Блог

& NBSP; Microsoft і медичний професійний секрет …..

Microsoft, електронна пошта та медична професійна таємниця

Що потрібно знати про конфіденційність і безпеку червень 2026 року

Зміст сайту

Чи може Microsoft читати ваші електронні листи?

Коротка відповідь: Так, технічно це можливо.

Якщо ви використовуєте Outlook, Exchange або Microsoft 365, ваші електронні листи знаходяться на серверах Microsoft. Теоретично вони мають доступ. Ось як це працює:

Автоматичне сканування Microsoft сканує всі електронні листи за допомогою Defender для Office 365, щоб запобігти спаму, зловмисному програмному забезпеченню та фішингу. Згідно з їх власною документацією, іноді співробітники також шукають перевірку безпеки.

Доступ до AI через Copilot AI Assistant Copilot в Microsoft 365 має доступ до всієї вашої поштової скриньки за замовчуванням, якщо ви не вимкнете його. Copilot може узагальнювати, шукати та аналізувати електронні листи.

Закон про хмару Цей закон дає владі США право запитувати дані у американських компаній, таких як Microsoft, незалежно від того, де ці дані знаходяться. Таким чином, навіть якщо ваші електронні листи знаходяться в європейському центрі обробки даних, США можуть вимагати їх. Закон CLOUD - не єдиний закон, який робить це можливим. З 1980-х років закони США, такі як Закон про збережені комунікації та FISA, надали уряду ці повноваження.

Клієнт Lockbox Для компаній, які використовують Microsoft 365, Customer Lockbox існує: Співробітники Microsoft можуть отримати доступ до даних лише за згодою клієнта. Але це не стосується, якщо уряд США віддасть наказ.

Чи дійсно Microsoft це робить?

Microsoft каже, що не читає електронні листи за замовчуванням. Люди спостерігають лише у виняткових випадках, наприклад, для перевірки безпеки або якщо цього вимагає закон.

Але на практиці це сталося:

  • Захисник для Office 365 завжди сканує електронні листи, а іноді співробітники стежать за дослідженнями.
  • Помилка Copilot (2026): Одна помилка дозволила Copilot читати конфіденційні, безпечні електронні листи, навіть якщо організації заблокували їх.
  • Закон про хмару: Microsoft підтвердила, що їм доведеться передати дані, якщо цього вимагатимуть США.
  • Скандал з DSA (2026): Microsoft поділилася внутрішніми документами з американською комісією, включаючи імена та адреси електронної пошти голландських чиновників, не анонімізуючи їх.
  • Діагностичні дані: Дослідження показують, що Microsoft збирає метадані про те, хто дзвонить або спілкується з ким у Teams, а також у урядах Нідерландів.

Останні події

Імена голландських чиновників просочилися в США

У травні 2026 року з'ясувалося, що Microsoft передала внутрішні документи, включаючи електронні листи, протоколи та запрошення до комісії США. Там стояла Імена та контактні дані державних службовців Нідерландів ACM та голландський орган із захисту даних (Autoriteit Persoonsgegevens), які працюють над Європейським законом про цифрові послуги (DSA).

Комісія США змусила Microsoft поділитися цими документами через повістку до суду. Корпорація Майкрософт виконала, але не збирається анонімізувати особисті дані.

Державні секретарі Аердтс (цифрові справи) і Ван дер Бург (домашні справи) назвали це надзвичайно тривожним.

Джерела: Вільні Нідерланди, NIS, «Внутрішнє управління»

Copilot читає конфіденційні електронні листи

У лютому 2026 року Microsoft виявила помилку в Copilot: ШІ може читати та узагальнювати конфіденційні електронні листи, навіть якщо вони були позначені як конфіденційні і має бути поза досяжністю Copilot.

Помилка була активна з 21 січня 2026 року. В результаті Copilot зміг переглядати електронні листи в папках Concepts і Sent Items, включаючи повідомлення з тегами безпеки.

Джерела: TechCrunch, CyberNews

Закон про хмару: США можуть вимагати дані

У 2025 році Microsoft офіційно підтвердила: Відповідно до Закону про CLOUD, вони повинні надавати дані клієнтів органам влади США, якщо для цього є юридичне замовлення, незалежно від того, де ці дані знаходяться.

Таким чином, навіть якщо ваші електронні листи знаходяться в європейському центрі обробки даних, США можуть претендувати на них, оскільки Microsoft є американською компанією.

Джерела: Голландська хмарна спільнота, INTERMAX

Ризики конфіденційності в освіті та уряді

Дослідження компанії Privacy Company (на замовлення Justice та SURF) виявило ризики у використанні Microsoft Teams, OneDrive та SharePoint урядом та університетами.

Корпорація Майкрософт збирала діагностичні дані про індивідуальне використання: хто дзвонить або чати з ким, які документи відкриваються і т. д.

У звіті зроблено висновок, що Microsoft потрібно внести більше коригувань. Якщо європейські регулятори оцінять ризики ще вище, голландським організаціям може бути заборонено використовувати американські хмарні сервіси взагалі.

Джерело інформації: Безпека.NL

Дані, передані Facebook

У 2020 році Microsoft подала до суду за те, що нібито ділилася даними клієнтів, включаючи електронні листи, календарі та документи з третіми сторонами, такими як Facebook, через Microsoft 365. Навіть якщо ні клієнт, ні його контакти не мали облікового запису Facebook.

Microsoft заперечила і заявила, що має надійний захист конфіденційності. Але випадок показує, що дані клієнтів можуть передаватися комерційним третім сторонам непрозорим способом.

Джерело інформації: AlternativeTo/Реєстрація

Уразливість за законодавством США

Антропні моделі штучного інтелекту, застосовані США (червень 2026 р.) У 2026 році уряд США змусив отримати доступ до моделей штучного інтелекту та клієнтських даних провідної AI-компанії Anthropic. Це показує, що не тільки традиційні хмарні дані, а й найсучасніші системи штучного інтелекту піддаються правовому примусу США. Для європейських користувачів це означає, що їх взаємодія з цими системами також може потрапити в руки влади США.

Трамп і CLOUD Act: Десятиліття законодавства в дії Те, що робить Трамп, не дивує. Закон CLOUD (2018) є лише останнім у довгій лінійці законів США, які дозволяють уряду вимагати даних від американських компаній. З 1980-х років закони, такі як Закон про збережені комунікації (1986) та Закон про спостереження за зовнішньою розвідкою (FISA, 1978), надали уряду США таку можливість. За адміністрації Трампа (2017-2021) ці повноваження активно і неохоче використовувалися для запиту даних від технологічних компаній. Це не нова політика, а Десятиліття існуючої практики Це те, що може і буде робити кожен американський президент.

FISA Суд і збір масових даних Суд з нагляду за зовнішньою розвідкою (FISA Court) щороку видає тисячі наказів про збір даних. У 2023 році з'ясувалося, що Microsoft є однією з найбільш підходящих компаній для запитів FISA. Це стосувалося не тільки конкретних підозрюваних, а й масового збору даних, які ненавмисно захоплюють європейських громадян.

Виконавчий наказ 12333 (1981) Цей указ, підписаний президентом Рейганом у 1981 році, дає американським спецслужбам повноваження перехоплювати іноземні комунікації. Згідно з цим наказом, дані європейських громадян також збиралися через американські технологічні компанії. Трамп не вводив ці повноваження, але активно використовував їх під час свого перебування на посаді.

Висновок: структурна проблема Ці приклади показують, що питання не в тому, чи можуть США отримати доступ до ваших даних, а в тому, коли. Кожен президент США, будь то Байден, Трамп або майбутній лідер, має юридичні повноваження та ресурси, щоб вимагати дані від американських технологічних компаній. Для Нідерландів та Європи це означає структурна вразливість Вона не може бути вирішена тільки технічними заходами.

Інші випадки, коли Microsoft обробляла європейські дані незахищено

Штраф LinkedIn в Ірландії (2022) LinkedIn, що належить Microsoft, був оштрафований ірландським регулятором DPC на 4,5 мільйона євро за витік особистих даних 500 мільйонів користувачів. Серед цих користувачів також було багато європейців, включаючи голландців.

Microsoft 365 заборонили в німецьких школах (2022-2024) Кілька німецьких держав, включаючи Гессен і Баден-Вюртемберг, заборонили використання Microsoft 365 у школах, оскільки він не відповідав GDPR. Причина: Дані можуть бути доступні владі США через Закон CLOUD, і Microsoft не може гарантувати, що європейські дані залишаться в Європі.

Штраф у Франції (2022) Французький регулятор CNIL оштрафував Microsoft на 60 мільйонів євро за встановлення файлів cookie на пристрої французьких користувачів без їхньої згоди. Це стосується і користувачів Windows 10.

Данія призупиняє Microsoft 365 (2023) Уряд Данії призупинив використання Microsoft 365 в деяких державних адміністраціях після аналізу ризиків. Причина: Закон CLOUD унеможливив гарантію того, що конфіденційні урядові дані не потраплять до рук влади США.

Дослідження в Італії (2023) Італійський регулятор Garante розпочав розслідування щодо Microsoft, оскільки дані італійських користувачів були передані третім особам без дозволу. Це стосувалося, зокрема, обміну телеметричними даними з рекламними мережами.

Сповіщення від голландської AP (2023-2026) Нідерландський орган із захисту даних неодноразово застерігав від використання Microsoft 365 у нідерландській охороні здоров'я та уряді. У 2023 році AP опублікувала посібник, в якому підкреслюється, що стандарт Microsoft 365 не відповідає вимогам для обробки спеціальних персональних даних, таких як дані про здоров'я.

Рішення Шремса II (2020 і наслідки) Після рішення Європейського суду справедливості Schrems II у 2020 році, яке скасувало Privacy Shield, стандартні договірні положення виявилися недостатніми для передачі даних до США. Microsoft була названа однією з компаній, яка це спричинило серйозні проблеми для європейських клієнтів. Багатьом голландським організаціям довелося переглянути свої контракти з Microsoft або шукати альтернативи.

Програма PRISM (2013, але все ще актуальна) Microsoft була однією з перших компаній, яка взяла участь у програмі PRISM АНБ, оприлюдненій Едвардом Сноуденом у 2013 році. Дані європейських користувачів, в тому числі голландських, були передані спецслужбам США. Хоча це було навколо протягом деякого часу, це залишається важливою причиною недовіри до поводження Microsoft з європейськими даними.

Медична професійна таємниця та електронна пошта Microsoft

Якщо практикуючий надсилає підтвердження зустрічі за допомогою стандартної електронної пошти Microsoft, це стосується кількох правил:

  • Медична професійна таємниця: Лікарям, психологам, медсестрам і т.д. не дозволяється розповідати про пацієнтів.
  • ЗРЗД/ЗРЗД: Закон про конфіденційність, який додатково захищає дані про здоров'я.
  • WGBO: Закон про медичне лікування.
  • Керівні принципи KNMG: Правила для лікарів.

Чи є підтвердження зустрічі вже конфіденційним

Так, так. Навіть без діагнозу або скарги зустріч з практикуючим вже розкриває інформацію:

  • Що існує лікувальний зв'язок
  • Ім'я практикуючого (і, отже, тип догляду, наприклад, психіатра, кардіолога)
  • Дата і час призначення
  • Часто назва практики або установи

Відповідно до GDPR, дані про здоров'я - це персональні дані, пов'язані з фізичним або психічним здоров'ям. Підтвердження запису на прийом включається, навіть якщо в ньому немає медичних деталей.

KNMG підтверджує: Інформація про медичний вміст також може бути отримана з того факту, що повідомлення було зроблено на певну адресу електронної пошти або з неї (наприклад, psychiater@psychiater.nl).

Що говорить закон

GDPR (Загальний регламент захисту даних):

  • Дані про здоров'я є спеціальними персональними даними. Обробка дозволяється лише в конкретних випадках, наприклад, для охорони здоров'я.
  • Дані повинні зберігатися та передаватися безпечно. Незашифрована електронна пошта не відповідає цій вимозі.

Медична професійна таємниця (Закон про БІГ, Цивільний кодекс, Кримінальне право):

  • Лікарям, психологам, медсестрам і т.д. не дозволяється розповідати про пацієнтів без дозволу.
  • Порушення карається.

Директива KNMG:

Використовуйте звичайну електронну пошту, лише якщо у вашому електронному листі (або вкладенні) немає конфіденційних особистих даних. В іншому випадку використовуйте захищену електронну пошту.

Медична професійна таємниця має перевагу над GDPR: спочатку ви повинні перевірити, чи не порушуєте ви професійну таємницю, потім тільки в тому випадку, якщо дотримуєтеся GDPR.

Прецедентне право (останній)

  • Верховний Суд (2024): Постачальник медичних послуг не може надавати доступ до медичного файлу без дозволу або опосередковано.
  • Комітет з питань охорони здоров'я (2025): Навіть консультація між практикуючими лікарями без згоди пацієнта недбала.
  • Повноваження на обробку персональних даних: Трафік електронної пошти між лікарем і пацієнтом повинен бути зашифрований.

Висновок: може чи не може

Ні, не в більшості випадків.

Надсилання підтвердження зустрічі стандартною електронною поштою Microsoft (без додаткової безпеки) є порушенням:

  1. Медична професійна таємниця (ви ділитеся конфіденційною інформацією через незахищений канал)
  2. GDPR (дані про здоров'я повинні бути оброблені безпечно)

Винятки:

  • Якщо електронний лист зашифровано наскрізно
  • Якщо пацієнт дав явну згоду і усвідомлює ризики
  • Якщо електронний лист не містить простежуваних даних про стан здоров'я (але: зустріч з практикуючим часто вже простежується)

Додаткові ризики з Microsoft: Відповідно до Закону CLOUD та інших законів США, уряд США може змусити Microsoft випускати електронні листи, навіть якщо вони знаходяться в Європі. Це робить стандартну електронну пошту Microsoft надзвичайно небезпечною для медичного зв'язку. Питання не в тому, чи може це статися, а в тому, коли це станеться.

KNMG та AVG Helpdesk for Care зрозумілі: використовувати безпечну електронну пошту (наскрізне шифрування) або спеціальну платформу обміну повідомленнями для цього типу зв'язку, а не звичайну електронну пошту через комерційного постачальника хмарних послуг.

Джерела інформації

Корпорація Майкрософт і конфіденційність електронної пошти

Скандал з DSA (травень 2026)

CLOUD Act і законодавство США

Медична професійна таємниця та GDPR

Цей документ базується на відкритих джерелах і не є юридичною консультацією. З конкретних питань проконсультуйтеся з фахівцем-юристом.

ВНДкрийте бльче з Data-Pro BV

Пнайсвналектроннну поУться, чоб отримує налектрону почту.

«Позначки»: , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Залишка в? дпов? дь