Nederländska utredare har larmat Microsoft på regulatoriska åtgärder efter att ha bedömt att dess datainsamlingsmetoder utgör en risk för användarnas integritet.
Microsoft Office och Windows 10 Enterprise använder en telemetridatainsamlingsmekanism som bryter mot EU:s allmänna dataskyddsförordning (GDPR), enligt en 91-sidig rapport beställd av den holländska regeringen och utförd av företaget Privacy Company.
Resultaten beskrev åtta dataskyddsrisker med hög risk med ProPlus-prenumerationer av Office 2016 och Office 365, samt det webbaserade Office 365.
Dessa inkluderar olaglig lagring av känsliga kategorier av data och metadata, och lagring av data utöver den tid som behövs. Utredarna fann också att Microsoft felaktigt kategoriserade sig som en databehandlare istället för en gemensam kontrollant.
LÄS NÄSTA: Windows 10 inaktiverar användarnas äkta installationer
”Microsoft samlar inte bara in användningsdata via den inbyggda telemetriklienten, utan registrerar och lagrar också den individuella användningen av Connected Services”, säger Sjoera Nas, senior integritetsrådgivare på Privacy Company. ”Till exempel, om användare får tillgång till en ansluten tjänst som översättningstjänsten via Office-programvaran, kan Microsoft lagra personlig information om denna användning i så kallade systemgenererade händelseloggar.”
Microsoft samlade systematiskt in data om individers användning av Microsoft Office-appar som Word, Excel och PowerPoint utan att informera människor, och erbjöd inte användarna att välja att stänga av detta, visade rapporten.
Precis som med Windows 10 inkluderade Microsoft separat programvara i Office som rutinmässigt skickade kodad telemetri till USA, med den kodade funktionen som betyder att det inte finns någon synlighet över vilken data som samlas in, enligt resultaten.
Bristen på någon heltäckande dokumentation över vilken typ av personuppgifter det Redmond-baserade företaget behandlar, och i tydligt definierade syften, slog också larm, liksom det faktum att data rutinmässigt skickades till USA.
Dessa berörde särskilt holländska tjänstemän eftersom känsliga statliga uppgifter kan ha samlats in som en del av mekanismen och avvecklats på amerikanska servrar som är föremål för beslag eller förfrågningar av amerikanska brottsbekämpande myndigheter.
LÄS NÄSTA: Sekretessfall hävdar att Facebook och Google ”tvingar användare att ge dem data”
Med GDPR nu flera månader in i spelet, börjar datavakthundar över hela Europa ta sina första steg i det nya regelverket. Microsoft är det senaste i raden av stora företag som anklagas för att ha brutit mot GDPR, med Oracle och Equifax bland sju företag som rapporterades för överträdelser av en datarättsgrupp förra veckan.
”Den 26 oktober 2018 nåddes en överenskommelse om en förbättringsplan där Microsoft åtog sig att anpassa sina produkter för användning av den holländska regeringen i enlighet med GDPR och annan tillämplig lagstiftning,” sade den holländska regeringen i ett uttalande. ”Microsoft har gått med på att rapportera regelbundet om dess framsteg. Om framstegen bedöms som otillräckliga eller om de förbättringar som erbjuds är otillfredsställande, kommer SLM Microsoft Rijk att ompröva sin ståndpunkt och kan be Dataskyddsmyndigheten att genomföra en föregående konsultation och att införa verkställande åtgärder.”
Privacy Companys Sjoera Nas beskrev också flera åtgärder som IT-administratörer kan vidta för att minska riskerna för integritetsintrång, som att centralt blockera användningen av anslutna tjänster, att inte använda OneDrive och att inte använda webbversionen av Office 365.
Microsoft har gått med på att implementera en rad ändringar av sina produkter för att återspegla resultaten, och har fram till april 2019 på sig att följa, med att den holländska regeringen blockerar dataflöden till Microsoft så mycket som möjligt under tiden.
LÄS NÄSTA: De största dataintrången 2018
Om företaget inte uppfyller tillsynsmyndighetens krav kan det få böter som enligt GDPR kan eskalera till så högt som 20 miljoner euro, eller 4 % av den globala årliga omsättningen, beroende på vilket som är högst.
”Vi är engagerade i våra kunders integritet, ger dem kontroll över sina data och säkerställer att Office ProPlus och andra Microsoft-produkter och tjänster följer GDPR och andra tillämpliga lagar,” sa en talesperson för Microsoft. Alphr. ”Vi uppskattar möjligheten att diskutera vår praxis för diagnostisk datahantering i Office ProPlus med det nederländska justitieministeriet och ser fram emot en framgångsrik lösning av eventuella problem.”