Microsoft schendt AVG met 365 Education oordeelt Oostenrijkse toezichthouder
Microsoft schendt met de software 365 Education op verschillende punten de AVG, zo heeft Oostenrijkse privacytoezichthouder DSB geoordeeld in een zaak die door privacyorganisatie noyb was aangespannen. Zo worden trackingcookies zonder toestemming geplaatst en voldoet Microsoft niet aan inzageverzoeken. Het techbedrijf moet persoonlijke data die via cookies is verzameld verwijderen en de gevraagde informatie verstrekken.
Tal van Oostenrijkse scholen maken gebruik van Microsoft 365 Education. Een leerling deed een inzageverzoek om te zien welke gegevens Microsoft over hem had verzameld. Microsoft verwees de leerling naar zijn lokale school. De school kon alleen minimale informatie verstrekken, omdat het geen toegang heeft tot de informatie die bij Microsoft is opgeslagen. Daarop startte de leerling samen met noyb een zaak tegen de school, het Oostenrijkse ministerie van Onderwijs en Microsoft.
De Oostenrijkse privacytoezichthouder stelde meerdere AVG-overtredingen vast. Zo maakt Microsoft 365 Education zonder toestemming gebruik van trackingcookies. De DSB oordeelde dat Microsoft relevante persoonlijke data die het op deze manier heeft verkregen en verwerkt moet verwijderen. Daarnaast schond Microsoft het recht op inzage, door geen volledige toegang tot de informatie van de leerling te geven. Microsoft moet nu alsnog deze toegang geven. Verder moet het techbedrijf ook in duidelijke termen uitleggen voor welke zakelijke doeleinden het de data gebruikt.
De toezichthouder oordeelde ook dat de school van de leerling en het Oostenrijkse ministerie van Onderwijs verdere informatie moeten verstrekken, met name welke informatie er van de leerling naar Microsoft is gestuurd. De DSB benadrukt dat Microsoft het ministerie geen volledige informatie geeft met betrekking tot de gegevensverwerking in Microsoft 365 Education, waardoor lokale scholen niet aan hun verplichtingen onder de AVG kunnen voldoen.
Noyb denkt dat de uitspraak vergaande gevolgen voor Microsoft heeft. "Als Microsoft geen duidelijk informatie verstrekt en commerciële klanten niet meer mogelijkheden geeft, is het gebruik van Microsoft 365 nauwelijks compliant met Europese wetgeving."
Zie: https://www.security.nl/posting/907325/
Ik ben altijd een voorstander geweest van een contract van 2 á 3 bladzijdes en als je daar niet aan kan voldoen dan is het exit.
Iedere Big Tech verschuilt zich echter achter contracten van dikke boekwerken en ik heb al bij menig onderhandeling meegemaakt dat er klanten zijn die dit fantastisch vinden want dan kun je het hier over hebben tijdens die onbelangrijke borrelpraat hoe belangrijk je wel niet bent.
Iedereen vergeet dat zulke boekwerken kunnen leiden tot eindeloze touwtrekkerij bij de rechter en daar is het Big Tech precies om te doen want een contract van 2 á 3 kantjes is zo doorheen geprikt.
Ook Nederlandse scholen die gebruikmaken van Microsoft 365 Education moeten zich ervan bewust zijn dat zij moeten voldoen aan de AVG en de rechten van medewerkers en leerlingen respecteren. Microsoft is de verwerker en via de verwerkingsverantwoordelijk, de school, moet een inzageverzoek makkelijk in te dienen zijn.
De uitspraak benadrukt opnieuw het belang van transparantie, controle over gegevens en het recht op inzage. Het is daarom wenselijk dat ook in Nederland het onderwijs en de Autoriteit Persoonsgegevens dit signaal serieus nemen en toetsten of Microsoft 365 daadwerkelijk AVG-compliant wordt ingezet in Nederland.
Is de DPIA van Sivon, Surf nog wel actueel?
Big Tech wordt zo steeds meer controversieel. Voor het onderwijs zijn er al initiatieven zoals die van SIVON https://sivon.nl/ospo-voor-het-onderwijs/
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als IT Security Officer heeft jouw werk impact op de informatie-beveiliging van onze inwoners, zoals het risico op blootstelling van gevoelige gegevens aan ongeautoriseerde toegang. Door jouw bijdrage maak je echt het verschil in het waarborgen van de veiligheid van onze gemeente. Solliciteer nu!
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?