Oostenrijkse toezichthouder: Microsoft 365 Education schendt privacy leerlingen
De Oostenrijkse gegevensbeschermingsautoriteit (DSB) oordeelt dat Microsoft 365 Education onwettig gegevens van leerlingen verzamelt en gebruikt voor eigen doeleinden. Daarnaast heeft het bedrijf een verzoek om inzage in persoonsgegevens niet beantwoord, terwijl de software op grote schaal wordt gebruikt in Europese scholen. Microsoft probeerde volgens de toezichthouder de verantwoordelijkheid af te schuiven op lokale scholen, maar moet van de DSB alsnog uitleggen hoe het gebruikersdata verwerkt voor commerciële doelen.
Uit het onderzoek blijkt dat Microsoft 365 Education trackingcookies gebruikte zonder toestemming, wat in strijd is met de Algemene verordening gegevensbescherming (AVG). Zowel de betrokken school als het Oostenrijkse ministerie van Onderwijs gaven aan tijdens de procedure niet op de hoogte te zijn geweest van deze cookies. De DSB heeft Microsoft nu opdracht gegeven de betreffende persoonsgegevens te verwijderen.
Daarnaast schond Microsoft het recht op inzage (artikel 15 AVG) door niet alle gevraagde gegevens van de klager te verstrekken. Het bedrijf moet alsnog volledige toegang bieden en duidelijk uitleggen wat het betekent dat data worden gebruikt voor doeleinden als "business modeling" of "energie-efficiëntie". Ook moet Microsoft verduidelijken of persoonsgegevens zijn gedeeld met bedrijven als LinkedIn, OpenAI of de trackingpartij Xandr.
Verantwoordelijkheid afschuiven op scholen
Tijdens de coronapandemie schakelden veel scholen snel over op clouddiensten, waarbij techbedrijven als Microsoft onderwijsproducten aanboden. Microsoft wees echter alle verantwoordelijkheid voor naleving van de privacywetgeving af naar scholen en nationale autoriteiten – partijen die weinig tot geen controle hebben over het daadwerkelijke datagebruik. Toen een leerling inzage vroeg in zijn gegevens, verwees Microsoft hem door naar zijn school. Die kon echter slechts beperkte informatie verstrekken, omdat de daadwerkelijke gegevensverwerking bij Microsoft ligt. Niemand kon voldoen aan de AVG-verplichtingen, waarna de klager – bijgestaan door noyb – een klacht indiende tegen Microsoft, de school, het schoolbestuur en het ministerie van Onderwijs.
De DSB oordeelt nu dat zowel de school als het ministerie meer informatie moeten verstrekken over welke leerlinggegevens naar Microsoft zijn gestuurd. Tegelijk benadrukt de toezichthouder dat Microsoft het ministerie onvoldoende heeft geïnformeerd over de verwerking in Microsoft 365 Education. Hierdoor kunnen scholen niet voldoen aan hun informatieplicht (artikelen 13 en 14 AVG).
Gevolgen voor miljoenen gebruikers
Microsoft 365 Education wordt gebruikt door miljoenen leerlingen en docenten in Europa. Ook de standaardversie van Microsoft 365 wordt breed toegepast bij bedrijven en overheden. Als Microsoft geen duidelijke informatie verstrekt en gebruikers geen controle geeft over hun data, is het volgens de DSB moeilijk om aan de AVG te voldoen. Duitse toezichthouders hebben eerder al geconcludeerd dat Microsoft 365 niet voldoet aan de AVG-eisen.
Meer informatie is hier te vinden.
Meer over Data Protection
Over Wouter Hoeffnagel
