In de nasleep van de pandemie zijn scholen in de Europese Unie steeds meer begonnen met het implementeren van digitale diensten voor online leren. Hoewel deze moderniseringsinspanningen een welkome ontwikkeling zijn, heeft een klein aantal grote techbedrijven meteen geprobeerd om de ruimte te domineren - vaak met de bedoeling om kinderen aan hun systemen te laten wennen en een nieuwe generatie toekomstige "loyale" klanten te creëren. Een van hen is Microsoft, wiens 365 Education diensten de rechten van kinderen op het gebied van gegevensbescherming schenden. Toen leerlingen hun GDPR-rechten wilden uitoefenen, zei Microsoft dat scholen de "verwerkingsverantwoordelijke" waren voor hun gegevens. De scholen hebben echter geen controle over de systemen.
- Eerste klacht tegen Microsoft (DE)
- Eerste klacht tegen Microsoft (EN automatische vertaling)
- Tweede klacht tegen Microsoft (DE)
- Tweede klacht tegen Microsoft (EN automatische vertaling)
Verschuiving van verantwoordelijkheid tussen Big Tech en lokale scholen. Softwareleveranciers zoals Microsoft hebben een enorme marktmacht, waardoor ze de voorwaarden van contracten kunnen dicteren met iedereen die hun producten wil gebruiken. Tegelijkertijd proberen deze softwareleveranciers hun verantwoordelijkheid te ontlopen door vol te houden dat bijna alle verantwoordelijkheid bij de lokale autoriteiten of scholen ligt. In werkelijkheid heeft geen van beiden de macht om te beïnvloeden hoe Microsoft daadwerkelijk gebruikersgegevens verwerkt. In plaats daarvan worden ze geconfronteerd met een take-it-or-leave-it situatie waarin alle beslissingsbevoegdheid en winst bij Microsoft ligt, terwijl scholen geacht worden de meeste risico's te dragen. Scholen hebben geen realistische manier om te onderhandelen of de voorwaarden te veranderen.
GDPR-rechten worden genegeerd. In de praktijk leidt dit tot een situatie waarin Microsoft het grootste deel van zijn wettelijke verantwoordelijkheden onder de GDPR contractueel probeert te dumpen bij scholen die Microsoft 365 Education-diensten leveren aan hun leerlingen of studenten. Dit betekent bijvoorbeeld dat verzoeken om toegang tot Microsoft onbeantwoord blijven, terwijl scholen geen realistische manier hebben om aan dergelijke verzoeken te voldoen omdat ze niet over de benodigde gegevens beschikken.
Maartje de Graaf, advocaat gegevensbescherming bij noyb: "Deze take-it-or-leave-it aanpak van softwareleveranciers zoals Microsoft schuift alle GDPR-verantwoordelijkheden door naar scholen. Microsoft heeft alle belangrijke informatie over gegevensverwerking in zijn software, maar wijst met de vinger naar scholen als het gaat om het uitoefenen van rechten. Scholen hebben geen enkele manier om aan de transparantie- en informatieverplichtingen te voldoen."
Los van de werkelijkheid. In Oostenrijk, waar noyb haar twee klachten heeft ingediend, worden lokale schooldirecteuren verondersteld de taak te hebben om de "doeleinden en middelen" onder artikel 4(7) GDPR te bepalen en om naleving te garanderen tegenover internationale softwareleveranciers zoals Microsoft. Dit resulteert in een nalevingsregime dat volledig losstaat van de realiteit van de gegevensverwerking.
Maartje de Graaf, advocaat gegevensbescherming bij noyb: "Onder het huidige systeem dat Microsoft oplegt aan scholen, zou je school Microsoft moeten auditen of hen instructies moeten geven over hoe ze de gegevens van leerlingen moeten verwerken. Iedereen weet dat dergelijke contractuele afspraken niet stroken met de werkelijkheid. Dit is niets anders dan een poging om de verantwoordelijkheid voor de gegevens van kinderen zo ver mogelijk van Microsoft weg te schuiven."
Een doolhof van privacydocumentatie. Proberen uit te vinden welk privacybeleid of welke privacydocumenten precies van toepassing zijn op het gebruik van Microsoft 365 Education is een expeditie op zich. Er is een ernstig gebrek aan transparantie, waardoor gebruikers en scholen gedwongen worden om door een doolhof van privacybeleid, documenten, voorwaarden en contracten te navigeren die allemaal van toepassing lijken te zijn. De informatie in deze documenten is altijd net iets anders, maar consequent vaag over wat er daadwerkelijk gebeurt met de gegevens van kinderen wanneer ze gebruik maken van Microsoft 365 Education diensten.
Maartje de Graaf, advocaat gegevensbescherming bij noyb: "Microsoft geeft zulke vage informatie dat zelfs een gekwalificeerde jurist niet volledig kan begrijpen hoe het bedrijf persoonsgegevens verwerkt in Microsoft 365 Education. Het is bijna onmogelijk voor kinderen of hun ouders om de omvang van Microsofts gegevensverzameling te achterhalen."
In het geheim kinderen volgen. Maar dit is niet het enige probleem. Hoewel de klager geen toestemming gaf voor tracking, installeerde Microsoft 365 Education toch cookies die volgens Microsofts eigen documentatie gebruikersgedrag analyseren, browsergegevens verzamelen en gebruikt worden voor advertenties. Dergelijke tracking, die gewoonlijk wordt gebruikt voor zeer ingrijpende profilering, wordt blijkbaar uitgevoerd zonder dat de school van de klager hiervan op de hoogte is. Aangezien Microsoft 365 Education op grote schaal wordt gebruikt, volgt het bedrijf waarschijnlijk alle minderjarigen die hun onderwijsproducten gebruiken. Het bedrijf heeft geen geldige rechtsgrondslag voor deze verwerking.
Felix Mikolasch, advocaat gegevensbescherming bij noyb: "Onze analyse van de gegevensstromen is zeer zorgwekkend. Microsoft 365 Education lijkt gebruikers te volgen, ongeacht hun leeftijd. Deze praktijk heeft waarschijnlijk gevolgen voor honderdduizenden leerlingen en studenten in de EU en de EER. De autoriteiten moeten eindelijk in actie komen en de rechten van minderjarigen effectief handhaven."
Talloze kinderen worden hierdoor getroffen. noyb vraagt de Oostenrijkse gegevensbeschermingsautoriteit (DSB) te onderzoeken en feitelijk te analyseren welke gegevens door Microsoft 365 Education worden verwerkt. Noch Microsofts privacydocumentatie, verzoeken om toegang of noybseigen onderzoek konden dit volledig ophelderen, wat in strijd is met de transparantiebepalingen van de GDPR. Bovendien heeft het bedrijf het recht op toegang niet nageleefd. Aangezien de algemene voorwaarden en de privacydocumentatie van Microsoft 365 Education uniform zijn voor de EU/EER, worden alle kinderen die in deze landen wonen blootgesteld aan dezelfde schendingen van hun GDPR-rechten. Daarom stelt noyb ook voor dat de autoriteit Microsoft een boete oplegt.