Veelgestelde vragen GT Microsoft

1. Hoe kunnen gemeenten aansluiten bij de afspraken die SLM rijk n.a.v. DPIA’s maakt over Microsoft 365 en wat moeten ze daarvoor doen?
Aansluiten kan op de verjaardag van de overeenkomst of bij het afsluiten van een nieuwe overeenkomst, de privacy voorwaarden van Microsoft voor de rijksoverheid gelden na aansluiting ook voor de betreffende gemeente.

2. Waar kan ik de DPIA’s van het Rijk vinden?
De verschillende DPIA’s zijn hier te vinden:
https://www.rijksoverheid.nl/documenten/rapporten/2019/06/11/data-protection-impact-assessment-windows-10-enterprise en
https://www.rijksoverheid.nl/documenten/publicaties/2018/11/12/strategisch-leveranciersmanagement-microsoft-rijk-slm-microsoft

3. Voor welke onderdelen van het Microsoft aanbod gelden die juridische afspraken, hoort Azure AD daar ook bij?
De juridische afspraken gelden voor alle zakelijke online diensten van MS, dus ook voor Azure AD, mits via het GT Microsoft (VNG Framework) contract afgesloten.

4. Is GT Microsoft een aanbesteding?
Nee, GT Microsoft zijn commerciële en juridische afspraken waar gemeenten en deelnemingen gebruik van kunnen maken. Indien dit gewenst is kan er contact opgenomen worden met de contactpersoon binnen Microsoft of de leverancier van de licenties. Zie hier voor de juridische voorwaarden en hier voor de commerciële voorwaarden.

5. Is Azure cloud ook onderdeel van de afspraken met SLM rijk en daarmee ook onderdeel van GT Microsoft?
De juridische afspraken gelden voor alle zakelijke online diensten van Microsoft, dus ook voor Azure cloud, mits via het GT MS contract afgesloten.

6. Wat verstaan we onder zakelijke online diensten?
De diensten die genoemd zijn in de verwerkersovereenkomst, zie https://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=2&Keyword=DPA voor de Nederlandse (Dutch) versie.

7. Kan Microsoft eenzijdig de contracten aanpassen?
Nee, alleen tenzij de wet of een rechterlijke uitspraak Microsoft daartoe dwingt.

8. Zijn er plannen om nadere afspraken te maken met Microsoft over meer dan alleen Microsoft 365?
Er wordt continu gekeken naar de ontwikkelingen, zo wordt er nu ook gekeken naar de EU Data Boundary en of hier nog zaken uit voortvloeien die aandacht vragen. Zie https://blogs.microsoft.com/eupolicy/2021/05/06/eu-data-boundary/ voor meer informatie.

9. In hoeverre gelden afspraken die SLM rijk maakt met andere grote leveranciers zoals Oracle en Google ook voor gemeenten?
SLM Rijk voert gesprekken met deze grote leveranciers. Tot op heden zijn er hier nog geen afspraken over gemaakt. Een DPIA op het gebruik van Google Cloud heeft geleid tot een negatief advies, zie https://www.rijksoverheid.nl/documenten/publicaties/2021/03/01/stand-van-zaken-google-01-maart—memo-slm. Mochten hier toch afspraken uit volgen zullen we als VNG kijken of we deze ook voor de gemeenten mee kunnen nemen.

10. Hoe kunnen we op de hoogte blijven van ontwikkelingen op dit gebied?
Via www.scgemeenten.nl , nieuwsbrief van VNG en forum.vng.nl.

11. Binnen MS 365 zijn er constant nieuwe ontwikkelingen. Hoe weten gemeenten dat dit allemaal privacy proof is?
Ook nieuwe functionaliteiten moet passen binnen de reeds gemaakte privacy afspraken. Wat Microsoft ook invoert of aanpast, alles moet passen binnen de verwerkersovereenkomst van Microsoft.

12. Er is nu een klein deel van het ecosysteem onderzocht. Hoe zit het met de rest van het ecosysteem?
Op dit moment zijn er nog geen onderzoeken naar de rest van het ecosysteem.

13. Wat zijn rondom de Gemeentelijk werkplek de initiatieven van het CIO-beraad?
CIO-beraad kijkt vooral naar de implementatie van de werkplek en hoe kunnen we hier in gezamenlijkheid elkaar helpen. Hier kijkt de VNG ook naar in de vervolgstappen. Via de genoemde kanalen bij punt 9 houden we u op de hoogte.

14. Kan ik op de hoogte gehouden worden van alle wijzigingen?
In de eigen (gemeenten of deelnemingen) beheerdersportalen van Office en Azure worden alle wijzigingen meegedeeld.

15. Wat vindt de VNG van het KPMG-rapport over MS 365?
In het rapport wordt inzichtelijk waar Microsoft producten aan kunnen bijdragen, maar ook wiens verantwoordelijkheid het is om iets te doen. Dit kan vertaald worden naar: Microsoft maakt producten die veilig werken volgens een bepaalde norm mogelijk maken, maar het juiste gebruik en de verantwoordelijkheid voor de inrichting ligt bij de klant. In zoverre maakt Microsoft dus duidelijk dat het aan de klant is om de producten van Microsoft juist te gebruiken. KPMG heeft verder niet getoetst of de producten van Microsoft ook daadwerkelijk voldoen aan de norm, maar alleen op basis van functionaliteiten beoordeelt of de Microsoft producten kunnen bijdragen aan het voldoen aan de norm.

16. Zijn er vervolgstappen binnen de VNG betreffende de afspraken met Microsoft?
Samen met een klankbordgroep wordt er na de zomer gekeken naar hoe nu verder? Wat zijn de wensen van de gemeenten en deelnemingen? Wat zijn de (juridische) mogelijkheden?

17. Waar vind ik meer informatie over Microsoft en de Standard Contractual Clauses?
Voor meer info kijk hier: https://docs.microsoft.com/en-us/compliance/regulatory/offering-eu-model-clauses