Windows 10 en Office 365 niet GDPR-compliant volgens Duitsland

Zowel Windows 10 als Office 365 zondigen aan de privacyregels in de GDPR en mogen daarom niet meer gebruikt worden in Duitse scholen. Microsofts software was compatibel met de richtlijn tot de Redmond een aanpassing doorvoerde.

In een poging zijn software compatibel te maken met de GDPR-regelgeving zorgde Microsoft ervoor dat telemetrie van Windows 10 en Office 365, gegenereerd in de EU, ook in de EU bleef. Data doorsluizen naar servers in de VS mag immers niet zomaar en al zeker niet wanneer het om gevoelige info gaat, zoals zinnen in documenten of onderwerpregels van e-mails. Door relevante data in Europese datacenters te bewaren en te behandelen, bracht Microsoft zich in lijn met de wetgeving.

Data naar de VS

Sinds kort heeft Redmond zijn beleid echter aangepast, staat op Schoolit. Alle telemetrie van zowel Office 365 als Windows 10 wordt opnieuw naar servers in de VS versluisd, wat tegen de regels is. De privacycommissie van de staat Hesse onderzocht de zaak en constateerde dat Microsoft niet meer voldoet aan de streng geïnterpreteerde Duitse regels. Dat heeft als gevolg dat beide stukken software officieel niet meer geschikt zijn voor gebruik in Duitse scholen.

Dat is een probleem voor zowel Microsoft als de scholen. Die laatste moeten nu in theorie omschakelen naar Windows 7 en Office 2016 al lijkt dat weinig waarschijnlijk, zeker met het einde van de ondersteuning van die versie van Windows in zicht. Een eenvoudigere oplossing zou natuurlijk zijn voor Microsoft om data opnieuw binnen de EU te houden.

Strenge interpretatie

Duitsland heeft een strenge privacytraditie en interpreteert regels doorgaans strikter dan andere lidstaten. Het is dan ook onduidelijk of ons land evenveel problemen ziet met de manier waarop Microsoft met de telemetrie omgaat. Bovendien is de uitspraak van de Duitse deelstaat niet bindend voor de rest van de EU. Ze illustreert wel dat de relatie tussen Amerikaanse bedrijven en de EU inzake data moeilijk blijft. Europa wil burgers beschermen door gegevens binnen de grenzen van de Unie te houden, terwijl bedrijven als Microsoft hoofdkwartier houden in de VS en liefst geen onderscheid maken tussen verschillende zones.

Microsoft is trouwens niet de enige die zondigt, aldus Michael Ronellenfitsch van de Duitse privacywaakhond: “Wat waar is voor Microsoft is ook waar voor de cloudoplossingen van Google en Apple. De oplossingen van die providers zijn voorlopig niet transparant. Het gevolg daarvan is dat gebruik compliant met de privacyregels binnen scholen niet mogelijk is.”

Gereletaard: GDPR-boetes tellen na één jaar op tot 56 miljoen euro