Wouter Hoeffnagel - 13 oktober 2017

AP tikt Microsoft op de vingers wegens gegevensverwerking Windows gebruikers

Microsoft verwerkt via Windows 10 in strijd met de wet gegevens van mensen die dit besturingssysteem op hun computer hebben geïnstalleerd. Dit concludeert de Autoriteit Persoonsgegevens (AP) na onderzoek van Windows 10 Home en Pro. Microsoft informeert gebruikers niet duidelijk over welke gegevens zij voor welke doelen gebruikt. Ook kunnen mensen door de werkwijze van Microsoft geen rechtsgeldige toestemming geven voor de verwerking van hun gegevens. Het bedrijf vertelt niet dat het bij de standaardinstellingen voortdurend gegevens verzamelt over het gebruik van apps en het surfgedrag via de browser Edge. Microsoft heeft aangegeven de overtredingen te willen beëindigen. Indien dit niet gebeurt kan de AP Microsoft een sanctie opleggen.

In Nederland zijn er meer dan 4 miljoen actieve apparaten met Windows 10 Home en Pro. Microsoft verzamelt continue technische prestatie- en gebruiksgegevens (bijvoorbeeld welke apps zijn geïnstalleerd en, als de gebruiker de standaardinstellingen niet heeft gewijzigd, hoe vaak ze worden gebruikt en welke sites worden bezocht) over deze apparaten. Deze gegevens worden telemetriegegevens genoemd. Microsoft maakt als het ware non-stop foto’s van het computergedrag van Windowsgebruikers en stuurt dit naar zichzelf.

Geen controle over gegevens

Door de werkwijze van Microsoft hebben de gebruikers gebrek aan controle over hun gegevens. Ze weten niet welke gegevens waarvoor worden gebruikt, noch dat er op basis van deze gegevens gepersonaliseerde advertenties en aanbevelingen aan hen kunnen worden getoond, als de gebruikers dit bij installatie, of daarna, niet hebben uitgeschakeld. “Het blijkt dat Microsofts besturingssysteem ongeveer iedere stap die je op je computer zet, volgt. Dat levert een indringend beeld van jou op”, zegt Wilbert Tomesen, vicevoorzitter van de AP. “Wat betekent dat? Weten mensen dat, willen ze dat? Microsoft moet mensen een eerlijke kans geven hier zelf over te beslissen”.

Microsoft biedt twee niveaus van telemetrie aan: standaard en volledig. Bij standaard worden beperkte gegevens over het gebruik van het apparaat verwerkt. Bij volledige telemetrie worden daarnaast gedetailleerde gegevens over het appgebruik en het surfgedrag via de browser Edge en (delen van) de inhoud van met de elektronische pen geschreven documenten verwerkt.

Doeleinden

Microsoft verwerkt de gegevens van beide soorten telemetrie om fouten op te lossen, apparaten up-to-date en veilig te houden en om eigen producten en diensten te verbeteren. Als gebruikers dit bij installatie, of daarna, niet hebben uitgeschakeld, verwerkt Microsoft de gegevens van zowel standaard als volledige telemetrie daarnaast om gepersonaliseerde reclame in Windows en Edge te tonen (inclusief voor alle apps uit de Windows store) en wordt met het Reclame-ID gepersonaliseerde reclame in andere apps getoond.

Microsoft biedt gebruikers een overzicht van de soorten persoonsgegevens die zij via standaard telemetrie verzamelt, maar informeert alleen op hoofdlijnen, met voorbeelden, over de soorten gegevens die zij via volledige telemetrie verwerkt. De werkwijze van Microsoft bij het verzamelen van volledige telemetriegegevens is onvoorspelbaar. Microsoft kan de verzamelde gegevens voor de verschillende algemeen omschreven doeleinden gebruiken. Door deze combinatie van doeleinden en het gebrek aan transparantie kan Microsoft geen wettelijke grondslag verkrijgen voor de gegevensverwerking, zoals toestemming.

Toestemming, informatie en ondubbelzinnig

Microsoft heeft rechtsgeldige toestemming van de gebruikers nodig om hun gegevens te mogen verwerken. Hiervoor moeten mensen onder meer goed zijn geïnformeerd: ze moeten precies weten waar ze ja tegen zeggen. Dat is niet het geval, concludeert de Autoriteit Persoonsgegevens. De informatie die Microsoft geeft in het installatiescherm van de Creators Update over keuzemogelijkheden schiet tekort. Het wordt niet duidelijk dat Microsoft bij volledige telemetrie voortdurend gegevens verzamelt over het gebruik van apps en het surfgedrag via Edge, inclusief bijvoorbeeld gelezen nieuwsartikelen en ingevoerde locaties in apps.

Ook verkrijgt Microsoft door haar werkwijze geen ondubbelzinnige toestemming. Microsoft werkt met opt-out mogelijkheden. Bij installatie staat het niveau van telemetrie op 'volledig' en wordt de gebruiker gevraagd de aangeboden instellingen te accepteren. Daarnaast staat standaard 'aan' dat Microsoft de telemetriegegevens mag gebruiken voor het tonen van gepersonaliseerde advertenties en aanbevelingen in Windows, Edge en apps. Dat iemand de standaardprivacyinstellingen bij de installatie niet actief wijzigt, wil niet zeggen dat hij dús toestemming geeft voor het gebruik van zijn gegevens.

Bestaande privacykeuzes niet altijd gerespecteerd

De AP heeft bovendien vastgesteld dat Microsoft bestaande privacykeuzes van een deel van de gebruikers niet heeft gerespecteerd bij de overstap naar de Creators Update. Het gaat om mensen die het besturingssysteem zelf hadden gedownload. Als zij eerder hadden gekozen voor standaard telemetrie en de privacyinstellingen niet actief hebben gewijzigd bij installatie van de update, is dat nu op volledig gezet.

Marissa Rogers, Privacy Officer, Windows & Devices Group bij Microsoft, geeft in een reactie aan dat Windows gegevens verzamelt om zoveel mogelijk te kunnen inspelen op de persoonlijke behoeften en interesse van gebruikers. Ook zegt het bedrijf er voortdurend aan te werken om de Windows privacy-ervaring voor gebruikers en andere belanghebbenden te verbeteren. Rogers: “Ik wil dat gebruikers van Windows 10 Home en Pro weten dat het onze hoogste prioriteit heeft om deze producten volledig aan de Nederlandse wet te laten voldoen." Rogers geeft ook aan de mogelijkheid om te blijven samenwerking met de Autoriteit Persoonsgegevens ten aanzien van haar observaties over Windows 10 Home en Pro te verwelkomen. Het bedrijf zegt in nauwe afstemming met de toezichthouder gepaste oplossingen te gaan zoeken. De volledige verklaring van Rogers is hier te vinden.

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024