‘Ook bedrijfsgeheimen lopen risico’

0

Na alle media-aandacht voor het (inmiddels voor Nederlandse ambtenaren verboden) gebruik van de beveiligingssoftware van het Russische Kapersky Lab, de ophef over de privacy-schendingen van Facebook en het tumult rondom het Chinese telecombedrijf Huawei, blijft het relatief stil rondom Microsoft. Terwijl dit bedrijf zich toch schuldig maakt aan het op de markt brengen van ‘sneaky software’, op grote schaal de privacy schendt en mysterieuze datastromen naar de VS stuurt, stelt Marcel Westphal van Westphal Johansen Advocaten. ‘Moet Microsoft niet een verwerkingsverbod van persoonsgegevens opgelegd worden, als bedoeld in de AVG?’

Marcel Westphal (Westphal Johansen Advocaten) stelt schending AVG door Microsoft aan de orde

‘Ja, sneaky software’, bevestigt de jurist van het Nuenense kantoor. Immers, op 5 november 2018 heeft The Privacy Company in opdracht van het ministerie van Justitie en Veiligheid een Data Privacy Impact Assessment (DPIA) gedaan naar de (diagnostische) data in Microsoft Office Pro Plus. ‘De bevindingen en conclusies in dit goed onderbouwde rapport zijn ronduit schokkend: Microsoft verzamelt systematisch en op grote schaal heimelijk gegevens over het individuele gebruik van Word, Excel, PowerPoint en Outlook. Zonder mensen daarover te informeren. Die gegevens worden vervolgens versleuteld en naar de eigen servers van Microsoft in de Verenigde Staten of elders verstuurd.’ Microsoft heeft de onderzoekers geen inzage gegeven in het type en soort gegevens dat verzameld en doorgestuurd wordt, weet Westphal. ‘Totdat Microsoft tegenbewijs levert, gaan de onderzoekers er daarom vanuit dat het zowel om metadata als om content gaat.’

Amerikaanse benadering

Uit het rapport komt naar voren dat Microsoft een Amerikaanse benadering heeft van privacy. ‘Een benadering die waarschijnlijk terug te voeren is op de Amerikaanse third party doctrine: een persoon mag geen privacy verwachten als hij informatie vrijwillig afstaat aan een derde. En daarvan is tegenwoordig bij het in de cloud opslaan van data al snel sprake.’ De aantasting van de privacy wordt verder versterkt door een vorig jaar aangenomen Amerikaanse wet: de Clarifying Lawful Overseas Use of Data Act (CLOUD). Deze wet verplicht Microsoft data die zijn opgeslagen op haar Europese servers te verstrekken aan de FBI als die daar om vraagt.

Het is in elk geval een benadering die haaks staat op en in strijd is met de Europese privacy-opvattingen en de Algemene Verordening Gegevensbescherming (AVG), aldus Westphal. Het onderzoek maakt duidelijk dat ambtenaren, contactpersonen, sollicitanten én mensen die besproken worden in ambtelijke stukken, van bijvoorbeeld de Belastingdienst of Justitie, het risico lopen dat Microsoft hun privacy schendt. ‘Een risico dat verder oploopt nu overheden binnenkort geacht worden helemaal over te gaan naar de cloud. Want als Office 2016 en Office 365 straks niet meer worden ondersteund, kan niets meer op lokale servers worden opgeslagen.’

Ook bedrijfsgeheimen lopen risico

Naar aanleiding van het rapport heeft Microsoft zogeheten zero-exhaust-instellingen ontwikkeld. Die moeten de overheden garanderen dat er geen netwerkverkeer (van diagnostische of andere data) meer van Windows naar publieke IP-adressen gaat zonder de uitdrukkelijke toestemming van de gebruiker. Maar die instellingen zijn geen antwoord op de andere gebruikersrisico’s die de rapporteurs signaleren, zo stelt Westphal. Zo slaat Microsoft nog steeds ‘gevoelige, gerubriceerde of bijzondere persoonsgegevens’ op, is er onvoldoende controle op sub-verwerkers, en is het doel van het gegevens verzamelen niet duidelijk. Daarbij gaat het niet alleen om persoonsgegevens, maar ook om bedrijfsgeheimen. ‘Ook die zouden wel eens minder veilig kunnen zijn dan doorgaans wordt aangenomen. Het is immers niet duidelijk welke informatie Microsoft allemaal verzamelt en doorzendt naar eigen servers in de VS.’

Privacy-piraterij

‘Uit het rapport doemt het beeld op’, aldus Westphal, ‘dat Microsoft niet bepaald privacy by design en privacy by default heeft toegepast. Sterker nog, gelet op het standaard aanstaan van dataverzamelende instellingen en de zeer ruime doelstellingen die Microsoft nastreeft met de gegevensverwerking, lijkt privacy-piraterij een treffendere omschrijving van de werkwijze.’ Hij juicht het dan ook toe dat de Europese privacytoezichthouder EDPS inmiddels een onderzoek is gestart om na te gaan of de producten en diensten van Microsoft voldoen aan de wetgeving. ‘Voor een antwoord op onder andere deze vraag: is het ontbreken van privacy by design en by default reden om Microsoft een verwerkingsverbod van persoonsgegevens op te leggen als bedoeld in artikel 58 lid 2 onder f van de AVG?’

Een nog urgentere vraag aan de Europese aanbestedende diensten is of zij Microsoft nog wel kunnen laten meedingen naar overheidsopdrachten. ‘Immers, uit overweging 78 van de AVG blijkt dat bij openbare aanbestedingen de beginselen van gegevensbescherming door ontwerp en door standaardinstellingen in aanmerking worden genomen. Uitsluiting van Microsoft ligt dan voor de hand. De hamvraag is of de Europese privacytoezichthouders en de aanbestedende diensten kiezen om alleen boetes op te leggen aan Microsoft. Of laten ze echt hun tanden zien en verbieden zij Microsoft geheel of gedeeltelijk, permanent of tijdelijk persoonsgegevens te verwerken en aan aanbestedingen deel te nemen totdat de software wel privacy proof is? Het grote probleem daarbij is dat er voor Microsoft-software momenteel geen echt alternatief is. Er is dus sprake van een vendor lock in optima forma.’

Share.

Reageer

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.