Microsoft onder vuur wegens tracking in educatief aanbod
Privacy-organisatie noyb, voluit ‘not your business’, klaagt dat Microsoft het niet altijd zo nauw neemt met de privacy van schoolgaande kinderen. De organisatie ziet problemen met de verwerking van gebruiksgegevens binnen het educatieve aanbod van Microsoft.
Word, PowerPoint en Excel
Schoolgaande kinderen hebben ook kantoortoepassingen zoals Word, PowerPoint of Excel nodig. Heel wat scholen kloppen aan bij Microsoft, die met Microsoft 365 Education een pakket voor de educatieve markt voorziet. De prijs van dat pakket hangt af van school tot school, maar sommige scholen kunnen er gratis gebruik van maken. Voor de ontwikkelaar is dat interessant: de kinderen leren op jonge leeftijd werken met de toepassingen van Microsoft, die ze in het latere leven ook blijven verkiezen.
Daar gaat de klacht van noyb echter niet over. De privacy-organisatie ziet problemen met hoe de gegevens van jonge gebruikers verwerkt worden en de vage manier waarop Microsoft daarover communiceert. In Europa bepaalt de GDPR strikte regels voor de verwerking van die gegevens, maar daar zou Microsoft volgens noyb niet aan voldoen.
Contractueel bepaald
Eén van de problemen zit volgens noyb in het contract dat scholen moeten ondertekenen. In dat contract stelt Microsoft dat het hun taak is om alles met de GDPR overeen te doen stemmen. Dat is onmogelijk, meent de privacy-organisatie. Scholen weten immers niet wat Microsoft precies met de gegevens doet. Dat maakt het erg moeilijk om er als school voor te zorgen dat alles met de wetgeving overeenstemt.
Maartje de Graaf, advocaat bij noyb, meent dat Microsoft ontzettend vaag is over de gegevens die het verwerkt. “Zelfs een gekwalificeerde advocaat kan niet volledig begrijpen hoe het bedrijf data verwerkt uit Microsoft 365 Education”, zegt ze daarover. Dat het contract de verantwoordelijkheid om aan de wetgeving te voldoen bij scholen legt, kan dan ook niet: zij hebben geen manier waarop ze transparantie of informatie kunnen verschaffen, want ze kunnen niet aan de data. In het huidige systeem zouden scholen Microsoft moeten controleren op de verwerking van gegevens en expliciete instructies geven over hoe het dan wel moet gebeuren.
Tracking van kinderen en jongeren
Noyb diende niet een klacht in tegen Microsoft, maar maakte er meteen een dubbele aanklacht van. De organisatie ontdekte namelijk dat Microsoft ook cookies in het educatie aanbod stopt. Die kunnen gebruikt voor marketingdoeleinden, door bijvoorbeeld gerichte reclame te tonen op basis van die gegevens. Noyb meent dat het bedrijf geen wettelijke basis heeft om die gegevens te verwerken. Dat Microsoft 365 Education in zoveel scholen gebruikt wordt, maakt het er niet beter op: wellicht trackt het bedrijf alle jonge gebruikers van de software, ongeacht hun leeftijd. Volgens Felix Mikolasch, eveneens advocaat bij noyb, gaat het om gegevens van honderdduizenden schoolgaande kinderen en jongeren.
Ierland, of toch Oostenrijk?
Noyb diende de klacht in bij de Oostenrijkse gegevensbeschermingsautoriteit. Aangezien Microsoft een hoofdzetel in Ierland heeft, wordt de klacht normaal gezien doorgespeeld naar de Ierse waakhond. Dat is problematisch: heel wat techbedrijven hebben hun hoofdzetel in Ierland, en de Ierse DPC heeft de handen dus meer dan vol. Noyb hoopt dat de klacht in Oostenrijk behandeld kan worden, zodat het minder lang duurt. Dat zou wel moeten lukken volgens de organisatie: het gaat namelijk om Oostenrijkse burgers in Oostenrijkse scholen. Het “uitgesproken lokale karakter” zou ervoor kunnen zorgen dat de zaak in Oostenrijk blijft.
Of dat ook het geval zal zijn, is afwachten. Aangezien de tracking “honderdduizenden” leerlingen van over de hele EU zou volgen, lijkt de kans groot dat de zaak alsnog in Ierland terecht komt. Daar zou het iets langer duren voor de zaak behandeld wordt.
Op GDPR-inbreuken staan boetes die oplopen tot 4% van de volledige jaaromzet. Indien Microsoft schuldig bevonden wordt, kan het kostenplaatje dus flink oplopen.
