Column


IT-jurist Peter van Schelven over...

AP knevelt Microsoft met onrecht

Een weerzinwekkend staaltje van juridische knevelarij: het rapport met bevindingen dat de Autoriteit Persoonsgegevens vorige week publiceerde over de vraag of het besturingssysteem Windows 10 van Microsoft de toets van het Nederlandse privacyrecht kan doorstaan.

De toezichthouder heeft naar aanleiding van een eigen onderzoek de softwareproducent een forse tik op de vingers gegeven. De toezichthoudende autoriteit is tot het oordeel gekomen dat de verwerking van persoonsgegevens door Windows 10 in strijd is met de Wet bescherming persoonsgegevens.

Dat oordeel geldt voor de Home- en Pro-versies van Windows 10 die sinds de marktintroductie in juli 2015 zijn verschenen.

De beslissing van de toezichthouder is om ten minste drie redenen discutabel:
1. Microsoft is met bedenkelijke doelredeneringen om de oren geslagen.
2. De Autoriteit Persoonsgegevens is een gevaar voor IT-security.
3. De toezichthouder loopt internationaal uit de pas.

Microsoft is door de toezichthouder fors onrecht aangedaan. Ik licht dat hier kort toe.

Doelredenering: Microsoft moet hangen
Bij lezing van het 165 pagina’s (exclusief bijlagen) tellende rapport kan ik mij niet aan de indruk onttrekken dat de Autoriteit Persoonsgegevens zich heeft bezondigd aan talloze bedroevende doelredeneringen. Microsoft moest als grote speler op de IT-markt kennelijk hangen. De softwareproducent is bij het onderzoek in de gelegenheid gesteld haar opvattingen over het privacy-proof karakter van Windows 10 naar voren te brengen. Dat heeft zij ook uitgebreid gedaan, doch de opvattingen van Microsoft – zelfs de meest legitieme standpunten – zijn door de toezichthouder over vrijwel de gehele linie onder het vloerkleed geveegd.

Doelredeneringen kunnen onder de geldende privacywet makkelijk gehanteerd worden. Immers, de Wet bescherming persoonsgegevens wemelt van de vage spelregels. Zo bevat de wet een regel die zegt dat de toestemming van een gebruiker tot verwerking van zijn persoonsgegevens vrij, specifiek en ondubbelzinnig moet zijn verstrekt en voorts op informatie moet berusten (‘informed consent’). Maar tja, wat betekenen die weinig duidelijke woorden precies? De Autoriteit Persoonsgegevens heeft er vermoedelijk een legertje juristen van het minst flexibele soort op gezet. Pagina’s vol juridische bla-bla zijn er in het rapport aan vage wettelijke termen gewijd en het laat zich raden dat met al die vaagheid iedere wenselijk geachte conclusie gecreëerd kan worden. Letterknechten die Microsoft als boef wegzetten, verpakt in keurig juridisch jargon.

Autoriteit Persoonsgegevens: gevaar voor IT-security
Windows 10 verzamelt gegevens bij het gebruik ervan, opdat Microsoft automatische updates van de software kan maken, waaronder beveiligingspatches. Het enorme belang daarvan kan – zo lijkt mij – nauwelijks ontkend worden. Alleen in Nederland zijn er immers al vier miljoen gebruikers van dit besturingssysteem. Toch deelt de toezichthouder ook hier tikken uit naar Microsoft. Op pagina 149 van het rapport valt te lezen dat de door Microsoft uitgevoerde analyses van softwarematige kwetsbaarheden geen ‘proportionele gegevensverwerking’ is.

Hoewel de Autoriteit Persoonsgegevens de deur voor kwetsbaarhedenanalyses in het algemeen niet dichtgooit, geeft het rapport aan dat er slechts ruimte is voor ‘bepaalde, beperkte vormen van dergelijke analyses.’ Wie weet wat dat precies is, mag het mij komen uitleggen. Zo wordt het onderzoek naar ‘vulnerabilities’ juridisch behoorlijk in de kou gezet. Voorlopig houd ik het er maar op dat IT-security het niet van de Autoriteit Persoonsgegevens moet hebben.

Frankrijk versus Nederland
Het onderzoek van de Autoriteit Persoonsgegevens staat niet op zichzelf. Ook in diverse andere Europese landen hebben toezichthouders onderzoeken uitgevoerd naar de verwerking van persoonsgegevens door Windows 10. Zo ook in Frankrijk. Aldaar heeft de toezichthouder, CNIL genaamd, al op 29 juni van dit jaar beslist dat Microsoft met haar besturingssysteem de Franse privacywet niet heeft geschonden.

De Autoriteit Persoonsgegevens in ons land heeft die beslissing geheel naast zich neer gelegd. Ook de privacytoezichthouder in het Duitse Beieren zag in de Enterprise-versie van Windows 10 geen probleem. Kennelijk wil Nederland het braafste jongetje van Europa uithangen.

Boos
De beslissing van de Nederlandse toezichthouder heeft mij boos gemaakt. De beslissing deugt eenvoudigweg niet. Wie de maatschappelijke en technologische werkelijkheid tot een gezelschapsspelletje voor juristen reduceert, is een groot gevaar. Resultaat: Microsoft is onrecht aangedaan. En dat is misplaatst. Het goede nieuws echter: onrecht inspireert! Ik zal de Autoriteit Persoonsgegevens daarom met nog meer argusogen blijven volgen.


IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. 

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht