Microsoft wordt ervan beschuldigd dat het gegevens van zakelijke Office 365-gebruikers onrechtmatig zou delen met Facebook en andere derde partijen. Het bedrijf maakt zich sterk dat het niet in de fout is gegaan.
Er werd een class-action rechtszaak aangespannen bij het Amerikaanse District Court in San Francisco, in naam van enkele Office 365-klanten. De klacht luidt dat Microsoft regelmatig data van klanten deelt met partners, onderaannemers en ontwikkelaars, terwijl dat niet strikt noodzakelijk is voor het afleveren van aangekochte diensten.
In de klacht wordt omstandig aangetoond hoe Microsoft nochtans consequent aan zijn zakelijke klanten belooft dat hun gegevens niet worden gebruikt voor andere doeleinden dan het leveren van de specifieke diensten die de klant heeft gekocht.
“In tegenstelling tot wat het beweert, heeft Microsoft regelmatig de gegevens van zijn zakelijke klanten gedeeld – en blijft het die delen – met Facebook en andere derde partijen. De data wordt gedeeld, zelfs wanneer noch de klanten, noch hun contacten Facebook-gebruikers zijn”, klinkt het in de klacht.
“Zelfs als een klant deze ‘functie’ voor het delen met Facebook ontdekt en uitschakelt na het activeren van Office 365 of Exchange Online-services, is de schade al aangericht”, gaan de aanklagers verder. “Op dat moment zijn de contacten van de zakelijke klant gedeeld met Facebook.”
“Omdat Microsoft de contactgegevens van zijn zakelijke klanten deelt met Facebook, zijn de gegevens van klanten niet alleen toegankelijk voor Facebook, maar ook voor iedereen waarmee Facebook gegevens deelt, en met wie die identiteiten ook besluiten om de gegevens tot in het oneindige te delen.”
Datalekken
Volgens de aanklagers heeft Microsoft op die manier onrechtmatig data gedeeld met honderden onderaannemers, terwijl dat niet strikt noodzakelijk was. Ze wijzen er bovendien op dat sommige van die partijen slachtoffer zijn gevallen van datalekken, waardoor de gegevens in gevaar zijn gekomen. Denk maar aan het Cambridge Analytica-schandaal rond Facebook in 2018.
Verder zou Microsoft op regelmatige basis data zoals e-mails, documenten, locatiegegevens en mediabestanden van zakelijke klanten gebruiken om nieuwe producten te ontwikkelen, business intelligence te verzamelen of voor ander commercieel voordeel.
SOC-standaard
De aanklagers stellen ook dat de bewering van Microsoft dat het zich aan de standaarden voor systeem- en organisatiecontroles (SOC 1 en SOC 2) houdt, niet correct is. Ze verwijzen daarbij naar Microsofts eigen documentatie, waarin staat dat Microsoft Graph niet voldoet aan SOC 1 of 2.
“Omdat Microsofts Graph automatisch alle Office 365- en Exchange Online-gegevens van zakelijke klanten verzamelt en Graph niet voldoet aan de SOC-standaarden, voldoet Microsofts behandeling en gebruik van de Office 365- en Exchange Online-gegevens van zakelijke klanten ook niet aan de SOC-standaarden”, luidt de klacht.
Tot slot merken de aanklagers op dat “zelfs als een zakelijke klant geen applicatie van een derde partij heeft gedownload (en dus niet instemde met het delen van zijn gegevens met de derde partij), Microsoft de gegevens van de niet-instemmende zakelijke klant toch naar de externe ontwikkelaar verzendt als een andere Office 365-gebruiker instemde met de applicatie”.
Reactie Microsoft
Microsoft reageert tegenover The Register dat het op de hoogte is van de rechtszaak en de beschuldigingen in detail zal onderzoeken.
“Hoewel de beschuldigingen zelf niet erg specifiek zijn, geloven we niet dat ze terecht zijn. We hebben een gevestigde geschiedenis van zowel robuuste privacybescherming als transparantie, en we zijn ervan overtuigd dat ons gebruik van klantgegevens consistent is met de instructies van onze klanten en onze contractuele verplichtingen”, laat een woordvoerder weten.