Tech­nische vragen over de ‘dage­lijkse briefing’ van Microsoft Viva en de priva­cy­ge­voe­ligheid van de @psbrabant.nl-accounts van Brabantse volks­ver­te­gen­woor­digers


Indiendatum: 3 jun. 2022

Sinds enige tijd ontvangen de leden van onze fractie meermaals per week, soms dagelijks, een e-mail van Microsoft Viva. Hierin wordt een overzicht gegeven van online activiteiten en voorstellen gedaan voor ‘focus-uren’, maar ook een follow-up-suggesties naar aanleiding van verstuurde e-mails. Zo kreeg een fractielid onlangs een melding dat een vraag die in een e-mail (dus niet in het onderwerp van de e-mail) was gesteld aan een fractiegenoot, nog niet beantwoord was. Kennelijk is het hele e-mailbericht ‘gelezen’.

Wij hebben zelf niet actief toestemming gegeven voor deze briefings door Microsoft Viva over onze e-mails. Er is een opt-out-optie, maar dat lijkt ons de omgekeerde wereld. Dit baart ons zorgen en heeft daardoor geleid tot de volgende vragen.

1. Wie heeft besloten dat ons e-mailverkeer wordt beoordeeld door Microsoft Viva?

2. Welke privacybepalingen zijn hier van toepassing anders dan het door Microsoft Viva geleverde privacyreglement?

3. Worden álle e-mails gescreend door Microsoft Viva en hoe gebeurt dat? Welke algoritmes worden gebruikt?

4. Wie heeft inzicht in onze mailwisselingen; kan de provincie meekijken in ons e-mailverkeer en gebeurt dat ook?

5. Worden e-mails bijvoorbeeld op grond van bepaalde termen of woorden apart beoordeeld, gelezen of opgeslagen?

6. Hoe kan ik voorkomen dat mijn mails worden gelezen door anderen dan de geadresseerden; is afmelden via Microsoft Viva voldoende?

7. Houdt de provincie CVE-meldingen (common vulnerability & exposure) over Microsoft Viva bij? Zo ja, wat zijn de bevindingen?

8. Gezien het bedrijf Microsoft dit alles initieert; welke invloed heeft de overheid en wetgeving van de V.S. op onze e-mailconversaties?

9. Kan de provincie garanderen dat de door Microsoft Viva geanalyseerde data niet buiten de provinciale organisatie terecht komt?

Indiendatum: 3 jun. 2022
Antwoorddatum: 13 jun. 2022

Sinds enige tijd ontvangen de leden van onze fractie meermaals per week, soms dagelijks, een e-mail van Microsoft Viva. Hierin wordt een overzicht gegeven van online activiteiten en voorstellen gedaan voor ‘focus-uren’, maar ook een follow-up-suggesties naar aanleiding van verstuurde e-mails. Zo kreeg een fractielid onlangs een melding dat een vraag die in een e-mail (dus niet in het onderwerp van de e-mail) was gesteld aan een fractiegenoot, nog niet beantwoord was. Kennelijk is het hele e-mailbericht ‘gelezen’.

Wij hebben zelf niet actief toestemming gegeven voor deze briefings door Microsoft Viva over onze e-mails. Er is een opt-out-optie, maar dat lijkt ons de omgekeerde wereld. Dit baart ons zorgen en heeft daardoor geleid tot de volgende vragen.

1. Wie heeft besloten dat ons e-mailverkeer wordt beoordeeld door Microsoft Viva?

Antwoord:
Dit is een standaard functionaliteit van Microsoft en als zodanig is dit in de laatste release uitrol van Microsoft door de leverancier standaard uitgeleverd. Dit is nooit aangevraagd door de Griffie en daarom op mijn verzoek ook uitgezet. Met de leverancier en de griffie zal bij nieuwe wijzigingen goed gekeken moeten worden of nieuwe functionaliteit wel of niet beschikbaar gemaakt moet worden.


2. Welke privacybepalingen zijn hier van toepassing anders dan het door Microsoft Viva geleverde privacyreglement?

Antwoord:
Geen andere dan de al geldende privacy toepassingen.


3. Worden álle e-mails gescreend door Microsoft Viva en hoe gebeurt dat? Welke algoritmes worden gebruikt?

Antwoord:
Er worden mails en overige activiteiten binnen microsoft meegenomen maar enkel binnen het domein van een gebruiker. Er kan nooit inzicht op persoonlijk niveau worden gegeven aan anderen. Maar zoals aangegeven was dit product niet gevraagd en is inmiddels in gang gezet dat het wordt uitgezet.


4. Wie heeft inzicht in onze mailwisselingen; kan de provincie meekijken in ons e-mailverkeer en gebeurt dat ook?

Antwoord:
Niemand heeft inzicht in de mail wisseling, dit is enkel voor de gebruiker zelf en voldoet aan onze privacy en security richtlijnen.


5. Worden e-mails bijvoorbeeld op grond van bepaalde termen of woorden apart beoordeeld, gelezen of opgeslagen?

Antwoord:
Nee, niet anders dan de functionaliteit vanuit Viva die mensen wil faciliteren op basis van hun activiteiten.


6. Hoe kan ik voorkomen dat mijn mails worden gelezen door anderen dan de geadresseerden; is afmelden via Microsoft Viva voldoende?

Antwoord:
Mails worden niet door anderen gelezen dan de geadresseerden. Viva wordt uitgezet.


7. Houdt de provincie CVE-meldingen (common vulnerability & exposure) over Microsoft Viva bij? Zo ja, wat zijn de bevindingen?

Antwoord:
De leverancier van de griffie houdt bij wanneer er onheus gebruik gemaakt wordt van data. Er zijn hier geen bevindingen op gedetecteerd.


8. Gezien het bedrijf Microsoft dit alles initieert; welke invloed heeft de overheid en wetgeving van de V.S. op onze e-mailconversaties?

Antwoord:
Dat is een vraag die ik niet kan beantwoorden dat zou u aan Microsoft moeten vragen. Onze data staat niet in de VS en voldoet aan provinciale richtlijnen.


9. Kan de provincie garanderen dat de door Microsoft Viva geanalyseerde data niet buiten de provinciale organisatie terecht komt?

Antwoord:
Ja deze data blijft binnen de tennant waar de griffie gebruik van maakt.

Ik hoop U hierbij voldoende geinformeerd te hebben. Microsoft heeft de gewoonte nieuwe functionaliteit standaard aan te zetten, hier zal strakker naar gekeken moeten worden bij elke nieuwe update zodat dit soort vragen voorkomen kunnen worden.