Rapport definitieve bevindingen Microsoft Windows 10 De verwerking van persoonsgegevens via telemetrie -met correcties 6 oktober 2017- OPENBARE VERSIE Rapport definitieve bevindingen 29 augustus 2017met correcties 6 oktober 2017 Inhoudsopgave SAMENVATTING 1 1. INLEIDING 5 2. PROCEDURE 7 2.1 Verloop 7 2.2 Zienswijze Microsoft 10 3. FEITELIJKE BEVINDINGEN 13 3.1 Organisatiebeschrijving 13 3.1.1 Windows 10 15 3.2 Microsoft in Nederland 19 3.2.1 Marktaandeel Windows 10 in Nederland 23 3.3 Gegevens Telemetrie, Reclame ID en handschrift- en typegegevens 24 3.3.1 Onderzoeksmethodologie 27 3.3.2 Gegevens bij standaard telemetrie (basic telemetry) tot 11 april 2017 30 3.3.3 Gegevens bij standaard telemetrie (basic telemetry) sinds 11 april 2017 (Creators Update) 33 3.3.4 Uitgebreide en volledige telemetrie (enhanced en full telemetry) tot 11 april 2017 36 3.3.5 Gegevens bij volledige telemetrie sinds 11 april 2017 (Creators Update) 41 3.4 Doeleinden 44 3.4.1 Doeleinden tot 11 april 2017 44 3.4.2 Doeleinden sinds 11 april 2017 (Creators Update) 45 3.4.3 Reclame ID 52 3.4.4 Handschrift en type-gegevens 53 3.5 Informatie aan gebruikers over telemetrie en het Reclame ID 53 3.5.1 Informatie over het instellen van Windows 10 Home en Pro 54 3.5.2 Privacyverklaring 68 3.5.3 Overzichten van gegevens bij standaard en bij volledige telemetrie (sinds 5 april 2017) 74 3.5.4 Algemene voorwaarden 75 3.5.5 Overige bronnen 75 3.6 Bewaartermijnen 76 3.7 Grondslag 76 4. WETTELIJK KADER 80 4.1 Persoonsgegevens 80 4.2 Verantwoordelijke 83 4.3 Toepasselijk recht en bevoegdheid 84 4.4 Welbepaalde en gerechtvaardigde doeleinden 90 4.5 Grondslag 91 4.5.1 Ondubbelzinnige toestemming 92 4.5.2 Noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene 94 4.5.3 Noodzakelijk voor gerechtvaardigd belang 95 4.6 Behoorlijke en zorgvuldige gegevensverwerking 96 OPENBARE VERSIE Rapport definitieve bevindingen 29 augustus 2017 met correcties 6 oktober 2017 5. BEOORDELING 97 5.1 Telemetriegegevens 97 5.2 Verwerking van persoonsgegevens 102 5.3 Verantwoordelijke 103 5.4 Toepasselijk recht 105 5.4.1 Rol Microsoft Ierland 105 5.4.2 Rol Microsoft B.V. 108 5.5 Bevoegdheid Autoriteit Persoonsgegevens 113 5.6 Doeleinden 113 5.6.1 Doeleinden tot 11 april 2017 113 5.6.2 Doeleinden sinds 11 april 2017 (Creators Update) 116 5.7 Grondslag 119 5.7.1 Toestemming 119 5.7.2 Noodzakelijk voor de uitvoering van de overeenkomst 138 5.7.3 Noodzakelijk voor het gerechtvaardigd belang van Microsoft 142 6. CONCLUSIES 148 OPENBARE VERSIE Rapport definitieve bevindingen 29 augustus 2017 met correcties 6 oktober 2017 SAMENVATTING De Autoriteit Persoonsgegevens (AP) heeft onderzoek gedaan naar verschillende versies van Windows 10, het besturingssysteem van Microsoft dat sinds eind juli 2015 op de markt is. Er zijn in Nederland meer dan 4 miljoen actieve apparaten (zoals pc's, laptops en tablets) met Windows 10 Home en Pro. De AP heeft gedurende het onderzoek een aantal overtredingen geconstateerd. Tijdens het onderzoek heeft Microsoft de gegevensverwerking gewijzigd, door de introductie van de Creators Update in april 2017. Dit leidt echter niet tot beëindiging van de in het onderzoek geconstateerde overtredingen. Telemetrie Microsoft verzamelt voortdurend technische prestatie- en gebruiksgegevens over elk apparaat waarop Windows 10 is geïnstalleerd. Deze gegevens worden telemetriegegevens genoemd. Microsoft verzamelt via telemetrie bijvoorbeeld allerlei unieke identifiers, in combinatie met gegevens over hard- en software op het apparaat en daarmee verbonden apparaten (zoals routers en printers). Tot april 2017 (in de Anniversary Update-versie) bood Microsoft drie niveaus van telemetrie aan: standaard, uitgebreid en volledig. Sinds de lancering van de Creators Update-versie, op 11 april 2017, biedt Microsoft nog maar twee niveaus aan van telemetrie: standaard en volledig. Uit het onderzoek door de AP naar de Anniversary Update-versie bleek dat Microsoft op het meest beperkte niveau (standaard telemetrie) gegevens verzamelde van gevoelige aard, bijvoorbeeld over het gebruik van apps. Bij uitgebreide en volledige telemetrie verzamelde Microsoft bijkomend gegevens over het websurfgedrag via de browser Edge en (delen van de) inhoud van handgeschreven documenten (met elektronische pen). Microsoft heeft de gegevensverzameling bij standaard telemetrie in de nieuwste Windows-versie sinds april 2017 beperkt, en verwerkt hierdoor op dit niveau geen gegevens meer over het appgebruik. Microsoft verzamelt in de nieuwe Creators Update echter bij volledige telemetrie wel gedetailleerde gegevens over het appgebruik, evenals gegevens over het websurfgedrag via Edge en (delen van de) inhoud van handgeschreven documenten (met elektronische pen). In beide versies van Windows 10 stond en staat bij installatie het niveau van telemetrie op 'volledig', en wordt de gebruiker gevraagd de aangeboden standaardinstellingen te accepteren. Daarnaast staat standaard 'Aan' dat Microsoft de telemetriegegevens mag gebruiken voor het tonen van gepersonaliseerde advertenties en aanbevelingen in Windows en Edge, inclusief voor alle apps uit de Windows Store, en dat Microsoft en app developers het unieke Reclame ID mogen gebruiken om gepersonaliseerde advertenties te tonen in apps. Gegevens over gedrag Een besturingssysteem, zoals Windows, kan uiteraard niet functioneren zonder gegevens te verwerken. Zo zijn sommige gegevens noodzakelijk om te kunnen internetten. Maar dit zijn geen telemetriegegevens. Met telemetrie maakt Microsoft als het ware foto’s van het gedrag van Windowsgebruikers en verstuurt die voortdurend naar zichzelf. Bij de gegevens die Microsoft verzamelt, zijn persoonsgegevens van gevoelige aard, gegevens die iets zeggen over iemands gedrag. De AP heeft vastgesteld dat Microsoft via (de standaardinstellingen van) Windows 10 systematisch het appgebruik van betrokkenen in kaart brengt. Dit betreft bijvoorbeeld het gebruik van een app van een online casino, van een Turkse krant, van een tijdschrift gericht op homoseksuelen, een app die de islamitische gebedstijden aangeeft, een app die details bijhoudt van een OPENBARE VERSIE Rapport definitieve bevindingen 29 augustus 2017 met correcties 6 oktober 2017 1 zwangerschap en een app die gericht is op diabetes-patiënten. Microsoft kan deze gegevens gebruiken om iemand op een bepaalde manier te behandelen of het gedrag van die persoon te beïnvloeden. En dat doet Microsoft ook al, bijvoorbeeld door mensen persoonlijke aanbevelingen en advertenties te laten zien. Doeleinden Anniversary Update Een bedrijf mag persoonsgegevens op grond van artikel 7 van de Wet bescherming persoonsgegevens (Wbp) alleen voor gerechtvaardigde, welbepaalde en uitdrukkelijk omschreven doeleinden verwerken. Ten tijde van het onderzoek naar de Anniversary Update verwerkte Microsoft de telemetrie gegevens voor één of meer van de volgende doelen: 1) Windows up-to-date houden; 2) Windows veilig, betrouwbaar en goed presterend houden, 3) Windows verbeteren (door middel van geaggregeerde analyse); en 4) Het tonen van gepersonaliseerde aanbevelingen en advertenties binnen Windows en Edge. Deze doeleinden waren niet duidelijk omschreven. Microsoft bleek bovendien geen volledig overzicht te hebben van de (soorten) gegevens die het bedrijf bij telemetrie verwerkte. Het ging om een dynamische big data gegevensverwerking, waarbij engineers telkens intern nieuwe onderzoeken konden doen naar het gebruik, en daarvoor nieuwe categorieën gegevens konden verzamelen. Daardoor was Microsoft echter niet in staat om vooraf te bepalen welke persoonsgegevens zij voor welke doelen wilde verwerken en gebruikers hierover te informeren. De AP concludeerde daarom dat Microsoft in strijd handelde met artikel 7 van de Wbp. Doeleinden Creators Update In de Creators Update maakt Microsoft onderscheid naar de doeleinden waarvoor telemetriegegevens worden verwerkt. De standaard telemetriegegevens worden altijd voor drie doeleinden verwerkt: 1) Fouten oplossen en 2) Apparaten up-to-date en veilig houden en 3) Het verbeteren van Microsoft producten en diensten. Microsoft biedt bij installatie de mogelijkheid aan om de gegevensverwerking (op beide niveaus) voor twee andere doeleinden uit te schakelen, namelijk voor 4): het tonen van gepersonaliseerde reclame in Windows en Edge, inclusief reclame voor alle apps uit de Windows store en 5) (met behulp van het Reclame ID) tonen van gepersonaliseerde reclame in apps. Microsoft stelt sinds de lancering van de Creators Update een overzicht beschikbaar van de soorten persoonsgegevens die zij via standaard telemetrie verzamelt, maar informeert alleen op hoofdlijnen (met voorbeelden) over de soorten gegevens die zij via volledige telemetrie verwerkt. De werkwijze van Microsoft bij het verzamelen van volledige telemetriegegevens blijft onvoorspelbaar. Onverlet [VERTROUWELIJK] interne toetsingscommissie, kunnen engineers nog steeds nieuwe soorten gegevens toevoegen. Zij kunnen de verzamelde gegevens voor tenminste drie van de doeleinden gebruiken, of voor vijf (als een gebruiker de reclamedoeleinden niet actief heeft uitgezet). Door de combinatie van doeleinden waarvoor de verzamelde gegevens kunnen worden verwerkt en het gebrek aan transparantie, kàn Microsoft geen grondslag verkrijgen voor de gegevensverwerking, zoals toestemming of noodzaak voor de behartiging van haar gerechtvaardigd belang. Daarom kan ook geen sprake zijn van een gerechtvaardigd doeleinde voor de gegevensverwerking bij volledige telemetrie. Daarnaast geldt dat de eerste vier doeleinden zeer algemeen zijn geformuleerd,