Autoriteit Persoonsgegevens opent de aanval op Microsoft’s Windows 10
Windows 10, niet het meest privacy-vriendelijke besturingssysteem. Dat is de Europese toezichthouders ook opgevallen. De Autoriteit Persoonsgegevens heeft gisteren bekend gemaakt samen met andere Europese toezichthouders Microsoft’s Windows 10 verder te onderzoeken. Zij maken zich zorgen over de naleving van de fundamentele privacy beginselen door Microsoft. Dit is niet alleen interessant omdat veel mensen gebruik maken van Windows 10, maar ook in het licht van de beginselen privacy-by-design en privacy-by-default die in de Algemene Verordening Gegevensbescherming zijn vastgelegd.
Privacy-by-default: schuifjes standaard aan?
Windows 10 is een goed voorbeeld van hoe het niet moet als je het hebt over privacy-by-default. Standaard staan alle schuifjes aan: pas je de instellingen niet aan dan wordt er van alles over jou gedeeld. Dat ziet er zo uit:
De default instelling zorgt er dus voor dat zonder menselijke tussenkomst data over de gebruiker standaard wordt gedeeld. Dat is op zich al niet in lijn met de privacybeginselen, maar welke data precies met wie gedeeld wordt blijft voor de gebruiker ook nog eens onduidelijk.
Zorgen bij EU privacy adviesorgaan
Ondanks dat Microsoft in januari dit jaar aankondigde verbeteringen aan te brengen in haar systeem, geeft de Artikel 29 Werkgroep (EU privacy adviesorgaan) aan dat ze nog steeds haar bedenkingen heeft over de rechtmatigheid van de verwerkingen door Microsoft. Ze maakt zich zorgen over:
– de hoeveelheid en soorten gegevens die wordt verwerkt;
– de standaard privacy (onvriendelijke)instellingen; en
– het gebrek aan controle door de gebruiker over wat er bij Microsoft met hun gegevens gebeurt.
Wat gaat er nu precies niet goed in de ogen van de toezichthouder?
Persoonsgegevens mogen alleen dan worden verwerkt indien er een grondslag voor is. Microsoft gebruikt hiervoor de toestemmingsgrondslag: de gebruiker stemt in met de privacy voorwaarden. En juist met die toestemming gaat het mis. Mensen kunnen alleen rechtsgeldig toestemming voor de verwerking van hun persoonsgegevens geven als zij;
– volledig zijn geïnformeerd;
– precies weten waar ze toestemming voor geven; en
– die toestemming vrij hebben kunnen geven.
Daarnaast mogen persoonsgegevens alleen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen. Dat is nou precies wat Microsoft nalaat. De verwerking van persoonsgegevens binnen Windows 10 is weinig transparant en ook is niet vooraf duidelijk voor welk doeleinde die gegevens door Microsoft worden verwerkt.
Microsoft maakt geïnformeerde keuze onmogelijk
Microsoft biedt als oplossing dat er door de gebruiker gekozen kan worden in de privacy instellingen tussen twee opties: ‘full’ en ‘basic’. Maar een toelichting op het exacte verschil tussen die privacy niveaus ontbreekt. Aan de gebruiker wordt niet uitgelegd welke gegevens er bij de ene optie wel en bij de andere niet worden gedeeld. De opties maken het dus niet transparanter en naar mijn mening is het maken van een geïnformeerde keuze daardoor een illusie. Zonder de essentiële informatie omtrent hoeveelheid, soorten en ontvangers van de gegevens kan de gebruiker geen geïnformeerde keuze maken en is de toestemming ongeldig.
Na Whatsapp en Facebook is nu Microsoft aan de beurt. Het lijkt erop dat de Autoriteit Persoonsgegevens haar ambitie voor 2017, een actievere toezichthouder op ongebreidelde gegevensverwerking, waar wil maken.
Bent u benieuwd of uw toepassingen in lijn zijn met de beginselen van privacy-by-design en privacy-by-default? Ik denk graag met u mee.