Microsoft handelt in strijd met de wet met Windows 10

16 oktober 2017

De Autoriteit Persoonsgegevens (AP) heeft onderzocht hoe Microsoft (september 2017) omgaat met persoonsgegevens in Windows 10 Home en Pro. Uit dit onderzoek blijkt dat de manier waarop Microsoft dit doet, in strijd is met de wet. Op veel scholen wordt gebruik gemaakt van Windows 10 en gebruikers moeten zelf hun instellingen aanpassen.

Microsoft verwerkt via Windows 10 gegevens van mensen die dit besturingssysteem op hun computer hebben geïnstalleerd en dit gebeurt in strijd met de wet, zo luidt de conclusie van het rapport. Microsoft informeert gebruikers niet duidelijk over welke gegevens zij voor welke doelen gebruikt. Ook kunnen mensen door de werkwijze van Microsoft geen rechtsgeldige toestemming geven voor de verwerking van hun gegevens. Het bedrijf vertelt niet dat het bij de standaardinstellingen voortdurend gegevens verzamelt over het gebruik van apps en het surfgedrag via de browser Edge. Microsoft heeft aangegeven de overtredingen te willen beëindigen. Als dit niet gebeurt, kan de AP besluiten Microsoft een sanctie op te leggen.

Gebruikers gebrek aan controle

In Nederland zijn er meer dan 4 miljoen actieve apparaten met Windows 10 Home en Pro. Microsoft verzamelt continu technische prestatie- en gebruiksgegevens (bijvoorbeeld welke apps zijn geïnstalleerd en, als de gebruiker de standaardinstellingen niet heeft gewijzigd, hoe vaak ze worden gebruikt en welke sites worden bezocht) over deze apparaten. Microsoft maakt als het ware non-stop foto’s van het computergedrag van Windowsgebruikers en stuurt dit naar zichzelf.
Door de werkwijze van Microsoft hebben de gebruikers gebrek aan controle over hun gegevens. Ze weten niet welke gegevens waarvoor worden gebruikt, noch dat er op basis van deze gegevens gepersonaliseerde advertenties en aanbevelingen aan hen kunnen worden getoond, als de gebruikers dit bij installatie, of daarna, niet hebben uitgeschakeld.

Instellingen aanpassen

Microsoft wordt verplicht om de instellingen aan te passen. Maar zolang dit niet gebeurd is, wordt de privacy geschonden. En dit kan nadelig zijn voor een school als leerlingen en medewerkers werken op een apparaat met Windows 10, dat door de school is verstrekt. Dan is het noodzakelijk dat de school zelf de instellingen aanpast. Scholen zijn namelijk verplicht om veilig en verantwoord met de persoonsgegevens van hun leerlingen en medewerkers om te gaan. Het schoolbestuur is hier verantwoordelijk voor.
Door zelf de instellingen aan te passen voorkom je de privacyschending van medewerkers en leerlingen. De handleiding 'Privacyvriendelijk instellen Windows 10' van de Autoriteit Persoonsgegevens, helpt je hierbij.
Het is mogelijk een aantal wijzigingen in de instellingen voor de hele organisatie door te voeren, via zogenoemde grouppolicies. Daardoor hoeven individuele gebruikers Windows 10 niet zelf aan te passen. Vraag de systeembeheerder op school hierbij te helpen.

Toestemming

Microsoft heeft rechtsgeldige toestemming van de gebruikers nodig om hun gegevens te mogen verwerken. Volgens de AP verzamelt Microsoft voortdurend technische prestatie- en gebruiksgegevens, ook wel telemetriegegevens genoemd, op de ruim 4 miljoen apparaten in Nederland waarop Windows 10 is geïnstalleerd. Hierbij worden er 'als het ware non-stop foto's van het computergedrag van Windowsgebruikers gemaakt' en naar Microsoft gestuurd. Hiervoor moeten mensen onder meer goed zijn geïnformeerd, ze moeten precies weten waar zij mee instemmen en dat is niet het geval. Daarnaast moeten gebruikers er actief voor kiezen om de volledige set met persoonsgegevens te delen. Zonder keuze wordt alleen een standaard set met gegevens gedeeld.

Informatiebeveiliging en privacy

Scholen zijn verplicht om informatiebeveiliging en privacy (IBP) goed te regelen. Om scholen daarbij te helpen, hebben de PO-Raad, VO-raad en Kennisnet het stappenplan 'Aanpak informatiebeveiliging en privacy' ontwikkeld. Dit is een online en stapsgewijze workshop voor schoolbestuurders, ict-coördinatoren en docenten. In drie stappen kunnen scholen zelf IBP goed regelen en blijven zo voldoen aan de privacywetgeving en uitgangspunten voor informatiebeveiliging.