Gegevensverwerking in Windows 10 via telemetrie is in strijd met wet

De Autoriteit Persoonsgegevens heeft op basis van een eigen onderzoek geconcludeerd dat Microsoft de wet overtreedt door de manier waarop het in Windows 10 gegevens verwerkt. Dat meldde Tweakers vorige week. Uit het onderzoek blijkt dat Microsoft allerlei gegevens van de gebruikers verzamelt, zoals de namen, wachtwoorden, geboortedata, het geslacht, telefoonnummers en e-mailadressen. Dit wordt onder het mom van “telemetrie” doorgestuurd naar Microsoft, maar onduidelijk blijft wat er dan precies mee gebeurt.

Het 241 pagina’s tellende onderzoeksrapport maakt duidelijk dat Microsoft bij gebruikers van Windows 10 voortdurend technische prestatie- en gebruiksgegevens verzamelt van elk apparaat waarop het is geïnstalleerd. Dat heet dan met een mooi neutraal woord “telemetriegegevens”, maar het zijn natuurlijk persoonsgegevens – ze onthullen informatie over de gebruiker, zoals welke apps hij gebruikt of websurfgedrag. Dat is eigenlijk nauwelijks te verantwoorden zonder duidelijke informatie en apart verkregen toestemming.

In de eerste versies van Windows 10 was allesbehalve duidelijk wat er nu precies werd verzameld en voor welk doel. De zogeheten Creators Update veranderde een en ander. Microsoft verduidelijkte dat de telemetriegegevens voor vijf doeleinden gebruikt konden worden:

  1. Fouten oplossen
  2. Apparaten up-to-date en veilig houden
  3. Het verbeteren van Microsoft producten en diensten.
  4. Het tonen van gepersonaliseerde reclame in Windows en Edge, inclusief reclame voor alle apps uit de Windows store
  5. Het tonen van gepersonaliseerde reclame in apps

Die laatste twee waren uit te schakelen, en voor die eerste twee valt wel te verdedigen dat dat misschien wel nodig is in de relatie leverancier-gebruiker. Alleen, bij het onderzoek bleek dat ontwikkelaars nieuwe toepassingen van de data konden implementeren zonder dat daar apart opnieuw melding van (laat staan toestemming voor) gevraagd werd. Een algemene opt-out was er wel, maar dat is niet genoeg (zeker niet omdat ie niet alles outte).

En dat kan gewoon niet, onder de Wbp niet en onder de AVG niet:

Door de combinatie van doeleinden waarvoor de verzamelde gegevens kunnen worden verwerkt en het gebrek aan transparantie, kàn Microsoft geen grondslag verkrijgen voor de gegevensverwerking, zoals toestemming of noodzaak voor de behartiging van haar gerechtvaardigd belang. Daarom kan ook geen sprake zijn van een gerechtvaardigd doeleinde voor de gegevensverwerking bij volledige telemetrie. Daarnaast geldt dat de eerste vier doeleinden zeer algemeen zijn geformuleerd, en daarmee niet voldoen aan het vereiste uit artikel 7 van de Wbp dat doeleinden welbepaald moeten zijn, en uitdrukkelijk omschreven.

Een belangrijk punt waarop Microsoft onderuit gaat, is de informatievoorziening. Nergens is in detail te lezen wat men nu precies verzamelt, laat staan wat daarmee gebeurt. Zelfs systeembeheerders kunnen niet zien wat er allemaal naar Microsoft gaat.

De typische ICT praktijk om in privacyverklaringen “Wij mogen alles doen onder het kader van verbetering van de gebruikservaring” op te nemen en dan te zeggen “dan moet je maar Linux gebruiken” als mensen het niet snappen, is dus eenvoudigweg niet toegestaan onder privacywetgeving. Je moet specifiek en gericht zeggen wat je gaat doen, en als je andere dingen wilt gaan doen dan moet je daar apart op terugkomen. Dat gaat nog een uitdaging worden volgend jaar.

Arnoud

38 reacties

  1. In hoeverre is dit nu ook van toepassing op bijvoorbeeld Samsung? Bij nieuwe Samsungtelefoons moet je voor je hem kunt gebruiken akkoord gaan met “privacyvoorwaarden’ waarin onder meer staat dat Samsung je altijd mag afluisteren, en je moet toestemming geven om je gegevens (id nummers van je telefoon, lokatiegegevens, etc) door te geven aan Samsung.

          1. Wat een rare vergelijking. Specifiek voor te laat gemelde voorwaarden is de wet duidelijk, die zijn vernietigbaar en dus gewoon van tafel. Je hebt dan nog steeds een contract met Samsung alleen is de inhoud nu ineens een stuk korter, en dan moet de rechter dus op basis van wet, redelijkheid en gewoonte e.d. gaan bepalen wat de afspraken zijn. Dat zal veel gunstiger voor consumenten uitpakken.

            1. Dat wil ik er dus mee zeggen; een papiertje houd die klap niet tegen. En die klap kan ook niet teruggenomen worden. Wetgeving is niet zaligmakend. Vandaar dat ik hem vergelijk met een praktijkvoorbeeld 🙂

              Zo zijn er veel zaken in wetgeving die eigenlijk alleen maar symbool wetgeving zijn. Waarmee ik niet wil zeggen dat ze overbodig zijn. Zou ik wel willen, want nu zie je door het bos de bomen niet meer. (understament). En ik wil de eertse nog tegen komen die daadwerkelijk de wet kent in: “Iedere Nederlander word geacht de wet te kennen”

              1. Ben je ook op de hoogte van alle bekendmakingen? Dat is gewoon niet bij te houden als je daar niet je brood mee verdiend. Het is praktisch dus niet mogelijk om als Nederlander de wet en alle aanvullingen te kennen. Alleen vandaag al zijn er 266 publicaties in de “Staatscourant”.

                1. Er is dus eigenlijk niemand die de wet kent. bomen en bos. Komt bij dat er veel zaken zijn die zeer twijfelachtig zijn. Neem nou bijvoorbeeld het woord eigendom, wat is dat nou? je zou zeggen volgens vandale iets wat van jou is en niet afgepakt kan worden en waar je mee kan doen wat jij wil. Maar als je in Nederland een huis koopt kan jou dat afgenomen worden, je krijgt daar wel een vergoeding voor maar je huis word jou met geweld afgenomen. Ze noemen het dan algemeen belang, en raad eens wie dat bepaald. Vandaar ook dat ze de erfgooiers uitgekocht hebben zou gauw daar kans op was, en ergens in twente was ook zo’n gebied. Wat de mensen voor eeuwig gekregen hadden, voor bepaalde diensten. Nu kan alle grond in NL afgenmen worden in het “algemeen belang”

      1. Het oordeel van de Autoriteit Persoonsgegevens is gebaseerd op de specifieke feiten die uit het onderzoek naar Windows 10 naar boven kwamen en zijn niet direct van toepassing op producten van andere leveranciers. (Daarnaast kan Microsoft nog in beroep gaan.) Ik verwacht wel dat de AP ook voor veel smartphones, smart-TVs, enz. tot een vergelijkbare conclusie zal (kunnen) komen.

        En ja, je kunt altijd terug naar de verkoper met “ik wil geen toestemming geven aan [Leverancier]”, in het beste geval krijg je direct je geld terug (maar hebt nog steeds geen telefoon); het is mogelijk dat je bij de rechter langs moet om het conflict uit te vechten.

          1. Jouw baas heeft verplichtingen om jouw privacy te respecteren en mag je niet zonder goede reden blootstellen aan spionage. (Hoewel je onder werktijd toezicht moet dulden, maar niet in je privétijd.) Je kunt hierover klagen bij je baas, of zeggen dat je alleen onder werktijd op die telefoon bereikbaar bent… zet hem ’s avonds uit. Koop een eigen telefoon als jouw privacy je geld waard is.

        1. Daarnaast kan Microsoft nog in beroep gaan.

          Waartegen ? Ik zie alleen een rapport waarin de AP een aantal zaken over Windows 10 vast stelt. Nergens zie ik dat er ook handhavend wordt opgetreden of zelfs maar ‘Foei!’ tegen MS is gezegd.

          Edit : wat hAl vanmorgen 11.11 dus eigenlijk al zei zie ik nu

  2. En dat kan gewoon niet, onder de Wbp niet en onder de AVG niet

    Je kan alleen maar vaststellen dat deze wetgeving een dode letter is. Windows 10 is inmiddels al sinds juli 2015 op de markt en hoewel het eigenlijk vanaf het begin klip en klaar is dat de regels overtreden worden is alles wat er gebeurt dat er nu een rapport ligt. We hebben een papieren tijger (de AP) die dik 2 jaar nodig heeft om een overduidelijke en grootschalige overtreding vast te stellen. En daar blijft het bij, de AP “stelt vast dat”, gaat misschien in overleg met MS waar dan wat kleine aanpassingen uit rollen die de AP dan weer een paar jaar kan gaan onderzoeken. Grote bedrijven weten donders goed dat ze van al die “waakhonden” in Nederland weinig te vrezen hebben.

    1. Het mag duidelijk zijn dat, in lijn met Brein vs. Ziggo/XS4ALL, het AP via een snelle procedure (doe maar ex parte, daar zijn ze immers zogenaamd voor bedoeld) alle verkeer naar alle Microsoft servers blokkeert omdat er illegaal persoonsgegevens naar Microsoft servers verstuurd wordt.

      Edit: was eigenlijk bedoeld als losse reactie. Maar hier past hij ook wel.

        1. Het lijkt mij niet heel erg handig om geheel Nederland uit te sluiten van Windows Updates

          Het geeft misschien wel een goed signaal af, zowel naar Microsoft als naar de buurlanden (EU dus, die dat dan mogelijk ook gaan doen). Niemand kan online nog Microsoft producten kopen (ook geen Office) dus ze gaan inkomsten mislopen en krijgen de reputatie van onveiligheid (al deed ze dat voorheen ook niet minder verkopen) dus ze zullen daar zeker iets aan gaan doen.

          Een totale blokkade van het gebruik van Windows zou ook de alternatieven eens een kans kunnen geven voet aan de grond te krijgen ( en dan zal blijken dat die helemaal niet zo slecht is als men vaak beweerd) en die zullen dan mogelijk meer ontwikkelaars achter zich krijgen en dus meer afgestemd gaan worden op de wensen van de gebruikers (wat nu nog wel eens anders kan zijn omdat ontwikkelaars een andere visie hebben als gebruikers of verkopers). Het kan dus op termijn zeker een gezondere markt opleveren.

          1. Sluit dan gelijk ook Office 365 af. Volgens mij komen er heel gauw veel VPN’s om er toch bij te kunnen. Genoeg bedrijven die er behoorlijk van afhankelijk zijn inmiddels.

            Overigens ben ik geen voorstander van blokkades. Maar een straf die hoog genoeg is wordt in mei 2018 wel mogelijk als ik het goed heb begrepen.

        2. Maar ik zou er wel mee kunnen leven. Laat ze maar met de billen bloot gaan. Weten we meteen publiek hoe de zaken ervoor staan. Ik weet zeker dat er dan meer gaat gebeuren. O.a van Frankrijk verwacht ik ook wel zoiets.

    2. En dat is maar goed ook. Stel dat MS wel gehouden wordt aan de wet. Dan is het mogelijk voordeliger voor MS om de spreekwoordelijke stekker uit de Nederlandse markt te trekken en écht te zeggen “Ga maar naar Linux”. Succes Nederland! Wat zouden daar de gevolgen van zijn?

      1. Een positief gevolg: Veel minder malware in Nederland! 😀

        Omdat de privacy-regels op EU nivo zijn vastgelegd zou Microsoft zich dan uit de hele EU moeten terugtrekken en dat zou tot een aanzienlijke omzetreductie leiden. Daarom is het oordeel van onze AP ook wereldnieuws. (Ars Technica)

      2. Ik ben voorstander! Stel je eens voor wat voor enorm gat er dan op de Nederlandse PC-markt ontstaat, wat opgevuld kan worden door (Nederlandse?) Linux-PC-makers!

        Ik ben alleen bang dat dit impopulair is bij de politiek en het grote publiek. Hoe groot is de kans dat een heroïne-junkie bij zijn dealer afdwingt dat ‘ie geen heroïne meer mag verkopen omdat dat ongezond is? De samenleving is grondig verslaafd aan de producten van Amerikaanse dealers zoals Microsoft, Google en Apple; als we ons daarvan afsluiten en alleen nog Linux gaan gebruiken kan je heftige afkickverschijnselen verwachten.

          1. Als ik (als Linux-gebruiker) zie hoe gebruikers van deze merken zich blijven laten misbruiken? Ja. Ik zou het ook kunnen vergelijken met hoe slachtoffers van huiselijk geweld vaak niet vertrekken. Ik denk dat er de zelfde psychologische mechanismen achter zitten, maar hier gebeurt het op een massaal collectief niveau.

            1. Helaas is er niet altijd een mogelijkheid om naar iets anders over te stappen. Zo zit ik nu nog aan software vast die enkel op Windows draait. Maar ik overweeg wel om binnenkort weer een test te doen wat ik mis op Linux. Voor telefoons is de keuze overigens ook beperkt mbt besturingssystemen.

            2. Vind m ver gaan, maar eigenlijk ben ik het er wel mee eens.

              Ik denk hetzelfde mechanisme waarmee senseo een succes werd. gemak (zucht) niet hoeven nadenken. Terwijl ‘normale’ koffie veruit goedkoper is. Over smaak begin ik niet want dat is subjecief. Vandaar ook “senseo generatie” 🙂

      3. Awel, de gehele overheid, inclusief politie en leger, gebruiken windows. De gevolgen daarvan zullen dus waarschijnlijk zijn dat in staatsbelang het auteursrecht op Windows niet meer gehandhaaft wordt, en iedereen vrij een gekraakte versie kan gebruiken. Microsoft wordt wegens machtsmisbruik aangeklaagd en krijgt flinke boetes opgelegd. MS loopt zo een hoop geld mis, waar geen enkel voordeel voor ze tegenoverstaat.

        Zal dus niet gebeuren.

        1. Waarom niet? Zit er niet ergens een staatsbelang-uitzondering op het auteursrecht? Volgens mij beschikt de Nederlandse overheid momenteel over de broncode van windows; ze zouden in zo’n geval dus een eigen windows-versie uit kunnen brengen en de beveiliging daarvan up-to-date kunnen houden. Features (incl. hardware-ondersteuning) van de staats-windows zullen dan wel achter gaan lopen op de microsoft-windows, maar op korte termijn hoeft dat voor ondersteuning van kritieke infrastructuur niet uit te maken. Elke upgrade wordt gedaan met Linux-machines, waardoor je de staats-windows langzaam kunt uitfaseren.

          Het zou een nogal ongebruikelijke stap zijn, en internationaal zal het wel voor wat gefronste wenkbrauwen zorgen. Om de internationale betrekkingen niet te veel onder druk te zetten zou gebruik van de staats-windows waarschijnlijk beperkt moeten blijven tot kritieke infrastructuur: anders ruikt het te veel naar staats-piraterij. Voor niet-kritieke producten (inclusief consumentenproducten) zo windows gewoon verboden moeten worden, omdat het niet conformeert aan de wet.

          1. Staatspiraterij… heeft Nederland toch nooit moeite mee gehad in het verleden. lees “roofstaat nederland” maar eens van Ewald van Vugt alles is waar en onderzocht wat daarin staat. andere discussie. Dus kom maar op met die NL windows versie. probleem is meteen het onderhoud…

            1. Nederland is maar heel korte tijd een supermacht geweest; voor de rest van de geschiedenis zijn we afhankelijk geweest van de goodwill van machtigere landen. Dat stond uitbuiting van de koloniën lange tijd niet in de weg, maar hier hebben we het over iets anders: een Nederlands staats-windows zou in gaan tegen de belangen van een veel machtiger land, de VS. Dus is het zaak om voorzichtig te manoeuvreren, en niet op de verkeerde tenen te stappen.

        2. Zou nu juist wel moeten gebeuren omdat de staat verplicht is om zijn burgers te beschermen en nu er bewijs is dat ze dat niet meer kunnen, zullen ze moeten. Zal wel een tour worden om naar een ander systeem te gaan, maar ze werken nu ook al samen met IBM, een andere kwade geest. Misschien tijd voor echt een nieuwe insteek.

          Maarja de Nederlandse Staat mag ook liegen tegen zijn burgers, zie o.a. het pikmeer arrrest.

      4. Dan is het mogelijk voordeliger voor MS om de spreekwoordelijke stekker uit de Nederlandse markt te trekken

        Nou zit er best wel geld in goede informatie over je klanten, maar vergeleken bij de totale Nederlandse markt voor operating systems valt dat natuurlijk totaal in het niet. Dus dat gaat niet gebeuren. Zo florissant staat Microsoft er ook niet voor.

  3. Het nieuwsbericht bevat informatie over een onderzoek van de Autoriteit Persoonsgegevens maar wat ontbreekt in het nieuwsbericht is de wijze waarop de AP hierover richting Microsoft communiceert. Heeft Microsoft van het AP een verplichting opgelegd gekregen om het probleem op te lossen bijvoorbeeld door betere informatieverstrekking en het afdwingen van expliciete toestemming van gebruikers. En als een verplichting is opgelegd is deze ook afdwingbaar, oftewel is daarbij een termijn gesteld en is daarbij een dwangsom of mogelijke boete van toepassing als Microsoft het probleem niet oplost?

    Het is wat vreemd om in een nieuwsbericht wat te roepen over een onderzoeksresultaat zonder er enige consequentie in de handhavingstaak bij te vermelden die dat onderzoeksresultaat ten gevolge heeft.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.