor het Nederlandse onderwijs (afgesproken met Microsoft door ons, SURF en SLBdiensten)

Met deze afspraken en de door ons beschreven maatregelen, voldoet je gebruik van Microsoft-producten aan de privacywetgeving.

Nieuwe verwerkersovereenkomst Microsoft

Microsoft heeft sinds januari 2024 een nieuwe standaard verwerkersovereenkomst. Zo is Microsoft nu gecertificeerd voor het Data Privacy Framework, zodat het adequaatheidsbesluit voor de Verenigde Staten gebruikt kan worden bij eventuele overdrachten naar de Verenigde Staten. 

Goed om te weten: bij gebruik van nieuwe diensten zijn de speciale afspraken voor het Nederlandse onderwijs nog steeds automatisch van toepassing, in combinatie met de nieuwe Microsoft verwerkersovereenkomst en productvoorwaarden. Dat is zo geregeld in jullie Microsoft contract. 

We adviseren je wel om de informatie in je verwerkingsregister aan te passen. De nieuwe verwerkersovereenkomst van Microsoft vind je in onze webwinkel bij de licentie voor het Microsoft Basispakket. Klik rechtsboven onder In het kort op Download de verwerkersovereenkomst (let op: alleen zichtbaar wanneer je bent ingelogd). We zijn nog bezig met de toetsing van de verwerkersovereenkomst, deze zal later volgen.

Hoe zit het met de AI-diensten van Microsoft?

Microsoft integreert steeds meer AI-componenten (zoals Copilot) in haar online diensten, bijvoorbeeld AI als aparte dienst in Azure of als integratie in Microsoft 365, Dynamics, Windows 10/11 en het Power Platform. Microsoft beschrijft hoe deze AI-diensten omgaan met persoonsgegevens en hoe de organisatie deze beveiligt. Wij werken samen met SURF en SLBdiensten aan een DPIA op de verwerkingen en de beveiliging die Microsoft in Copilot voor Microsoft 365 uitvoert. Daarover zullen we je binnenkort verder informeren.

Veilig werken met Microsoft 365

Wij kunnen stellen dat er vanuit AVG-perspectief geen bezwaren zijn om te werken met de diensten Microsoft 365 en/of Azure die via ons zijn afgenomen. Maar let op: privacy is een gedeelde verantwoordelijkheid. De leverancier moet veilige producten leveren, maar de school moet deze veilig inrichten en gebruiken.

Voordelen van de Microsoft-overeenkomst

Ons Microsoft-contract biedt scholen extra veiligheid. De voordelen van de Microsoft-overeenkomst bovenop de standaardvoorwaarden voor scholen, zijn:

• Jaarlijks zal namens de Nederlandse onderwijspartners in samenwerking met de Rijksoverheid een strenge controle (audit) plaatsvinden in de datacentra van Microsoft. De uitkomsten van die controle zijn beschikbaar voor de scholen.
• Er wordt precies beschreven wat Microsoft wel en niet met je gegevens mag doen: Microsoft mag onder andere géén reclame maken met gegevens van scholen en schoolbesturen.
• Je kunt ervoor kiezen de mogelijkheden van het delen van diagnostische gegevens met Microsoft extra te beperken.
• Microsoft beperkt de bewaartermijn voor diagnostische gegevens tot maximaal 18 maanden.
• Behalve de gebruikersgegevens, zoals de documenten die een gebruiker zelf in Microsoft 365 maakt, vallen ook alle andere persoonsgegevens, waaronder diagnostische data, onder de deze extra bescherming.