Gegevensverwerking in Windows 10 via telemetrie is in strijd met wet

| AE 9745 | Privacy | 38 reacties

De Autoriteit Persoonsgegevens heeft op basis van een eigen onderzoek geconcludeerd dat Microsoft de wet overtreedt door de manier waarop het in Windows 10 gegevens verwerkt. Dat meldde Tweakers vorige week. Uit het onderzoek blijkt dat Microsoft allerlei gegevens van de gebruikers verzamelt, zoals de namen, wachtwoorden, geboortedata, het geslacht, telefoonnummers en e-mailadressen. Dit wordt onder het mom van “telemetrie” doorgestuurd naar Microsoft, maar onduidelijk blijft wat er dan precies mee gebeurt.

Het 241 pagina’s tellende onderzoeksrapport maakt duidelijk dat Microsoft bij gebruikers van Windows 10 voortdurend technische prestatie- en gebruiksgegevens verzamelt van elk apparaat waarop het is geïnstalleerd. Dat heet dan met een mooi neutraal woord “telemetriegegevens”, maar het zijn natuurlijk persoonsgegevens – ze onthullen informatie over de gebruiker, zoals welke apps hij gebruikt of websurfgedrag. Dat is eigenlijk nauwelijks te verantwoorden zonder duidelijke informatie en apart verkregen toestemming.

In de eerste versies van Windows 10 was allesbehalve duidelijk wat er nu precies werd verzameld en voor welk doel. De zogeheten Creators Update veranderde een en ander. Microsoft verduidelijkte dat de telemetriegegevens voor vijf doeleinden gebruikt konden worden:

  1. Fouten oplossen
  2. Apparaten up-to-date en veilig houden
  3. Het verbeteren van Microsoft producten en diensten.
  4. Het tonen van gepersonaliseerde reclame in Windows en Edge, inclusief reclame voor alle apps uit de Windows store
  5. Het tonen van gepersonaliseerde reclame in apps

Die laatste twee waren uit te schakelen, en voor die eerste twee valt wel te verdedigen dat dat misschien wel nodig is in de relatie leverancier-gebruiker. Alleen, bij het onderzoek bleek dat ontwikkelaars nieuwe toepassingen van de data konden implementeren zonder dat daar apart opnieuw melding van (laat staan toestemming voor) gevraagd werd. Een algemene opt-out was er wel, maar dat is niet genoeg (zeker niet omdat ie niet alles outte).

En dat kan gewoon niet, onder de Wbp niet en onder de AVG niet:

Door de combinatie van doeleinden waarvoor de verzamelde gegevens kunnen worden verwerkt en het gebrek aan transparantie, kàn Microsoft geen grondslag verkrijgen voor de gegevensverwerking, zoals toestemming of noodzaak voor de behartiging van haar gerechtvaardigd belang. Daarom kan ook geen sprake zijn van een gerechtvaardigd doeleinde voor de gegevensverwerking bij volledige telemetrie. Daarnaast geldt dat de eerste vier doeleinden zeer algemeen zijn geformuleerd, en daarmee niet voldoen aan het vereiste uit artikel 7 van de Wbp dat doeleinden welbepaald moeten zijn, en uitdrukkelijk omschreven.

Een belangrijk punt waarop Microsoft onderuit gaat, is de informatievoorziening. Nergens is in detail te lezen wat men nu precies verzamelt, laat staan wat daarmee gebeurt. Zelfs systeembeheerders kunnen niet zien wat er allemaal naar Microsoft gaat.

De typische ICT praktijk om in privacyverklaringen “Wij mogen alles doen onder het kader van verbetering van de gebruikservaring” op te nemen en dan te zeggen “dan moet je maar Linux gebruiken” als mensen het niet snappen, is dus eenvoudigweg niet toegestaan onder privacywetgeving. Je moet specifiek en gericht zeggen wat je gaat doen, en als je andere dingen wilt gaan doen dan moet je daar apart op terugkomen. Dat gaat nog een uitdaging worden volgend jaar.

Arnoud

Deel dit artikel

  1. In hoeverre is dit nu ook van toepassing op bijvoorbeeld Samsung? Bij nieuwe Samsungtelefoons moet je voor je hem kunt gebruiken akkoord gaan met “privacyvoorwaarden’ waarin onder meer staat dat Samsung je altijd mag afluisteren, en je moet toestemming geven om je gegevens (id nummers van je telefoon, lokatiegegevens, etc) door te geven aan Samsung.

  2. En dat kan gewoon niet, onder de Wbp niet en onder de AVG niet

    Je kan alleen maar vaststellen dat deze wetgeving een dode letter is. Windows 10 is inmiddels al sinds juli 2015 op de markt en hoewel het eigenlijk vanaf het begin klip en klaar is dat de regels overtreden worden is alles wat er gebeurt dat er nu een rapport ligt. We hebben een papieren tijger (de AP) die dik 2 jaar nodig heeft om een overduidelijke en grootschalige overtreding vast te stellen. En daar blijft het bij, de AP “stelt vast dat”, gaat misschien in overleg met MS waar dan wat kleine aanpassingen uit rollen die de AP dan weer een paar jaar kan gaan onderzoeken. Grote bedrijven weten donders goed dat ze van al die “waakhonden” in Nederland weinig te vrezen hebben.

    • Het mag duidelijk zijn dat, in lijn met Brein vs. Ziggo/XS4ALL, het AP via een snelle procedure (doe maar ex parte, daar zijn ze immers zogenaamd voor bedoeld) alle verkeer naar alle Microsoft servers blokkeert omdat er illegaal persoonsgegevens naar Microsoft servers verstuurd wordt.

      Edit: was eigenlijk bedoeld als losse reactie. Maar hier past hij ook wel.

        • Het lijkt mij niet heel erg handig om geheel Nederland uit te sluiten van Windows Updates

          Het geeft misschien wel een goed signaal af, zowel naar Microsoft als naar de buurlanden (EU dus, die dat dan mogelijk ook gaan doen). Niemand kan online nog Microsoft producten kopen (ook geen Office) dus ze gaan inkomsten mislopen en krijgen de reputatie van onveiligheid (al deed ze dat voorheen ook niet minder verkopen) dus ze zullen daar zeker iets aan gaan doen.

          Een totale blokkade van het gebruik van Windows zou ook de alternatieven eens een kans kunnen geven voet aan de grond te krijgen ( en dan zal blijken dat die helemaal niet zo slecht is als men vaak beweerd) en die zullen dan mogelijk meer ontwikkelaars achter zich krijgen en dus meer afgestemd gaan worden op de wensen van de gebruikers (wat nu nog wel eens anders kan zijn omdat ontwikkelaars een andere visie hebben als gebruikers of verkopers). Het kan dus op termijn zeker een gezondere markt opleveren.

      • Ik ben voorstander! Stel je eens voor wat voor enorm gat er dan op de Nederlandse PC-markt ontstaat, wat opgevuld kan worden door (Nederlandse?) Linux-PC-makers!

        Ik ben alleen bang dat dit impopulair is bij de politiek en het grote publiek. Hoe groot is de kans dat een heroïne-junkie bij zijn dealer afdwingt dat ‘ie geen heroïne meer mag verkopen omdat dat ongezond is? De samenleving is grondig verslaafd aan de producten van Amerikaanse dealers zoals Microsoft, Google en Apple; als we ons daarvan afsluiten en alleen nog Linux gaan gebruiken kan je heftige afkickverschijnselen verwachten.

      • Awel, de gehele overheid, inclusief politie en leger, gebruiken windows. De gevolgen daarvan zullen dus waarschijnlijk zijn dat in staatsbelang het auteursrecht op Windows niet meer gehandhaaft wordt, en iedereen vrij een gekraakte versie kan gebruiken. Microsoft wordt wegens machtsmisbruik aangeklaagd en krijgt flinke boetes opgelegd. MS loopt zo een hoop geld mis, waar geen enkel voordeel voor ze tegenoverstaat.

        Zal dus niet gebeuren.

        • Waarom niet? Zit er niet ergens een staatsbelang-uitzondering op het auteursrecht? Volgens mij beschikt de Nederlandse overheid momenteel over de broncode van windows; ze zouden in zo’n geval dus een eigen windows-versie uit kunnen brengen en de beveiliging daarvan up-to-date kunnen houden. Features (incl. hardware-ondersteuning) van de staats-windows zullen dan wel achter gaan lopen op de microsoft-windows, maar op korte termijn hoeft dat voor ondersteuning van kritieke infrastructuur niet uit te maken. Elke upgrade wordt gedaan met Linux-machines, waardoor je de staats-windows langzaam kunt uitfaseren.

          Het zou een nogal ongebruikelijke stap zijn, en internationaal zal het wel voor wat gefronste wenkbrauwen zorgen. Om de internationale betrekkingen niet te veel onder druk te zetten zou gebruik van de staats-windows waarschijnlijk beperkt moeten blijven tot kritieke infrastructuur: anders ruikt het te veel naar staats-piraterij. Voor niet-kritieke producten (inclusief consumentenproducten) zo windows gewoon verboden moeten worden, omdat het niet conformeert aan de wet.

            • Nederland is maar heel korte tijd een supermacht geweest; voor de rest van de geschiedenis zijn we afhankelijk geweest van de goodwill van machtigere landen. Dat stond uitbuiting van de koloniën lange tijd niet in de weg, maar hier hebben we het over iets anders: een Nederlands staats-windows zou in gaan tegen de belangen van een veel machtiger land, de VS. Dus is het zaak om voorzichtig te manoeuvreren, en niet op de verkeerde tenen te stappen.

        • Zou nu juist wel moeten gebeuren omdat de staat verplicht is om zijn burgers te beschermen en nu er bewijs is dat ze dat niet meer kunnen, zullen ze moeten. Zal wel een tour worden om naar een ander systeem te gaan, maar ze werken nu ook al samen met IBM, een andere kwade geest. Misschien tijd voor echt een nieuwe insteek.

          Maarja de Nederlandse Staat mag ook liegen tegen zijn burgers, zie o.a. het pikmeer arrrest.

      • Dan is het mogelijk voordeliger voor MS om de spreekwoordelijke stekker uit de Nederlandse markt te trekken

        Nou zit er best wel geld in goede informatie over je klanten, maar vergeleken bij de totale Nederlandse markt voor operating systems valt dat natuurlijk totaal in het niet. Dus dat gaat niet gebeuren. Zo florissant staat Microsoft er ook niet voor.

  3. Het nieuwsbericht bevat informatie over een onderzoek van de Autoriteit Persoonsgegevens maar wat ontbreekt in het nieuwsbericht is de wijze waarop de AP hierover richting Microsoft communiceert. Heeft Microsoft van het AP een verplichting opgelegd gekregen om het probleem op te lossen bijvoorbeeld door betere informatieverstrekking en het afdwingen van expliciete toestemming van gebruikers. En als een verplichting is opgelegd is deze ook afdwingbaar, oftewel is daarbij een termijn gesteld en is daarbij een dwangsom of mogelijke boete van toepassing als Microsoft het probleem niet oplost?

    Het is wat vreemd om in een nieuwsbericht wat te roepen over een onderzoeksresultaat zonder er enige consequentie in de handhavingstaak bij te vermelden die dat onderzoeksresultaat ten gevolge heeft.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS