Autoriteit Persoonsgegevens: Microsoft verwerkt gegevens gebruikers Windows 10 in strijd met de Wbp

De Autoriteit Persoonsgegevens maakte vandaag bekend dat uit een onderzoek naar Windows 10 Home en Windows 10 Pro is gebleken dat Microsoft zich niet aan de Wet bescherming persoonsgegevens houdt. Via deze besturingssystemen verwerkt Microsoft persoonsgegevens van de gebruikers op een wijze die in strijd is met de wet.

Te weinig informatie en dus geen geldige toestemming

Microsoft verzamelt via Windows 10 voortdurend technische prestatie- en gebruiksgegevens: zogeheten ’telemetriegegevens’. Gebruikers hebben de keuze tussen standaard telemetrie (beperkte gegevens) en volledige telemetrie.

Op dat laatste punt gaat het bij Microsoft mis. Microsoft geeft namelijk onvoldoende informatie over de soorten gegevens die zij bij volledige telemetrie verzamelt en over de doeleinden waarvoor die gegevens worden gebruikt. Dat gebrek aan informatie heeft tot gevolg dat mensen niet geïnformeerd kunnen instemmen met die verwerking. Hun toestemming voor verwerking is dan niet rechtsgeldig gegeven in de zin van de Wbp.

Opt-out in plaats van opt-in

Bovendien geven veel gebruikers van Windows 10 niet ondubbelzinnig toestemming voor volledige telemetrie. Microsoft werkt namelijk met een ‘op-out’ systeem: gebruikers moeten zelf de instellingen wijzigen om te voorkomen dat Microsoft alle telemetriegegevens verzamelt. Het achterwege laten van die wijziging, is niet hetzelfde als het geven van toestemming in de zin van de Wbp. De werkwijze van Microsoft is bovendien in strijd met het beginsel van ‘privacy by default‘: het uitgangspunt dat de standaardinstellingen het hoogste niveau van privacy bieden.

Waarschuwing, (nog) geen boete

Microsoft heeft zelf aangegeven de overtredingen te willen aanpakken. Daar krijgt Microsoft nu ook de gelegenheid voor. Gebeurt dit niet, of niet voldoende, dan kan de Autoriteit Persoonsgegevens overgaan tot sancties.

Bron: Nieuwsbericht Autoriteit Persoonsgegevens 13 oktober 2017