Microsoft schendt GDPR volgens Nederlandse overheid

Microsofts verzameling van telemetriegegevens is volgens de Nederlandse autoriteiten in strijd met de GDPR. Het mechanisme stelt de softwareleverancier in staat om op afstand data te verzamelen. Een onderzoeksrapport stelt acht problemen aan de kaak.

Volgens de onderzoekers doen de schendingen zich voor bij de Microsoft ProPlus-abonnementen van Office 2016 en Office 365, maar ook bij de webversie van Office 365. De softwareleverancier zou gebruikers in deze niet goed informeren.

De Nederlandse overheid geeft aan uiterst bezorgd te zijn omdat gevoelige Nederlandse overheidsgerelateerde informatie, afkomstig van ruim 300.000 computers, mogelijk onderdeel is van de telemetrische gegevens, die op Amerikaanse servers terechtkomen. Informatie die dus ongewild in handen van de Amerikaanse overheid zou kunnen komen.

Microsoft zou namelijk wel zijn Office-producten GDPR-compatibel hebben gemaakt voor gebruikers in de EU, maar geen rekening hebben gehouden met de telemetrieverzameling.

Uitschakelen niet mogelijk

Het is volgens het onderzoeksrapport niet duidelijk welke informatie Microsoft precies verzamelt, officiële documentatie hierover hebben de onderzoekers niet gevonden. Office-telemetrie uitschakelen is volgens hen niet mogelijk, wat betekent dat de privacy van alle huidige Office-gebruikers wordt geschaad, ongeacht hun geografische locatie.

Hoewel het standaard is dat softwareontwikkelaars functionele en diagnostische gegevens verzamelen, gaat Microsoft volgens het rapport een stuk verder door ook echt content te verzamelen van gebruikersapplicaties, zoals onderwerpregels van e-mails en zinnen uit documenten, waarin de vertaling of spellingcontrole van het bedrijf voorkomt. De telemetriecollectie van Office zou ook veel uitgebreider zijn dan die bij Windows 10.

Meer controle

Microsoft laat in een reactie weten van plan te zijn om documentatie aan te leveren over de Office-telemetrie die het bedrijf verzamelt. Daarnaast zal het gebruikers controle geven in welke mate ze data willen delen en geeft het systeemadministrators middels een data viewer-tool de mogelijkheid om onbewerkte telemetriedata in te kijken.

Het is een vergelijkbare tegenactie van Microsoft, zoals eerder gedaan in 2016 bij de privacykwestie rondom de Windows 10-telemetrie-verzameling. Het daarop volgende jaar publiceerde het bedrijf documentatie over het type telemetriegegevens dat het verzamelde, zodat gebruikers konden kiezen tussen twee telemetrie-verzamelniveaus tijdens Windows 10-installaties- en – upgrades. Ook werd destijds een data viewer uitgebracht.