Dinsdag 5 januari 2016

Updaten naar Windows 10: Voor niets gaat de zon op

Sinds 29 juli 2015 is het voor legitieme gebruikers van Windows 7, 8 en 8.1 mogelijk om gratis te updaten naar het nieuwe besturingsprogramma Windows 10. Het gros van de Windowsgebruikers zal dit geschenk zonder het doornemen van de nieuwe algemene voorwaarden met een glimlach binnenhalen, maar is die euforie terecht? In dit artikel zullen de verwerking van persoonsgegevens en het cookiegebruik van Windows 10 onder de juridische loep worden gelegd.

De verschuiving van het verdienmodel
Voor veel gebruikers van Windows gaan ervaringen met de software tientallen jaren terug en is er een waar vertrouwen ontstaan met het besturingsprogramma. Waar deze  vertrouwensband de afgelopen jaren niet is veranderd, is het verdienmodel van Microsoft dat wél. Bedrijven zoals Microsoft hebben ingezien dat meer geld kan worden verdiend met het verzamelen van informatie over zijn gebruikers, dan met de verkoop van nieuwe softwarepakketten. Precies om díe reden wordt Windows 10 gratis ter beschikking gesteld en dat brengt de nodige privacyproblemen met zich mee.

Wat vraagt Windows 10 van u?
Windows 10 wil dus graag op de hoogte blijven van uw surfgedrag, maar hoe gaat dat in de praktijk? Wanneer er wordt gekozen voor de standaardinstallatie gaan consumenten onder andere akkoord met het volgende: 1) Elk computerprogramma leest unieke reclame-ID’s uit. Het surfgedrag van de gebruiker wordt op die manier gevolgd, waardoor advertenties verschijnen die zijn afgestemd op de gebruiker. 2) De computer slaat de locatie op van de gebruiker en deelt deze met alle applicaties die hierom vragen. 3) Ben je ingelogd met jouw Microsoft-account? Dan zien alle programma’s wie de gebruiker is, inclusief naam en foto. 4) Het gebruik van Cortana. Dit computerprogramma assisteert bij het openen van documenten. Alle gegevens die zijn ingevoerd worden opgeslagen op de servers van Microsoft en verzonden naar ieder programma dat deze informatie opvraagt.1https://www.charlotteslaw.nl/2015/08/maakt-windows-10-inbreuk-op-jouw-privacy/. Dat het uitwisselen van gegevens internationaal problemen kan opleveren is kortgeleden wederom aangetoond in de zaak Safe Harbor.2HvJ EU 6 oktober 2015, nr. C-362/14.

Verwerking van persoonsgegevens
Mede vanwege bovenstaande privacy-onvriendelijke instellingen heeft Microsoft veel kritiek over zich heen gekregen, onder andere van de Consumentenbond.3http://www.consumentenbond.nl/actueel/nieuws/2015/windows-10-vist-volop-naar-privegegevens/#posts. Ook over de grens heeft de lancering van Windows 10 het nodige stof doen opwaaien, bijvoorbeeld bij bekende software-websites als Hacker News en Reddit.4http://www.theguardian.com/technology/2015/jul/31/windows-10-microsoft-faces-criticism-over-privacy-default-settings. Is deze kritiek juridisch gezien eigenlijk wel terecht?

Er is sprake van een grote hoeveelheid persoonsgegevens die wordt opgeslagen op de servers van Microsoft. Op grond van de Wet bescherming persoonsgegevens is er sprake van een persoonsgegeven, wanneer de betreffende informatie is te herleiden naar een identificeerbare natuurlijke persoon.5art. 1 sub a Wbp. De kans dat de bijgevoegde naam en foto (zie bovenstaand punt 3) van je Microsoft-account hiertoe leiden is dan ook groot. Een foto wordt in de jurisprudentie van de Hoge Raad zelfs aangeduid als persoonsgegeven betreffende iemands ras, waarvan verwerking verboden is.6HR 23 maart 2010, NJ 2010/393 m.nt. P.A.M. Mevis. Dit bewijst dat er sprake is van een streng regime betreffende de verwerking van foto’s.

Verderop in dezelfde wet wordt de voorwaarde gesteld dat de betrokkene, in dit geval de consument, ondubbelzinnige toestemming moet hebben verleend voor verwerking van zijn of haar persoonsgegevens.7art. 8 lid 1 Wbp. Of er sprake is van deze ondubbelzinnige toestemming is discutabel. De wet stelt dat ‘toestemming’ betekent, dat de betrokkene een vrije, specifiek een op informatie berustende wil moet uiten, waarmee verwerking wordt goedgekeurd.8art. 1 sub i Wbp. Natuurlijk gaan gebruikers akkoord met de algemene voorwaarden bij de installatie van Windows 10, want ze willen het softwarepakket graag gebruiken. Het feit dat de voorwaarden lastig te vinden zijn kan hier een rol bij spelen. Voor de rechter kan overigens ook van belang zijn dat Microsoft deze privacy-onvriendelijke bepalingen bij de standaardinstallatie automatisch heeft aangevinkt. Deze automatische selectie, in combinatie met het verborgen karakter van het venster waar dit is aan te passen, is mijns inziens niet in overeenstemming met het geldende criterium: ‘een vrije, specifieke en op informatie berustende wilsuiting’. Een beroep bij de rechter op schending van het toestemmingsvereiste door Microsoft heeft dus kans van slagen.

Het cookiegebruik en de Cookiewet
De update naar Windows 10 doet meer juridische vraagtekens rijzen, bijvoorbeeld over cookies. Cookies zijn kleine tekstbestanden die een website opslaat op computers van bezoekers, om bijvoorbeeld loginnamen of voorkeursinstellingen te onthouden. Voor veel internetgebruikers zullen de pop-ups met cookiewaarschuwingen bekend voorkomen. Sinds 2012 dienen websites die gebruik maken van cookies uitdrukkelijke toestemming te vragen op grond van artikel 11.7a van de Telecommunicatiewet (‘de Cookiewet’). De strekking van de wet is dat iedereen zelf moet kunnen bepalen wat er gedownload of uitgelezen wordt van zijn computer of telefoon, aldus Arnoud Engelfriet.9http://blog.iusmentis.com/2015/09/15/de-cookiewet-is-dus-gemaakt-om-stiekeme-windows-10-preloads-tegen-te-gaan/.

Hoe verhoudt dit zich tot de update naar Windows 10? Het probleem dat zich bij de update voordoet is een bestand tussen de 3GB en 6GB, dat automatisch en zonder verplichte Cookiewet-toestemming wordt gedownload. Dit bestand komt vervolgens terecht in een verborgen map.10http://www.pcmweb.nl/nieuws/microsoft-schendt-cookiewet-voor-windows-10.html. Microsoft vraagt geen aparte toestemming voor deze download en kan dus alleen handelen in overeenstemming met de Cookiewet, als hen een beroep op een wettelijke uitzonderingsgrond toekomt. Zo vallen downloads die nodig zijn voor ‘puur technische redenen’ of ‘updates’ van bestaande software niet onder het toestemmingsvereiste. Van een technische reden is geen sprake, omdat Windows 8 immers ook blijft draaien zonder update. De update-uitzondering ziet op kleine toevoegingen aan bestaande software en niet op uitbreidingen van het formaat van 3GB tot 6GB. De kans is daarom groot dat als deze update onder het toestemmingvereiste valt, Microsoft geen beroep kan doen op een wettelijke uitzonderingsgrond en zodoende niet in overeenstemming handelt met de Cookiewet.

Conclusie
Met het kosteloos aanbieden van Windows 10 probeert Microsoft zijn gebruikers over te halen tot een update naar het nieuwe besturingsprogramma. Oplettendheid is hierbij geboden, omdat Microsoft met de huidige manier van verwerking van persoonsgegevens en een automatische update wellicht in strijd handelt met respectievelijk de Wet bescherming persoonsgegevens en de Cookiewet.

   [ + ]

1. https://www.charlotteslaw.nl/2015/08/maakt-windows-10-inbreuk-op-jouw-privacy/.
2. HvJ EU 6 oktober 2015, nr. C-362/14.
3. http://www.consumentenbond.nl/actueel/nieuws/2015/windows-10-vist-volop-naar-privegegevens/#posts.
4. http://www.theguardian.com/technology/2015/jul/31/windows-10-microsoft-faces-criticism-over-privacy-default-settings.
5. art. 1 sub a Wbp.
6. HR 23 maart 2010, NJ 2010/393 m.nt. P.A.M. Mevis.
7. art. 8 lid 1 Wbp.
8. art. 1 sub i Wbp.
9. http://blog.iusmentis.com/2015/09/15/de-cookiewet-is-dus-gemaakt-om-stiekeme-windows-10-preloads-tegen-te-gaan/.
10. http://www.pcmweb.nl/nieuws/microsoft-schendt-cookiewet-voor-windows-10.html.