Microsoft verwerkt via Windows 10 gegevens van mensen die dit besturingssysteem op hun computer hebben geïnstalleerd. Dit gebeurt volgens de Autoriteit Persoonsgegevens (AP) in strijd met de wet.

Volgens de AP informeert Microsoft gebruikers niet duidelijk over welke gegevens zij voor welke doelen gebruikt. Ook kunnen mensen door de werkwijze van Microsoft geen rechtsgeldige toestemming geven voor de verwerking van hun gegevens. Het bedrijf vertelt niet dat het bij de standaardinstellingen voortdurend gegevens verzamelt over het gebruik van apps en het surfgedrag via de browser Edge. Microsoft heeft aangegeven de overtredingen te willen beëindigen. Als dit niet gebeurt, kan de AP besluiten Microsoft een sanctie op te leggen.

Foto’s van computergedrag
In Nederland zijn er meer dan 4 miljoen actieve apparaten met Windows 10 Home en Pro. Microsoft verzamelt continue technische prestatie- en gebruiksgegevens (bijvoorbeeld welke apps zijn geïnstalleerd en, als de gebruiker de standaardinstellingen niet heeft gewijzigd, hoe vaak ze worden gebruikt en welke sites worden bezocht) over deze apparaten. Deze gegevens worden telemetriegegevens genoemd. Microsoft maakt als het ware non-stop foto’s van het computergedrag van Windowsgebruikers en stuurt dit naar zichzelf.

Gebrek aan controle
Door de werkwijze van Microsoft hebben de gebruikers gebrek aan controle over hun gegevens. Ze weten niet welke gegevens waarvoor worden gebruikt, noch dat er op basis van deze gegevens gepersonaliseerde advertenties en aanbevelingen aan hen kunnen worden getoond, als de gebruikers dit bij installatie, of daarna, niet hebben uitgeschakeld. “Het blijkt dat Microsofts besturingssysteem ongeveer iedere stap die je op je computer zet, volgt. Dat levert een indringend beeld van jou op”, zegt Wilbert Tomesen, vicevoorzitter van de AP. “Wat betekent dat? Weten mensen dat, willen ze dat? Microsoft moet mensen een eerlijke kans geven hier zelf over te beslissen.”

Standaard en volledige telemetrie
Microsoft biedt twee niveaus van telemetrie aan: standaard en volledig. Bij standaard worden beperkte gegevens over het gebruik van het apparaat verwerkt. Bij volledige telemetrie worden daarnaast gedetailleerde gegevens over het appgebruik en het surfgedrag via de browser Edge en (delen van) de inhoud van met de elektronische pen geschreven documenten verwerkt.
Microsoft verwerkt de gegevens van beide soorten telemetrie om fouten op te lossen, apparaten up-to-date en veilig te houden en om eigen producten en diensten te verbeteren. Als gebruikers dit bij installatie, of daarna, niet hebben uitgeschakeld, verwerkt Microsoft de gegevens van zowel standaard als volledige telemetrie daarnaast om gepersonaliseerde reclame in Windows en Edge te tonen (inclusief voor alle apps uit de Windows store) en wordt met het Reclame-ID gepersonaliseerde reclame in andere apps getoond.

Onvoorspelbare werkwijze
Microsoft biedt gebruikers een overzicht van de soorten persoonsgegevens die zij via standaard telemetrie verzamelt, maar informeert alleen op hoofdlijnen, met voorbeelden, over de soorten gegevens die zij via volledige telemetrie verwerkt. De werkwijze van Microsoft bij het verzamelen van volledige telemetriegegevens is onvoorspelbaar. Microsoft kan de verzamelde gegevens voor de verschillende algemeen omschreven doeleinden gebruiken. Door deze combinatie van doeleinden en het gebrek aan transparantie kan Microsoft geen wettelijke grondslag verkrijgen voor de gegevensverwerking, zoals toestemming.

Toestemming; informatie en ondubbelzinnig
Microsoft heeft rechtsgeldige toestemming van de gebruikers nodig om hun gegevens te mogen verwerken. Hiervoor moeten mensen onder meer goed zijn geïnformeerd, ze moeten precies weten waar ze ja tegen zeggen. Dat is niet het geval. De informatie die Microsoft geeft in het installatiescherm van de Creators Update over keuzemogelijkheden schiet tekort. Het wordt niet duidelijk dat Microsoft bij volledige telemetrie voortdurend gegevens verzamelt over het gebruik van apps en het surfgedrag via Edge, inclusief bijvoorbeeld gelezen nieuwsartikelen en ingevoerde locaties in apps.

Accepteren
Ook verkrijgt Microsoft door haar werkwijze geen ondubbelzinnige toestemming. Microsoft werkt met opt-out mogelijkheden. Bij installatie staat het niveau van telemetrie op ‘volledig’ en wordt de gebruiker gevraagd de aangeboden instellingen te accepteren. Daarnaast staat standaard ‘aan’ dat Microsoft de telemetriegegevens mag gebruiken voor het tonen van gepersonaliseerde advertenties en aanbevelingen in Windows, Edge en apps. Dat iemand de standaardprivacyinstellingen bij de installatie niet actief wijzigt, wil niet zeggen dat hij dús toestemming geeft voor het gebruik van zijn gegevens.
De AP heeft bovendien vastgesteld dat Microsoft bestaande privacykeuzes van een deel van de gebruikers niet heeft gerespecteerd bij de overstap naar de Creators Update. Het gaat om mensen die het besturingssysteem zelf hadden gedownload. Als zij eerder hadden gekozen voor standaard telemetrie en de privacyinstellingen niet actief hebben gewijzigd bij installatie van de update, is dat nu op volledig gezet.