Nice headline, but did you look at source?
A report backed by the Dutch Ministry of Justice and Security is warning government institutions not to use Microsoft's Office Online or mobile applications due to potential security and privacy risks.
Isn't this a bit steep, even for ElReg standards? Because, looking at the source documentation, it looks (to me) like the words on a blog of a contractor (a commercial privacy consultancy) is equalled to the (implemented) policy of a national government.
From the letter of the Minister of Justice and Safety, Fred Grapperhaus, together with the Home Secretary, Kajsa Ollongren, (hit Download and you get the original .docx (!)) to the Dutch House of Representatives, dated 1 July 2019 (scroll down for English translation):
De minister van BZK bevordert vanuit de verantwoordelijkheid voor het Rijksinkoopstelsel, een gecoördineerde benadering van strategische ICT-leveranciers van de rijksoverheid. De verantwoordelijkheid voor de uitvoering hiervan is, conform de governance van het Rijksinkoopstelsel, bij verschillende ministeries belegd. Het aanspreekpunt voor Microsoft is SLM Microsoft Rijk en wordt voor het Rijk uitgevoerd door het ministerie van Justitie en Veiligheid.
SLM Microsoft heeft in 2018 een Data Protection Impact Assessment (DPIA) laten uitvoeren op diagnostische dataverzamelingen (dat is data over het gebruik van de software) in nieuwe versies van Microsoft Office. Met de DPIA is vastgesteld dat er via het product 'Microsoft Office ProPlus' diagnostische gegevens van en over de gebruiker verzameld en opgeslagen werden in een database in de VS. Het verzamelen, opslaan en gebruik van deze gegevens is niet conform de Algemene Verordening Gegevensbescherming (AVG).
[...]
Zowel in het product Office ProPlus als ook Windows 10 Enterprise heeft Microsoft wereldwijd de beloofde verbeteringen doorgevoerd.
[...]
Hiermee zijn de in de DPIA genoemde risico’s in voldoende mate geadresseerd zodat er geen AVG-overtredingen meer hoeven te zijn als een Rijksorganisatie -aangesloten bij SLM Microsoft Rijk- de Microsoftproducten en -diensten besluit te gebruiken en daarbij de implementatierichtlijnen aanhoudt.
[...]
Gezien de behaalde resultaten zoals hierboven beschreven ziet SLM Microsoft Rijk, vanuit AVG-perspectief geen bezwaren voor bij SLM Microsoft aangesloten organisaties Microsoft Office ProPlus, Windows 10 Enterprise en Azure te gebruiken. Het blijft altijd de eigen afweging van een organisatie als verwerkingsverantwoordelijke om te besluiten of en welk product of dienst geschikt is voor een specifieke toepassing.
This translates as:
The Minister of the Interior and Kingdom Relations, who is responsible for the National Purchasing System, promotes a coordinated approach to strategic ICT suppliers to the national government. In accordance with the governance of the National Procurement System, the responsibility for the implementation of this approach has been assigned to various ministries. The contact point for Microsoft is SLM Microsoft Rijk and is carried out by the Ministry of Justice and Security for the central government.
In 2018, SLM Microsoft commissioned a Data Protection Impact Assessment (DPIA) on diagnostic data collections (i.e. data on the use of the software) in new versions of Microsoft Office. The DPIA has established that diagnostic data from and about the user were collected and stored in a database in the US via the product 'Microsoft Office ProPlus'. The collection, storage and use of this data is not in accordance with the General Data Protection Ordinance (AVG).
[...]
Both in the product Office ProPlus and Windows 10 Enterprise, Microsoft has implemented the promised improvements worldwide.
[...]
This means that the risks referred to in the DPIA have been addressed sufficiently, meaning no more AVG infringements will be committed if a national organisation - affiliated to SLM Microsoft Rijk- decides to use the Microsoft products and services, while adhering to the implementation guidelines.
[...]
In view of the achieved results described above, SLM Microsoft Rijk sees no objection from an AVG point of view to use Microsoft Office ProPlus, Windows 10 Enterprise and Azure for organisations affiliated with SLM Microsoft. It always will remain an organisation's own decision as data controller to decide whether and which product or service is suitable for a specific application.
Now, that doesn't sound like the Dutch Minister responsible for this is asking the Dutch civil servants to format their drives (which would be in line with their previous actions, decisions, and affinities TBH).