Microsoft 365 is volgens het Duitse Datenschutzkonferenz nog steeds in strijd met de Europese GDPR-privacyregelgevingen. Dat meldde Tweakers onlangs. Het gaat om een voorlopige conclusie van een tweejarig onderzoek naar de online services binnen de Office-tool (met nieuwe merknaam) van het bedrijf. Volgens de Dsk zijn er ‘geen substantiële verbeteringen’ doorgevoerd, Microsoft heeft een beter PR bureau want spreekt van “we halen, nee: overstijgen, GDPR-vereisten”. Nou gaat niemand voor z’n lol meer doen dan de AVG eist, dus wat is hier aan de hand?
Het probleem kwam in 2020 aan het licht:
DSK, de Duitse waakhond voor databescherming, heeft onderzocht hoe de Enterprise-editie van Windows 10 omgaat met gebruikersinformatie. Gebruikers kunnen instellen dat Windows helemaal geen gegevens verzendt naar Microsoft. Volgens het onderzoek van DSK blijkt dit niet helemaal vlekkeloos te verlopen. Zelfs wanneer een gebruiker daar geen toestemming voor geeft, verzendt Windows 10 alsnog gegevens naar Microsoft.
Sindsdien is Microsoft al twee jaar aan het onderhandelen en aanpassen om de goedkeuring van het Duitse samenwerkingsverband van privacytoezichthouders te verkrijgen (iedere deelstaat heeft zijn eigen AP). Het bleek niet alleen te gaan om dat stukje telemetrie, maar ook over zaken als de export van die gegevens naar buiten de EU (hoi Schrems II) en de omgang met subverwerkers. Microsoft kwam in september nog met een nieuwe privacyverklaring, waarin zwaarder ingezet werd op legitiem belang als grondslag voor van alles en nog wat.
De DSK mist nog steeds het nodige. Zo maakt die nieuwe privacyverklaring nog steeds niet duidelijk welke gegevens precies worden verstuurd naar de VS en voor welk doel. Lees ‘m hier in al haar juridische glorie, maar concreter dan deze wordt het niet volgens mij (“Microsoft stellt die nötige Transparenz über Verarbeitungstätigkeiten durch umfangreiche Dokumentation her.”):
Klantgegevens, Gegevens van Professionele Diensten en Persoonsgegevens die Microsoft namens de Klant verwerkt, mogen niet worden overgedragen aan, of opgeslagen en verwerkt op een geografische locatie, uitgezonderd in overeenstemming met de Voorwaarden van de [Bijlage Bescherming van persoonsgegevens, BBP] en de waarborgen die hieronder in dit artikel worden beschreven. Rekening houdend met dergelijke waarborgen, machtigt de Klant Microsoft om Klantgegevens, Gegevens van Professionele Diensten en Persoonsgegevens over te dragen naar de Verenigde Staten of enig ander land waarin Microsoft of haar Subverwerkers actief zijn en om Klantgegevens en Persoonsgegevens op te slaan en te verwerken voor het leveren van de Producten, behalve zoals elders in de Voorwaarden van de BBP is beschreven.
Er gaan nog steeds gegevens naar de VS. Volgens Microsoft zou dat mogen vanwege de privacyschaamlap pardon Executive Order die het Privacy Shield zou moeten vervangen. Daar valt het nodige over te zeggen, maar ik volsta met opmerken dat Microsoft vervolgens verwijst naar SCC’s als reden om de gegevens in de VS op te mogen slaan. Ook zou het alleen gaan om geanonimiseerde gegevens waar de AVG niet voor geldt.
Alles bij elkaar: ik krijg niet het gevoel dat Microsoft écht iets veranderd heeft, maar vooral meer argumenten heeft aangedragen waarom alles eigenlijk wel in orde is. Dat riekt naar tijd winnen en hopen dat die executive order door de Europese Commissie wordt geaccepteerd.
Arnoud
