Trong một bài thảo luận về những phát hiện trong báo cáo của mình, Privacy Company đã nêu rõ rằng những kết quả mà chương trình DPIA tìm thấy trong bộ ứng dụng văn phòng Microsoft Office Pro Plus dành cho doanh nghiệp là rất đáng báo động.
Microsoft thu thập hàng tấn dữ liệu về các nhân viên đang sử dụng phần mềm của công ty mà không hề cho họ biết, đồng thời cũng không đưa ra một lựa chọn để chấm dứt việc thu thập này.
Chương trình “đánh giá tác động của bảo mật dữ liệu” (DPIA) được ủy nhiệm bởi chính phủ Hà Lan nhằm hướng dẫn các cơ quan chính phủ – trong đó bao gồm 300.000 máy trạm trong các bộ, ban, ngành, cơ quan tư pháp, cảnh sát, cơ quan thuế… – trong việc sử dụng và giao dịch với các phần mềm dành cho doanh nghiệp của Microsoft.
Privacy Company nói rõ: “Microsoft thu thập dữ liệu một cách có hệ thống trên quy mô lớn về các cá nhân sử dụng Word, Excel, PowerPoint và Outlook. Một cách âm thầm, không báo với ai cả.Microsoft không cũng cấp bất kỳ lựa chọn nào liên quan đến lượng dữ liệu, hay khả năng tắt tính năng thu thập dữ liệu, hay khả năng xen những dữ liệu nào đã bị thu thập, bởi dòng dữ liệu đã bị mã hóa.
Tương tự với cách thức trong Windows 10, Microsoft đã tích hợp một phần mềm riêng biệt trong bộ phần mềm Office để thường xuyên gửi dữ liệu từ xa đến các máy chủ của chính hãng tại Mỹ”.
Một trong những quan ngại lớn nhất trong bản báo cáo của Privacy Company là Microsoft sử dụng dữ liệu thu được ra sao, khi mà hãng ngày càng chấm dứt nhiều dịch vụ hơn. Cho đến nay, các cơ quan chính phủ Hà Lan đã lưu trữ dữ liệu nội dung của họ theo hình thức cục bộ, trong các trung tâm dữ liệu của chính mình. Nhưng điều này sắp thay đổi.
Các cơ quan chức năng Hà Lan đang tiến hành các thử nghiệm lưu trữ dữ liệu lên đám mây Microsoft, trong SharePoint và OneDrive – cùng với thử nghiệm phiên bản nền web của Office 365. Dù Microsoft có thu thập dữ liệu về từng người dùng phần mềm của hãng, DPIA cho thấy các phương thức mới sẽ gây ra “những nguy cơ cao về bảo mật dữ liệu đối với các đối tượng dữ liệu”.
Bản báo cáo nhấn mạnh rằng Microsoft đã cam kết điều chỉnh phần mềm của hãng để phù hợp với những quan ngại về quyền riêng tư, như trang bị một công cụ xem dữ liệu từ xa và một thiết lập mới mang tên “zero-exhaust”.
Một người phát ngôn của Microsoft cho biết công ty cam kết tìm ra giải pháp đối với những quan ngại nổi lên sau bản báo cáo của Privacy Company:”Chúng tôi cam kết quyền riêng tư của khách hàng, khuyến khích họ kiểm soát dữ liệu và đảm bảo Office Pro Plus và các sản phẩm, dịch vụ khác của Microsoft tuân thủ GDPR và các luật khác.
Chúng tôi đánh giá cao cơ hội để thảo luận các quy trình xử lý dữ liệu chẩn đoán trong Office Pro Plus với Bộ Tư pháp Hà Lan, đồng thời trông chờ một giải pháp thành công với mọi quan ngại”.
Bên cạnhđó, Privacy Company khuyến nghị quản trị viên của phiên bản Office Pro Plus dành cho doanh nghiệp tại Hà Lan (có thể áp dụng cho các quốc gia khác) thực hiện các biện pháp sau để giảm nguy cơ lộ lọt thông tin riêng tư đối với nhân viên và người dùng:
– Áp dụng cài đặt zero-exhaust mới
– Cấm sử dụng Connected Services
– Cấm tùy chọn cho phép người dùng gửi dữ liệu cá nhân lên Microsoft nhằm “cải thiện Office).
– Không dùng SharePoint Online/Ondrive
– Không dùng phiên bản web của Office 365
– Định kỳ xóa tài khoản Active Directory của một số người dùng VIP, và tạo tài khoản mới cho họ để đảm bảo Microsoft đã xóa các dữ liệu chẩn đoán nhạy cảm
– Xem xét sử dụng một giải pháp độc lập khác không sử dụng tài khoản Microsoft
– Xem xét tiến hành một chương trình khuyến khích sử dụng phần mềm thay thế sau khi đã tiến hành một đợt DPIA đối với các quy trình xử lý cụ thể. Có thể sử dụng phần mềm mã nguồn mở để thay thế phần mềm của Microsoft.
