Er is een nieuwe versie van Outlook beschikbaar en die is volgens de privacy toezichthouder van NRW twijfelachtig. Hoe hij tot dat oordeel is gekomen staat in een lang posting en het draait uiteraard om een waarschijnlijk conflict met de AVG.
De update in kwestie is al enige tijd beschikbaar in de Microsoft Store en wordt gebundeld met Windows 11 23H2. Microsoft stelt dat deze update onder andere zorgt voor meer gemak en tal van andere verbeteringen. Dat klinkt onschuldig, maar om dat te kunnen waarmaken moet Microsoft alle mails, wachtwoorden en bijlages analyseren. Die taken vinden plaats in de Azure omgeving op basis van een kopie en dat is een probleem.
Om te beginnen is volgens de LDI van NRW geen sprake van het informeren van de gebruikers vooraf van de veranderingen en de onverenigbaarheid met de AVG (Art 5). Het gaat immers om het inzien en gebruiken van persoonsgegevens. Niet alleen van de houder van het account, maar ook van de personen waarmee per e-mail is gecommuniceerd. Iedere AVG kenner die bekend is met deze zaak heeft ook al vastgesteld dat Microsoft geen beroep kan doen op een “gerechtvaardigd belang” en de gegevens te vergaren en bewerken (Art 6). Sowieso heeft Microsoft ook daar nog geen toestemming voor gevraagd.
Het is daarom volkomen logisch dat sinds december 2023 de LDI van NRW communiceert dat voor wat de nieuwste Outlook versie een “ gegevensbeschermingsconform gebruik momenteel niet mogelijk is”.
Compliant?
En dat is nog niet alles. Een programma dat de wachtwoorden kopieert en in een eigen cloud zet? Welke systeembeheerder staat dat toe en kan vervolgens met droge ogen beweren compliant te zijn en aan alle ISO eisen te voldoen? Een slimme beheerder die Microsoft producten moet ondersteunen zal daarom ook moeten voorkomen dat gebruikers op hun vaste of mobiele devices de nieuwe omstreden versie installeren.
Vragen over het gebruik van Microsoft producten bestaan al heel lang. In dit geval komt de privacy toezichthouder tot de conclusie dat je goed moet na denken of je deze versie van Outlook wel wil omdat het uiterst twijfelachtig is of je als gebruiker daarmee niet een AVG overtreding begaat. Voor alle duidelijkheid: gebruiker staat hier ook voor de werkgever die zijn werknemers de app laat installeren en gebruiken, plus de IT beheerder.