De Privacy Consultant
Meesters in het privacyrecht

Microsoft voldoet nog steeds niet aan de AVG

02-07-2019

"Rijksoverheid mag Windows 10 en Office blijven gebruiken na AVG-aanpassingen" schreef Tweakers gisteren.1 Dit naar aanleiding van een privacy impact assessment vorig jaar over het gebruik van Windows 10 door de overheid. Hierbij werd geconcludeerd dat Microsoft Office onrechtmatig gebruikersgegevens via telemetrie verzamelt en in de VS opslaat. 

Het gaat in dit geval om het verzamelen van loggegevens middels de telemetrie service. Microsoft heeft in vrijwel al haar producten een functie ingebouwd om het gebruik ervan te controleren. Dit is natuurlijk logisch, want Windows wordt op tal van hardware combinaties gebruikt. Indien Windows bij een bepaalde combinatie niet goed werkt, wil Microsoft dit immers verbeteren. Het doel van deze verzameling betreft dan ook om Windows up-to-date en veilig te houden, problemen op te lossen, en productverbeteringen aan te brengen.

Deze verzameling van gegevens bestaat uit veel verschillende meetgegevens: van het type hardware en geheugengebruik tot aan welke software gebruikt wordt. Op basis van deze grote gegevensset, kan Microsoft veel aspecten van het privéleven van iemand achterhalen. Het gehele werkritme kan bijvoorbeeld worden weergegeven op grond van het ConnectivityHeartBeat datapunt. Dit datapunt registreert wanneer iemand zijn laptop openmaakt en Windows weer actief wordt.

Reeds in 2017 heeft de Autoriteit Persoonsgegevens geconcludeerd dat Microsoft gegevens verwerkt in strijd met de wet.2 De grondslag voor deze verwerking ontbreekt, de gebruiker kan geen toestemming geven en de verwerking voldoet niet aan het privacy-by-default principe. Microsoft heeft kennelijk zeer weinig verbeteringen doorgevoerd, want de punten die de AP destijds heeft opgemerkt, zijn nog steeds niet verbeterd.

Tijdens de installatie van Windows 10 Home staan standaard alle vinkjes voor het verzamelen van gegevens aangevinkt. Dit betekent bijvoorbeeld dat, indien Edge als browser wordt gebruikt, gegevens worden verzameld over welke website de gebruiker bezoekt. 

Indien de Pro versie wordt geïnstalleerd, zit er een klein verschil in de wijze waarop de privacy instellingen moeten worden geselecteerd. Waar er bij de Home versie gebruik wordt gemaakt van een overzichtspagina waarin alle privacy instellingen aan of uit kunnen worden gezet, wordt bij de Pro versie per privacy optie een apart scherm getoond. Hierbij wordt een kleine rand om de minst privacy-vriendelijke optie gezet, zodat het lijkt alsof deze optie de voorkeur heeft.3

Tijdens de installatie kan op een "Learn more" knop worden geklikt, indien men meer wilt weten over hoe Windows omgaat met de privacy van de gebruiker. Hierbij wordt echter niet vermeld dat, met de standaard instellingen, gegevens worden verzameld over bijvoorbeeld welke websites bezocht worden. De tekst die getoond wordt tijdens de installatie, is voorts niet hetzelfde als de tekst op de website van Microsoft zelf.4

Naast de standaard geselecteerde niet-privacy vriendelijke opties, wordt nimmer standaard de Diagnostic Data Viewer geïnstalleerd. Gebruikers kunnen niet hun telemetriegegevens inzien, tenzij deze Viewer wordt geïnstalleerd. Na de installatie kunnen zij echter niet de gegevens inzien die reeds zijn verzameld. Zelfs indien deze is geïnstalleerd, is het voor een niet-technisch persoon uitermate lastig om zijn gegevens in te zien. Na het bezoeken van de website tweakers.net, wordt bijvoorbeeld het volgende gegeven vastgelegd:

"navigationUrlBytes": "0x64747765616B6572732E6E6574" 5

Hoewel het gebruik van websites kan worden uitgezet, wordt er altijd een basisset aan gegevens verzameld. Hierdoor kan Microsoft bijvoorbeeld nog steeds het werkritme en andere aspecten van het privéleven achterhalen.

De voorgaande problematiek vindt plaats tijdens de installatie. Daarnaast zijn er problemen met individuele applicaties. Het gebruik van de standaard Windows Rekenmachine kan 43 verschillende meetgegevens opleveren. Hierbij kan gedacht worden aan de gebeurtenis dat de rekengeschiedenis wordt verwijderd, de navigatiebalk wordt geopend of wanneer er sprake is van een syntaxfout in de rekensom. Het kan voorkomen dat een rekensom in de rekenmachine wordt gekopieerd. In dat geval kan de gekopieerde tekst ook door Microsoft worden verwerkt. In het geval de gebruiker per ongeluk zijn wachtwoord hierin kopieert, wordt dientengevolge het wachtwoord naar Microsoft verstuurd. Deze mogelijkheid is onlangs uit de broncode gehaald, maar onbekend is wanneer gebruikers dit zullen merken.6

De rekenmachine is echter een kleine applicatie vergeleken met andere Microsoft producten, zoals Microsoft Office. In de grotere applicaties zullen vele duizenden verschillende meetpunten worden verzameld. Het is niet te achterhalen welke meetpunten precies worden gebruikt. Microsoft zelf geeft hier geen openheid over.

Conclusie

Op grond van het voorgaande kan worden geconcludeerd dat Microsoft nog steeds niet voldoet aan de AVG. Hetgeen de AP in 2017 heeft geconcludeerd, kan wederom worden herhaald. De werkwijze van Microsoft bij het verzamelen van telemetriegegevens is onvoorspelbaar. Er zijn teveel verschillende doeleinden voor deze verzameling en derhalve ontbreekt een duidelijke grondslag voor de verwerking.

Voor de verwerking is toestemming vereist. Hiervoor moet informatie aan de gebruiker worden verstrekt op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal.7 Microsoft verstrekt echter slechts een algemeen beleid, dat kennelijk voor alle applicaties moet gelden. Navraag bij Microsoft levert voorts weinig specifieke informatie op over welke applicaties welke gegevens verwerken. De gebruiker kan dientengevolge geen juiste toestemming verlenen, de informatie is te generalistisch. Een organisaties zoals Microsoft moet minimaal per applicatie kunnen aangeven welke soort persoonsgegevens worden verwerkt. Daarnaast kan de gegevensverzameling niet worden uitgezet.

Wellicht het meest lastige om te begrijpen voor gebruikers, is het feit dat Microsoft kennelijk wel privacy-vriendelijk jegens de overheid wil zijn, maar dit niet lijkt door te voeren naar burgers en andere organisaties.

Wilt u weten of de software die u gebruikt of zelf ontwikkelt voldoet aan de AVG? Neem dan vrijblijvend contact met ons op.

 

Voetnoten

  1. https://tweakers.net/nieuws/154646/rijksoverheid-mag-windows-10-en-office-blijven-gebruiken-na-avg-aanpassingen.html
  2. https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-microsoft-verwerkt-gegevens-windowsgebruikers-strijd-met-wet.
  3. Dit blijkt uit het feit dat, indien er op de spatie wordt geklikt, deze privacy-onvriendelijke optie geselecteerd wordt.
  4. Vergelijk https://superuser.com/questions/1199502/windows-10-creators-update-review-privacy-settings-for-your-device/1199724#1199724 met https://support.microsoft.com/nl-nl/help/4468236/diagnostics-feedback-and-privacy-in-windows-10-microsoft-privacy.
  5. Deze hexadecimale notatie wordt vertaald naar "navigationUrlBytes": "dtweakers.net".
  6. https://github.com/microsoft/calculator/pull/286.
  7. Artikel 12 lid 1 AVG.