Microsoft, Hollanda adalet bakanlığı için 12 ay önce yapılan bir denetimin ardından veri sızıntısı konusunda endişeleri artıran Office 365 ile ilgili gizlilik değişiklikleri yaptı.
Computer Weekly’nin daha önce bildirdiği gibi, Privacy Company tarafından Hollanda Adalet ve Güvenlik Bakanlığı için yapılan bir denetim, Microsoft Office 2016’da Microsoft sunucularına veri gönderen ayarların devre dışı bırakılmasını tavsiye etti.
Reuters’e ilişkin Ağustos 2019’da yayınlanan bir rapor, Hollanda Veri Koruma Kurumu (DPA) tarafından yapılan testlerin Microsoft’un uzaktan kullanıcılardan veri topladığını gösterdiğini belirtti. DPA, Reuters’e verdiği demeçte, “Sonuç olarak, Microsoft hala gizlilik kurallarını ihlal ediyor olabilir.” Dedi.
Temmuz 2019’da, Hollanda Adalet ve Güvenlik Bakanlığı, Kasım 2018’de ortaya çıkan endişeleri gidermek için Microsoft tarafından alınan önlemleri onayladı. Teknik açıdan, Hollanda adalet bakanlığından ve diğerlerinden gelen geri bildirimler, Microsoft’a bir dizi yeni gizlilik araçlarının yayılmasını sağladı. Başlıca hizmetleri ve Office 365 ProPlus’a özel değişiklikler yapmanın yanı sıra, tanılama verilerinin kullanımında şeffaflığın artması.
Microsoft, artık ticari bulutunda Microsoft Çevrimiçi Hizmetler Koşulları’ndaki (OST) gizlilik hükümlerinde bir güncelleme yapmıştır. Microsoft’taki küresel gizlilik ve düzenleme işleri ve baş gizlilik sorumlusu şirket başkan yardımcısı Julie Brill’e göre, güncellenmiş OST, Microsoft’un Hollanda bakanlığı ile geliştirdiği sözleşme değişikliklerini yansıtıyor.
“Güncellenen OST, kamu sektöründeki müşterilerimizden biri olan Hollanda Adalet ve Güvenlik Bakanlığı (Hollanda MoJ) ile geliştirdiğimiz sözleşme değişikliklerini yansıtacaktır. Yaptığımız değişiklikler, müşterilerimize Microsoft bulutundaki veri işleme konusunda daha fazla şeffaflık sağlayacaktır, ”dedi.
“Güncellenmiş terimlerdeki tek önemli farklar, Hollanda Merkez MoJ tarafından talep edilen ve daha geniş bir küresel müşteri tabanı için uyarlanması gereken müşteriye özgü değişikliklerle ilgilidir. Güncellenmiş OST’umuzu sağlama çalışmaları başlamıştır. Yeni sözleşme hükümlerini 2020’nin başında tüm kamu sektörüne ve kurumsal müşterilere küresel olarak sunmayı öngörüyoruz ”dedi.
Brill bunu altında söyledi Avrupa Birliği’nin (AB) Genel Veri Koruma Yönetmeliği (GDPR), Microsoft, bir veri işlemcisi olarak kabul edilmektedir, çünkü şirket, müşterilerinin talep ettiği çevrimiçi hizmetleri sağlamak ve müşteriler tarafından belirtilen amaçlarla kişisel bilgileri kurumsal hizmetlerinden toplar ve kullanır. Brill, bu düzeyde veri yönetiminin şimdi kurumsal hizmetlere uzatıldığını söyledi.
“Hollanda Adalet ve Güvenlik Bakanlığı ile Microsoft arasında uygun sözleşme ve teknik güvenceler ve bireylere yönelik riskleri azaltmaya yönelik tedbirler konusunda yapılan anlaşma, ileriye yönelik olumlu bir adım”
Wojciech Wiewiórowski, Avrupa Veri Koruma Şefi
Microsoft’un, Avrupa Veri Koruma Şefinin (EDPS) müdahalesinin bir sonucu olarak değişikliği yapması gerekebilir. Ekim 2019’da, EDPS, Microsoft’un Hollanda’daki adalet bakanlığı ile müzakere edilenler gibi sözleşmeli değişiklikler yapmasını AB kurumlarındaki müşterilerine sunmasını istedi.
O zamanlar, EDPS danışmanı Wojciech Wiewiórowski, “Mümkün olduğunca fazla insana maksimum fayda sağlamak için AB kurumları dışında olumlu bir değişiklik yapmaya kararlıyız. Hollanda Adalet ve Güvenlik Bakanlığı ile Microsoft arasında uygun sözleşme ve teknik güvenceler ve bireylere yönelik riskleri azaltmaya yönelik tedbirler konusunda yapılan anlaşma, ileriye yönelik olumlu bir adım ”dedi.
EDPS, AB kurumlarının büyük miktarlarda kişisel verilerin işlenmesini dış kaynak kullandığını kabul ettiğini, ancak AB kurumlarının kendi adına yürütülen herhangi bir işleme faaliyeti için hala sorumlu olduğunu vurguladığını belirtti. EDPS, AB kurumlarının bu riskleri değerlendirmesi gerektiğini ve bunları hafifletmek için uygun sözleşmeli ve teknik güvencelere sahip olduğunu söyledi. Avrupa Ekonomik Alanında faaliyet gösteren tüm veri kontrol cihazlarının benzer sözleşmeye dayalı ve teknik güvenceleri benimsemesi önerildi.
Brill blog yazısında, “Bugün duyurduğumuz OST güncellemesiyle, Microsoft’un kurumsal hizmetler sunarken gerçekleştirdiği bir işlem alt kümesi için veri koruma sorumluluklarımızı artıracağız” dedi.
“OST güncellemesinde, Microsoft’un, Azure, Office 365, Dynamics ve Intune gibi bu sözleşme çerçevesinin kapsadığı bulut hizmetlerini sağlamada belirtilen belirli idari ve operasyonel amaçlar için verileri işlerken veri denetleyici rolünü üstlendiğini açıklığa kavuşturacağız. Bu veri işleme alt kümesi idari veya operasyonel amaçlara hizmet ediyor. ”
Bir yanıt yazın