2 maart 2017 - 2 minuten leestijd
De Autoriteit Persoonsgegevens (‘AP’) maakt zich zorgen om de wijze waarop persoonsgegevens worden verwerkt in het meest recente besturingssysteem van Microsoft: Windows 10. In samenwerking met de privacy toezichthouders uit Beieren, Frankrijk, Hongarije, Slovenië, Spanje en het Verenigd Koninkrijk zal de AP onderzoek gaan doen door de verwerking van persoonsgegevens in Windows 10.
De privacy toezichthouders hebben Microsoft geïnformeerd dat zij zich vooral zorgen maken om de hoeveelheid en soort gegevens die door middel van Windows 10 verwerkt worden. Persoonsgegevens mogen slechts worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen. Daarnaast mogen er niet meer gegevens worden verwerkt dan noodzakelijk is voor de verwezenlijking van deze welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen.
De privacy toezichthouders vermoeden dat Microsoft zich met Windows 10 niet houdt aan de verplichtingen bij het verwerken van persoonsgegevens. Zo zouden gebruikers onvoldoende mogelijkheden hebben om de verwerking van hun persoonsgegevens te controleren. Daarnaast zou Microsoft onvoldoende informatie verstrekken voordat gebruikers hun toestemming geven voor de verwerking van hun persoonsgegevens. Indien onvoldoende informatie is verstrekt, is de toestemming ongeldig. Daarnaast is het een wettelijk vereiste dat bij “stilzitten” van de gebruiker, dus de situatie zonder dat de gebruiker een instelling wijzigt, de privacy van de gebruiker optimaal beschermd wordt. Deze zogenaamde standaardinstellingen moeten daarom de hoogst mogelijke mate van gegevensbescherming bieden.
De toezichthouders maken zich zorgen dat Microsoft deze fundamentele privacyregels niet naleeft. In een brief van 12 januari 2016 brachten zij dit al onder de aandacht van Microsoft. Microsoft gaf aan mee te willen werken en het installatieproces te zullen verbeteren om gebruikers daarmee meer controle te geven over de wijze waarop hun persoonsgegevens verzameld en verwerkt worden. Echter is dit niet voldoende om de zorgen bij de toezichthouders weg te nemen.
Zo noemt Microsoft de mogelijkheid dat gebruikers hun mate van gegevensdeling van “full” naar “basic” kan zetten en dat Microsoft hiermee “less data” zal verwerken. Dit is volgens de toezichthouders onvoldoende zonder verdere uitleg. Daarnaast gebruikt Microsoft persoonsgegevens voor persoonlijke reclames middels een “reclame ID”, een profiel waar adverteerders en app-ontwikkelaars toegang toe hebben. Dit mag niet zonder dat gebruikers daar expliciet toestemming voor hebben gegeven, en dus moet Microsoft de gebruikers beter informeren over het doel van de gegevensverwerking. Immers, zonder voldoende toelichting kan geen geïnformeerde toestemming worden gegeven en zou een eventuele toestemming niet geldig zijn.
De toezichthouders zullen onderzoek doen naar de verwerking van persoonsgegevens middels Windows 10. Gezien de boetebevoegdheden van de toezichthouders, waaronder een percentage van de wereldwijde omzet, kunnen overtredingen Microsoft duur komen te staan.
Marijn Storm, advocaat IT, IE & Privacy
Ook interessant?
