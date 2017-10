De Autoriteit Persoonsgegevens heeft op basis van een eigen onderzoek geconcludeerd dat Microsoft de wet overtreedt door de manier waarop het in Windows 10 gegevens verwerkt. Daarbij schiet de informatie over het doel van de gegevensverzameling tekort en zijn de mogelijkheden om toestemming te geven onvoldoende.

De toezichthouder stelt in het onderzoek vast dat Microsoft allerlei gegevens van de gebruikers verzamelt, zoals de namen, wachtwoorden, geboortedata, het geslacht, telefoonnummers en e-mailadressen. Daarbij vergaart Microsoft allerlei unieke apparaat- en gebruikersindentifiers. Al deze gegevens, eventueel gecombineerd, zijn volgens de AP direct identificerende persoonsgegevens. Daarbij wordt er in het geval van de volledige telemetrie ook app-informatie en bijvoorbeeld bij het gebruik van een elektronische pen een deel van de inhoud van de handgeschreven tekst verzameld.

Het verzamelen van deze gegevens is op zichzelf niet verboden, maar er moet dan wel sprake zijn van een goede informatievoorziening en een duidelijke toestemming van de gebruiker. Sinds de Windows 10 Creators Update heeft Microsoft enkele zaken veranderd, zoals het terugbrengen van het aantal telemetrieniveaus naar twee. Volgens Microsoft heeft het bedrijf voornamelijk positieve feedback gekregen op de wijzigingen die in de Windows 10 Creators Update zijn doorgevoerd.

Het bedrijf stelt dat gebruikers sinds deze update beter geïnformeerde beslissingen kunnen maken over hun privacy. De AP erkent dat er zaken zijn verbeterd, zoals het aanbieden van nog hooguit twee soorten telemetrie, en er wordt een duidelijker onderscheid gemaakt tussen de doeleinden waarvoor de telemetriegegevens worden verwerkt. Echter, volgens de toezichthouder kunnen gebruikers nog steeds niet opmaken welke gegevens voor welk doeleinden worden verwerkt. Volgens de wet heeft Microsoft toestemming van de gebruikers nodig om gegevens te verwerken, en daarvoor moet men begrijpen waar ze ja tegen zeggen. Microsoft schiet tekort in een goede informatievoorziening bij het installatiescherm.

Ook vind de Autoriteit Persoonsgegevens het onvoldoende dat er bij de installatie sinds de Creators Update opt-outmogelijkheden zijn voor gebruikers. Volgens de wet is ondubbelzinnige toestemming van de gebruikers nodig om gegevens te mogen verwerken, en daar is volgens de toezichthouder geen sprake van als gebruikers de standaardinstelling van de volledige telemetrieverzameling zo laten staan. Het niet actief wijzigingen daarvan, bijvoorbeeld door te kiezen voor opt-outmogelijkheden, wil volgens de AP niet zeggen dat er toestemming is gegeven.

De Autoriteit Persoonsgegevens kan op basis van de conclusies van dit onderzoek overgaan tot het opleggen van een boete aan Microsoft, al is het waarschijnlijker dat de toezichthouder het Redmondse bedrijf eerst een bepaalde periode de tijd geeft om op basis van de bevindingen het verzamelen van de gegevens aan te passen.