Windows 10 en Office 365 in strijd met Duitse GDPR-regels

- Cédric Van Loon

Microsoft Windows 10 en Office 365 voldoen niet aan de GDPR-regels in Duitsland voor gebruik op scholen. Gegevens over standaardsoftwarediagnostiek, gebruikersinhoud en e-mail onderwerpregels worden via de cloudoplossingen doorgestuurd naar Microsoft in de VS. 

Daarnaast  zou er ook sprake zijn van het mogelijk doorsturen van zinnen uit documenten. Michael Ronellenfitsch, commissaris voor gegevensbescherming en vrijheid van informatie in de Duitse deelstaat Hessen, ziet de telemetrie als een groot probleem. Hierbij worden bepaalde parameters op afstand gemeten, die vervolgens weer via telecommunicatie naar een andere locatie worden doorgestuurd.

Om precies dezelfde reden leverde Microsoft eerder een speciale versie van Windows 10 en Office 365, waarvan de gegevens in Europese datacenters werden opgeslagen. Onlangs werd deze toestemming echter ingetrokken en werden gegevens weer rechtstreeks naar de VS verzonden, aldus MS Power User.

Toelaatbaarheid en traceerbaarheid

Ronellenfitsch kaart dit nu aan. Volgens hem hebben openbare instellingen in Duitsland een speciale verantwoordelijkheid met betrekking tot de toelaatbaarheid en traceerbaarheid van de verwerking van persoonsgegevens. “Op het moment dat de mogelijke toegang van derden tot de gegevens in de cloud, en het probleem van telemetriegegevens, op een begrijpelijke en gegevensbeschermingsconforme manier zijn opgelost, kan Office 365 als een cloud worden gebruikt oplossing door scholen”, aldus de commissaris. 

Hij voegt daaraan toe dat het probleem rondom telemetrie ook gevolgen geeft voor andere leveranciers van IT-oplossingen. “Wat geldt voor Microsoft geldt ook voor de cloudoplossingen van Google en Apple. De cloudoplossingen van deze providers zijn tot nu toe niet transparant en begrijpelijk uiteengezet. Daarom is het ook waar dat voor scholen het privacy-conforme gebruik momenteel niet mogelijk is.“

Europese datacenters

Voor nu is het nog onduidelijk hoe de getroffen partijen op deze uitspraak zullen reageren. Bovendien is ook niet bekend welke mogelijke verstoring dit zou kunnen veroorzaken. Een terugkeer naar Europese datacenters zou een logische oplossing kunnen zijn. Maar ook het gebruik van on-premise licenties op lokale systemen. Iets wat neer zou komen op het gebruik van oplossingen zoals Windows 7 en de boxed-versie van Office 2016.

In het eerste jaar dat de GDPR van kracht is, werden 91 bedrijven beboet voor een totaal bedrag van 56 miljoen euro. Het leeuwendeel daarvan is toe te schrijven aan één monsterboete van 50 miljoen euro aan het adres van Google.