020 530 0160

AP: verwerking persoonsgegeven door Microsoft Windows 10 is in strijd met de Wbp

Gepubliceerd op 18 oktober 2017 categorieën , , ,

Op 13 oktober jl. publiceerde de Autoriteit Persoonsgegevens (AP) haar onderzoek naar de verwerking van persoonsgegevens door Microsoft. Uit het onderzoek blijkt dat Microsoft, met  de nieuwste versie van Windows, persoonsgegevens van de gebruikers in strijd met de wet verwerkt.

 

Soorten persoonsgegevens

Met haar dienst verzamelt Microsoft telemetrische gegevens: dit zijn gegevens over de technische prestatie- en gebruikersgegevens van een apparaat. Via telemetrie worden een aantal gegevens verzameld, zoals allerlei unieke identifiers, in combinatie met gegevens over hard- en software en de daarmee verbonden apparaten. In Windows 10 kunnen gebruikers hun niveau van telemetrie wijzigen. Sinds april 2017 biedt Microsoft twee niveaus van aan: standaard of volledig. Hoe hoger je telemetrieniveau staat, hoe meer gegevens Windows verzamelt. Bij het instellen van ‘volledige’ telemetrie, verzamelt Microsoft gedetailleerde gegevens over appgebruik, surfgedrag via Edge en een deel van de inhoud van de documenten die met elektronische pen worden geschreven.

 

Gevoelige gegevens

Bepaalde gegevens die Microsoft verzamelt, worden door de AP gezien als ‘gevoelige persoonsgegevens’. Een begrip dat in publicaties van de AP al vaak voorbij is gekomen. Het gaat bijvoorbeeld om informatie over hoe vaak een gebruiker de Turkse krant leest, een app gebruikt die gericht is op homoseksuelen of een app aanzet die islamitische gebedstijden aangeeft. Deze gegevens zouden zelfs in sommige gevallen ‘bijzondere persoonsgegevens’ kunnen worden aangemerkt. Het gaat namelijk om persoonsgegevens die verband houden met iemands ras, godsdienst en seksuele leven. Deze vormen van persoonsgegevens worden in de Wet bescherming persoonsgegevens als ‘bijzondere persoonsgegevens’ aangemerkt en daar is uitdrukkelijke toestemming voor vereist.

 

Standaardinstellingen

Bij de installatie van Windows 10 staat de telemetrie standaard op ‘volledig’ en wordt de gebruiker gevraagd om deze (en andere) standaarinstelling(en) te accepteren.  Bovendien mag Mircrosoft op basis van de standaardinstellingen gepersonaliseerde advertenties tonen en aanbevelingen doen in Windows 10.

 

Grondslag

Volgens Artikel 11.7a van de Telecommunicatiewet heeft Microsoft toestemming van een gebruiker nodig om gegevens op te slaan en voor het uitlezen van gegevens van hun randapparatuur. De AP oordeelde dat Microsoft geen geldige vorm van toestemming verkrijgt in de zin van de Telecommunicatiewet, omdat zij gebruikers niet genoeg informeert over de doeleinde(n) van de verwerking. De doeleinden waarvoor Microsoft de persoonsgegevens verwerkte waren niet duidelijk omschreven. Ook bleek Microsoft niet in staat te zijn vooraf te bepalen welke verzamelde persoonsgegevens voor welke doeleinde werden gebruikt. Na een update bleek Microsoft wel een onderscheid te maken naar de doeleinden waarvoor telemetriegegevens worden verwerkt. Echter, de doeleinden zijn (nog steeds) zeer algemeen geformuleerd en de verwerking van de persoonsgegevens is niet transparant genoeg.

 

Voorts is het volgens de AP niet duidelijk dat Microsoft bij ‘volledige’ telemetrie gegevens verzamelt over het gebruik van apps en het surfgedrag van gebruikers via Edge. Gebruikers weten zo niet waar ze ja op zeggen wanneer zij toestemming (zouden) geven voor de verwerking van hun persoonsgegevens. Gebruikers hoeven niet zelf uit te zoeken welke gegevens Microsoft over hen verwerkt. De toestemming kan bij het gebrek aan de bovengenoemde informatie noch geïnformeerd, noch specifiek zijn.

 

Microsoft kan volgens de AP evenmin een beroep doen op de ondubbelzinnige toestemming van de gebruikers ingevolge de Wet bescherming persoonsgegevens. De toestemming is niet ondubbelzinnig, omdat deze verkregen wordt via standaardinstellingen. Bij ondubbelzinnige toestemming in de zin van de Wet bescherming persoonsgegevens mag er geen twijfel bestaan over de vraag of een betrokkene al dan niet heeft ingestemd met de verwerking van zijn persoonsgegevens. Microsoft werk met opt-out mogelijkheden. Dat iemand de standaardinstellingen niet wijzigt wil niet zeggen deze dat diegene ondubbelzinnig instemt met de verwerking van diens persoonsgegevens.

 

Tenslotte kan Microsoft  volgens de AP ook geen beroep doen op de grondslag van gerechtvaardigd belang. Het bedrijf handelt namelijk in strijd met de Telecommunicatiewet (artikel 11.7a) en geeft niet duidelijk aan welke persoonsgegevens worden verwerkt en voor welke doeleinden. Bovendien wijst de AP op de gevoeligheid van de verwerkte gegevens. De verwerking van gevoelige persoonsgegevens dient gepaard te gaan met extra waarborgen voor de betrokkenen. Het belang van Microsoft weegt dan ook niet op tegen het recht op bescherming van de persoonlijke levenssfeer van de betrokkenen, aldus de AP. 

 

Het onderzoek van de Autoriteit Persoonsgegeven is hier te vinden.

 

Auteur: Davide Ballestrero

Bron: autoriteitpersoonsgegevens.nl
Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Nina Lodder

publicaties

Gerelateerde artikelen