Nieuws

oktober 16, 2017

Microsoft Windows 10 schendt privacy

Uit onderzoek, dat gedaan is door de Autoriteit Persoonsgegevens (AP), is gebleken dat Microsoft zijn privacy beleid niet op orde heeft. Het besturingssysteem Windows 10 verzamelt persoonlijke gegevens zonder duidelijk om toestemming te vragen. In Nederland zijn meer dan 4 miljoen actieve apparaten aanwezig waarop dit besturingssysteem is geïnstalleerd.

Telemetrie
Via telemetrie, op afstand meten, werden verschillende gegevens verzameld die gebruikt worden voor verschillende doeleinden. Hierbij kan gedacht worden aan de werking van het systeem, maar ook aan het beïnvloeden van de gebruiker. Microsoft bood twee niveaus van telemetrie aan, standaard en volledig. Sinds april 2007 werd het verzamelen van gegevens bij standaard telemetrie beperkt, gevoelige gegevens van gebruikers werden niet meer verzameld. Wel bleef de volledige telemetrie actief, op dit niveau worden veel persoonlijke gegevens verzameld zoals het gebruik van verschillende apps, gegevens over het websurfgedrag en inhoud van handgeschreven documenten.

Persoonlijke gegevens
Het is logisch dat Windows bepaalde gegevens nodig heeft om zijn besturingssysteem te optimaliseren, sommige gegevens zijn hierbij noodzakelijk. Maar deze gegevens worden niet verzameld aan de hand van telemetrie. Bij laatstgenoemde worden als het ware foto’s gemaakt van het computergedrag en deze worden naar Microsoft gestuurd. Op deze manier worden alle acties van de gebruiker in kaart gebracht, ook apps waar gevoelige informatie wordt weergegeven, bijvoorbeeld een app welke details van een zwangerschap bijhoudt. Met de verzamelde gegevens over iemands gedrag worden gericht aanbevelingen of advertenties getoond aan de betreffende persoon.

Informeren
Wanneer een bedrijf persoonlijke informatie verwerkt, moet u hiervan een melding maken zodat de gebruiker op de hoogte is. Daarnaast moet duidelijk zijn voor welke doeleinden de gegevens worden gebruikt en hoelang men de gegevens bewaart. Microsoft laat dit onvoldoende weten en heeft daarnaast de standaardinstellingen, bij installatie van Windows 10, ingesteld op volledige telemetrie. De gebruiker wordt hier gevraagd om de aangeboden standaardinstellingen te accepteren, zonder dat ze weet hebben van de gevolgen. Ook staat standaard ‘Aan’ dat Microsoft de telemetriegegevens mag gebruiken voor het tonen van gepersonaliseerde advertenties. Op deze manier wordt er toestemming gevraagd van de gebruikers, maar is dit correct? De definitie van toestemming uit de Algemene Verordening Gegegevensbescherming (AVG) (artikel 4, lid 11) luidt als volgt: “Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een duidelijke actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.” Van een duidelijke actieve handeling is in het geval van Microsoft geen sprake, de handeling is namelijk al uitgevoerd door Microsoft zelf. Daarnaast is de verklaring van de Windows gebruiker niet als ondubbelzinnig te definiëren. Volgens de Autoriteit Persoonsgegevens schiet de informatie, die Microsoft geeft in het installatiescherm over de verschillende keuzemogelijkheden, tekort. Het wordt niet duidelijk dat Microsoft bij volledige telemetrie voortdurend gegevens verzamelt over het gebruik van apps en het surfgedrag.

Toepassen
Ook voor u geldt dat, wanneer u persoonsgegevens verwerkt, u de gebruiker voldoende moet informeren over het verzamelen van deze gegevens. Daarnaast hebt u de verantwoordelijkheid om deze gegevens te beschermen. Twijfelt u of uw verzamelde gegevens correct worden verwerkt, neem dan contact op met De Functionaris.