Gegevensverwerking in Windows 10 via telemetrie is in strijd met wet

| AE 9745 | Privacy | 38 reacties

De Autoriteit Persoonsgegevens heeft op basis van een eigen onderzoek geconcludeerd dat Microsoft de wet overtreedt door de manier waarop het in Windows 10 gegevens verwerkt. Dat meldde Tweakers vorige week. Uit het onderzoek blijkt dat Microsoft allerlei gegevens van de gebruikers verzamelt, zoals de namen, wachtwoorden, geboortedata, het geslacht, telefoonnummers en e-mailadressen. Dit wordt onder het mom van “telemetrie” doorgestuurd naar Microsoft, maar onduidelijk blijft wat er dan precies mee gebeurt.

Het 241 pagina’s tellende onderzoeksrapport maakt duidelijk dat Microsoft bij gebruikers van Windows 10 voortdurend technische prestatie- en gebruiksgegevens verzamelt van elk apparaat waarop het is geïnstalleerd. Dat heet dan met een mooi neutraal woord “telemetriegegevens”, maar het zijn natuurlijk persoonsgegevens – ze onthullen informatie over de gebruiker, zoals welke apps hij gebruikt of websurfgedrag. Dat is eigenlijk nauwelijks te verantwoorden zonder duidelijke informatie en apart verkregen toestemming.

In de eerste versies van Windows 10 was allesbehalve duidelijk wat er nu precies werd verzameld en voor welk doel. De zogeheten Creators Update veranderde een en ander. Microsoft verduidelijkte dat de telemetriegegevens voor vijf doeleinden gebruikt konden worden:

  1. Fouten oplossen
  2. Apparaten up-to-date en veilig houden
  3. Het verbeteren van Microsoft producten en diensten.
  4. Het tonen van gepersonaliseerde reclame in Windows en Edge, inclusief reclame voor alle apps uit de Windows store
  5. Het tonen van gepersonaliseerde reclame in apps

Die laatste twee waren uit te schakelen, en voor die eerste twee valt wel te verdedigen dat dat misschien wel nodig is in de relatie leverancier-gebruiker. Alleen, bij het onderzoek bleek dat ontwikkelaars nieuwe toepassingen van de data konden implementeren zonder dat daar apart opnieuw melding van (laat staan toestemming voor) gevraagd werd. Een algemene opt-out was er wel, maar dat is niet genoeg (zeker niet omdat ie niet alles outte).

En dat kan gewoon niet, onder de Wbp niet en onder de AVG niet:

Door de combinatie van doeleinden waarvoor de verzamelde gegevens kunnen worden verwerkt en het gebrek aan transparantie, kàn Microsoft geen grondslag verkrijgen voor de gegevensverwerking, zoals toestemming of noodzaak voor de behartiging van haar gerechtvaardigd belang. Daarom kan ook geen sprake zijn van een gerechtvaardigd doeleinde voor de gegevensverwerking bij volledige telemetrie. Daarnaast geldt dat de eerste vier doeleinden zeer algemeen zijn geformuleerd, en daarmee niet voldoen aan het vereiste uit artikel 7 van de Wbp dat doeleinden welbepaald moeten zijn, en uitdrukkelijk omschreven.

Een belangrijk punt waarop Microsoft onderuit gaat, is de informatievoorziening. Nergens is in detail te lezen wat men nu precies verzamelt, laat staan wat daarmee gebeurt. Zelfs systeembeheerders kunnen niet zien wat er allemaal naar Microsoft gaat.

De typische ICT praktijk om in privacyverklaringen “Wij mogen alles doen onder het kader van verbetering van de gebruikservaring” op te nemen en dan te zeggen “dan moet je maar Linux gebruiken” als mensen het niet snappen, is dus eenvoudigweg niet toegestaan onder privacywetgeving. Je moet specifiek en gericht zeggen wat je gaat doen, en als je andere dingen wilt gaan doen dan moet je daar apart op terugkomen. Dat gaat nog een uitdaging worden volgend jaar.

Arnoud

Deel dit artikel

  1. In hoeverre is dit nu ook van toepassing op bijvoorbeeld Samsung? Bij nieuwe Samsungtelefoons moet je voor je hem kunt gebruiken akkoord gaan met “privacyvoorwaarden’ waarin onder meer staat dat Samsung je altijd mag afluisteren, en je moet toestemming geven om je gegevens (id nummers van je telefoon, lokatiegegevens, etc) door te geven aan Samsung.

  2. En dat kan gewoon niet, onder de Wbp niet en onder de AVG niet

    Je kan alleen maar vaststellen dat deze wetgeving een dode letter is. Windows 10 is inmiddels al sinds juli 2015 op de markt en hoewel het eigenlijk vanaf het begin klip en klaar is dat de regels overtreden worden is alles wat er gebeurt dat er nu een rapport ligt. We hebben een papieren tijger (de AP) die dik 2 jaar nodig heeft om een overduidelijke en grootschalige overtreding vast te stellen. En daar blijft het bij, de AP “stelt vast dat”, gaat misschien in overleg met MS waar dan wat kleine aanpassingen uit rollen die de AP dan weer een paar jaar kan gaan onderzoeken. Grote bedrijven weten donders goed dat ze van al die “waakhonden” in Nederland weinig te vrezen hebben.

    • Het mag duidelijk zijn dat, in lijn met Brein vs. Ziggo/XS4ALL, het AP via een snelle procedure (doe maar ex parte, daar zijn ze immers zogenaamd voor bedoeld) alle verkeer naar alle Microsoft servers blokkeert omdat er illegaal persoonsgegevens naar Microsoft servers verstuurd wordt.

      Edit: was eigenlijk bedoeld als losse reactie. Maar hier past hij ook wel.

        • Het lijkt mij niet heel erg handig om geheel Nederland uit te sluiten van Windows Updates

          Het geeft misschien wel een goed signaal af, zowel naar Microsoft als naar de buurlanden (EU dus, die dat dan mogelijk ook gaan doen). Niemand kan online nog Microsoft producten kopen (ook geen Office) dus ze gaan inkomsten mislopen en krijgen de reputatie van onveiligheid (al deed ze dat voorheen ook niet minder verkopen) dus ze zullen daar zeker iets aan gaan doen.

          Een totale blokkade van het gebruik van Windows zou ook de alternatieven eens een kans kunnen geven voet aan de grond te krijgen ( en dan zal blijken dat die helemaal niet zo slecht is als men vaak beweerd) en die zullen dan mogelijk meer ontwikkelaars achter zich krijgen en dus meer afgestemd gaan worden op de wensen van de gebruikers (wat nu nog wel eens anders kan zijn omdat ontwikkelaars een andere visie hebben als gebruikers of verkopers). Het kan dus op termijn zeker een gezondere markt opleveren.

  3. Het nieuwsbericht bevat informatie over een onderzoek van de Autoriteit Persoonsgegevens maar wat ontbreekt in het nieuwsbericht is de wijze waarop de AP hierover richting Microsoft communiceert. Heeft Microsoft van het AP een verplichting opgelegd gekregen om het probleem op te lossen bijvoorbeeld door betere informatieverstrekking en het afdwingen van expliciete toestemming van gebruikers. En als een verplichting is opgelegd is deze ook afdwingbaar, oftewel is daarbij een termijn gesteld en is daarbij een dwangsom of mogelijke boete van toepassing als Microsoft het probleem niet oplost?

    Het is wat vreemd om in een nieuwsbericht wat te roepen over een onderzoeksresultaat zonder er enige consequentie in de handhavingstaak bij te vermelden die dat onderzoeksresultaat ten gevolge heeft.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS