Microsoft beschuldigd van "illegaal" volgen van leerlingen via 365 Education: Wat de uitspraak betekent voor gegevensprivacy

Kantoorgebouw van Microsoft met bedrijfslogo (Afbeelding bron: Simon Ray/Unsplash)

Microsoft is in Oostenrijk onder vuur komen te liggen nadat toezichthouders hadden geoordeeld dat het bedrijf "illegaal" gegevens van leerlingen bijhield via zijn 365 Education-platform. De beslissing roept nieuwe vragen op over gegevenstransparantie en de naleving van de Europese GDPR-normen door Big Tech.

David Odejide (vertaald door Ninh Duy), Gepubliceerd 15-10-2025 🇺🇸 🇪🇸 ...

Microsoft wordt geconfronteerd met een groot privacyprobleem in Europa, nadat de Oostenrijkse gegevensbeschermingsautoriteit oordeelde dat het bedrijf "illegaal" leerlingen volgde op zijn 365 Education-platform. De beslissing volgt op een klacht die was ingediend door de Oostenrijkse privacy-organisatie noyb. De groep stelde dat Microsoft had nagelaten om leerlingen toegang te geven tot hun persoonlijke gegevens en de GDPR-verantwoordelijkheden op scholen had afgeschoven.

Volgens noyb gaat de kwestie terug tot de COVID-19 pandemie, toen scholen overstapten op Microsoft 365 voor leren op afstand. Samen met dit nieuwe studieplatform kwam er een nieuw privacyrisico, aangezien de gegevens van studenten via een bedrijfscloudservice werden doorgegeven.

Wanneer een student een klacht indient en toegang tot zijn gegevens vraagt, verwijst Microsoft hem door naar zijn lokale school. Deze regeling was een uitdaging omdat de school slechts beperkte informatie kon bieden.

De toezichthouder oordeelde dat deze aanpak in strijd was met artikel 15 van de GDPR, waarin staat dat Microsoft, als verantwoordelijke voor de verwerking van gegevens, alle details moet verstrekken over hoe gebruikersgegevens worden verwerkt en of deze met derden worden gedeeld.

De Oostenrijkse autoriteit gaf Microsoft ook opdracht om technische termen zoals "interne rapportage", "bedrijfsmodellering" en "verbetering van kernfunctionaliteit" te verduidelijken. Ondertussen kregen de betrokken nationale en federale onderwijsautoriteiten het bevel om binnen tien weken soortgelijke transparantie te bieden.

Microsoft handhaafde zijn conformiteit en zei: "Microsoft 365 for Education voldoet aan alle vereiste gegevensbeschermingsnormen," en merkte op dat het de uitspraak zou herzien. Gegevensbeschermingsadvocaat Max Schrems van noyb stelde echter dat de zaak een bredere kwestie belicht. "Big Tech providers proberen alle macht naar zich toe te trekken, maar schuiven alle verantwoordelijkheden af op Europese klanten," zei Schrems.

De leverancier van bedrijfssoftware had ook aangevoerd dat zijn dochteronderneming in Ierland verantwoordelijk was voor 365 Education en dat de jurisdictie daar lag. De Oostenrijkse autoriteit verwierp dit echter en stelde dat Microsoft US de belangrijkste beslissingen nam.

De zaak benadrukt een groeiende wereldwijde bezorgdheid over de manier waarop grote technologiebedrijven omgaan met gegevens die van minderjarigen zijn verzameld in onderwijsomgevingen, vooral na de pandemie wanneer meer leerlingen afhankelijk zijn van tools zoals Microsoft 365 en Google Classroom voor leren op afstand. Als deze uitspraak wordt bevestigd, zou dit de manier waarop technologiebedrijven omgaan met gegevensverantwoordelijkheden in de Europese onderwijssector kunnen veranderen.