Tag: windows 10

About windows 10

Subscribe Feeds

Gegevensverwerking in Windows 10 via telemetrie is in strijd met wet

Geplaatst op in Privacy, 38 reacties

De Autoriteit Persoonsgegevens heeft op basis van een eigen onderzoek geconcludeerd dat Microsoft de wet overtreedt door de manier waarop het in Windows 10 gegevens verwerkt. Dat meldde Tweakers vorige week. Uit het onderzoek blijkt dat Microsoft allerlei gegevens van de gebruikers verzamelt, zoals de namen, wachtwoorden, geboortedata, het geslacht, telefoonnummers en e-mailadressen. Dit wordt onder het mom van “telemetrie” doorgestuurd naar Microsoft, maar onduidelijk blijft wat er dan precies mee gebeurt.

Het 241 pagina’s tellende onderzoeksrapport maakt duidelijk dat Microsoft bij gebruikers van Windows 10 voortdurend technische prestatie- en gebruiksgegevens verzamelt van elk apparaat waarop het is geïnstalleerd. Dat heet dan met een mooi neutraal woord “telemetriegegevens”, maar het zijn natuurlijk persoonsgegevens – ze onthullen informatie over de gebruiker, zoals welke apps hij gebruikt of websurfgedrag. Dat is eigenlijk nauwelijks te verantwoorden zonder duidelijke informatie en apart verkregen toestemming.

In de eerste versies van Windows 10 was allesbehalve duidelijk wat er nu precies werd verzameld en voor welk doel. De zogeheten Creators Update veranderde een en ander. Microsoft verduidelijkte dat de telemetriegegevens voor vijf doeleinden gebruikt konden worden:

  1. Fouten oplossen
  2. Apparaten up-to-date en veilig houden
  3. Het verbeteren van Microsoft producten en diensten.
  4. Het tonen van gepersonaliseerde reclame in Windows en Edge, inclusief reclame voor alle apps uit de Windows store
  5. Het tonen van gepersonaliseerde reclame in apps

Die laatste twee waren uit te schakelen, en voor die eerste twee valt wel te verdedigen dat dat misschien wel nodig is in de relatie leverancier-gebruiker. Alleen, bij het onderzoek bleek dat ontwikkelaars nieuwe toepassingen van de data konden implementeren zonder dat daar apart opnieuw melding van (laat staan toestemming voor) gevraagd werd. Een algemene opt-out was er wel, maar dat is niet genoeg (zeker niet omdat ie niet alles outte).

En dat kan gewoon niet, onder de Wbp niet en onder de AVG niet:

Door de combinatie van doeleinden waarvoor de verzamelde gegevens kunnen worden verwerkt en het gebrek aan transparantie, kàn Microsoft geen grondslag verkrijgen voor de gegevensverwerking, zoals toestemming of noodzaak voor de behartiging van haar gerechtvaardigd belang. Daarom kan ook geen sprake zijn van een gerechtvaardigd doeleinde voor de gegevensverwerking bij volledige telemetrie. Daarnaast geldt dat de eerste vier doeleinden zeer algemeen zijn geformuleerd, en daarmee niet voldoen aan het vereiste uit artikel 7 van de Wbp dat doeleinden welbepaald moeten zijn, en uitdrukkelijk omschreven.

Een belangrijk punt waarop Microsoft onderuit gaat, is de informatievoorziening. Nergens is in detail te lezen wat men nu precies verzamelt, laat staan wat daarmee gebeurt. Zelfs systeembeheerders kunnen niet zien wat er allemaal naar Microsoft gaat.

De typische ICT praktijk om in privacyverklaringen “Wij mogen alles doen onder het kader van verbetering van de gebruikservaring” op te nemen en dan te zeggen “dan moet je maar Linux gebruiken” als mensen het niet snappen, is dus eenvoudigweg niet toegestaan onder privacywetgeving. Je moet specifiek en gericht zeggen wat je gaat doen, en als je andere dingen wilt gaan doen dan moet je daar apart op terugkomen. Dat gaat nog een uitdaging worden volgend jaar.

Arnoud

De cookiewet is dus gemaakt om stiekeme Windows 10-preloads tegen te gaan

Geplaatst op in Intellectuele rechten, Privacy, 27 reacties

windows-10-update-downloadMicrosoft schendt de Europese cookiewet met het automatisch en stilletjes downloaden van Windows 10-installatiebestanden op Windows 7 en 8.1. Dat schreef PCM gisteren op gezag van ondergetekende. Wie Windows 7 of 8 heeft, kan nu zomaar extragratis en stiekem een installatiebestand van 5 gigabyte op zijn harddisk hebben om naar Windows 10 te upgraden (kijk gerust even, ik wacht wel). En nee, dat mag niet van de cookiewet.

De cookiewet heeft een slechte naam omdat je op elke website apart weer toestemming moet geven voor vage cookies en andere dingen, en als je dat niet bevalt dan ga je maar een krant lezen of zo. Maar het idee was leuk: iedereen moet zélf kunnen bepalen wat er wordt gedownload naar of uitgelezen van zijn computer of telefoon. Daarom moet iemand die dat wil doen, uitleggen wat hij van plan is en daarna toestemming vragen.

Het gaat bij die wet niet alleen om cookies of andere dingen die enge privacydingen doen. Data is data. Ook ongevraagde toolbars en dergelijke vallen er gewoon onder, en ook updates aan software die al op je computer staat. Stiekeme updates aan die software mogen dus niet.

Maar is het stiekem? Je moet immers zelf Windows Update aanzetten. Ja, dat klopt, máár als ik Windows Update aanzet dan bedoel ik daarmee updates voor mijn Windowsversie te krijgen. Dat er af en toe een nieuwe browser bij zit, is eigenlijk al de grens. Een heel nieuw OS dat alleen de naam deelt met wat ik heb, dat is er echt ver overheen. Dat is gewoon geen ‘update’ meer van wat ik heb.

Ongetwijfeld staat er in de gebruiksvoorwaarden van Microsoft dat ik toestemming geef voor alles dat Microsoft naar mijn computer wil downloaden. En zonder te lezen durf ik wel te zeggen dat de privacyverklaring mij volledig gerust zal stellen dat men het beste met me voor heeft, mijn privacy niet zal schenden en alleen maar enge cybercriminelen wil tegenhouden en botnets wil indammen door verouderde software tijdig te verversen. Bovendien is Windows 10 gratis, dus ik heb juridisch geen schade en dus geen poot om op te staan. (De Microsoft-PR-meelbal over verbeterde gebruikerservaring kwam al langs maar zal ik u besparen.)

Dat zal allemaal best maar daar trekt de cookiewet zich niets van aan. Informeren en toestemming vragen moet expliciet gebeuren. “Wilt u updates ja/nee” is géén expliciete vraag “mogen wij tzt ook Windows 10 naar u pushen”. Net zo min als “Deze site gebruikt cookies ok/ikgaweg” een expliciete vraag is om cookies te mogen plaatsen. Je moet in de vraag zelf al een hint geven, en pas daarna mag je verwijzen naar de cookie- of privacyverklaring voor nadere toelichting.

Bij PCM ziet Simon Hania het anders:

Hij denkt dat Microsoft nog wel binnen de wet blijft omdat het hier gaat om ‘een door de gebruiker gevraagde dienst’. De cookiewet vereist namelijk óf ondubbelzinnige toestemming óf noodzakelijkheid voor de gevraagde dienst. “Ik denk dat het aanvinken van ‘ik wil upgrades en updates’ kwalificeert als het eerste. Dat het een versie-upgrade is, maakt niet uit.”

Oftewel, u heeft gevraagd om updates, dan krijgt u updates. Net zoals wanneer ik ga winkelen bij een webshop, ik cookies krijg om mijn winkelwagentje mogelijk te maken of ik niet meer hoef in te loggen als ik aanvink “Onthoud mijn login via een cookie”. Het argument is op zich valide, alleen kom je alsnog bij hetzelfde punt uit: is Windows 10 een update van Windows 8?

Voor mij is dat evident een ‘nee’. Een update lost problemen op of verbetert de functionaliteit die ik heb. Een nieuwe release is géén update, niet per definitie en niet volgens de “kom nou”-toets (het broertje van de giecheltoets). Windows 10 is geen plusje op Windows 8.

Arnoud