Akses kebocoran data di Outlook baru: Para pendukung perlindungan data menyarankan untuk tidak melakukannya

Outlook “baru” untuk Windows dari Microsoft mengakses dan menyimpan data di cloud Microsoft, dan dirilis sekitar satu setengah minggu yang lalu. Petugas perlindungan data federal Ulrich Kelber kemudian menyatakan keprihatinannya. Kini semakin banyak pakar dan pejabat perlindungan data yang angkat bicara. Di antara mereka adalah Komisaris Negara Thuringian untuk Perlindungan Data dan Kebebasan Informasi (TLfDI), Lutz Haas, yang merekomendasikan untuk tidak menggunakan versi Outlook baru.

iklan

dokter. Lutz Haas menulis surat tentang ini (Itu dapat dilihat di sini sebagai file PDF). Misalnya, mengenai pernyataan Microsoft tentang heise online dan c’t, yang menyatakan bahwa pengguna yang tidak ingin menggunakan akun mereka dengan Microsoft Cloud dapat membatalkan operasi saat beralih dan kembali ke Outlook klasik, dia menulis: “Dengan kata lain, Anda bisa menggunakan versi baru atau bisa menggunakan Outlook Sesuai keinginan Microsoft (dengan transfer data) atau tidak menggunakannya sama sekali… kamu nakal kalau menurutmu ada yang buruk :)”

Petugas Perlindungan Data Thuringia menyarankan hal ini

Surat tersebut diakhiri dengan catatan: “Saat ini, TLfDI sangat menyarankan agar Anda mempertimbangkan dengan cermat persetujuan terhadap pelanggaran privasi mendalam yang dilakukan oleh aplikasi ‘New Outlook’ dan menarik kesimpulan yang tepat dari informasi di atas. Ambil hak untuk memilih apa yang terjadi dioperasikan oleh Microsoft sendiri dan tinggalkan versi Outlook yang baru!”

Mantan Komisaris Negara untuk Perlindungan Data dan Kebebasan Informasi di Baden-Württemberg, Stefan Brink, yang menjabat posisi ini dari tahun 2017 hingga 2022, juga menanggapi permintaan kami dan memberikan evaluasi.

Mantan Petugas Perlindungan Data di Baden-Württemberg

“Pendekatan Microsoft setidaknya tidak jelas,” tulis Brink. “Tidak selalu jelas bagi pengguna aplikasi Outlook untuk Windows atau MacOS apa artinya mengizinkan pengambilan email dari akun email lain. Ini berarti bahwa akses data untuk akun email ini dipahami Digunakan oleh aplikasi – tetapi jika data akses Microsoft juga digunakan untuk membuat akun MS Cloud dan menyimpan data dari akun email lain di sana, ini tidak hanya mengejutkan (setidaknya bagi semua orang yang tidak memilikinya akun Microsoft), tetapi ini juga menimbulkan risiko tambahan karena tidak semua orang ingin menyimpan email mereka di cloud.

Brink lebih jelasnya: “Ini mungkin merupakan pelanggaran hukum di pihak pengguna, misalnya, jika dia, sebagai pegawai layanan publik atau pemegang rahasia bisnis di perusahaannya, tunduk pada peraturan kerahasiaan tertentu yang melarang penyimpanan data sensitif di cloud. Selain itu, pengguna memberi Microsoft akses ke konten email – dan sebagai aturan, mereka tidak diizinkan melakukannya.”

“Saya merasa pendekatan yang dilakukan Microsoft ini sangat meresahkan karena kami telah mengalami masalah ini dengan aplikasi ponsel pintar Outlook – Microsoft telah memperbaiki pendekatannya dalam hal ini, namun kini melakukan kesalahan yang sama,” tambah Brink.

Mengenai klasifikasi terkait Peraturan Perlindungan Data Umum (GDPR), Brink menjelaskan: “GDPR memberlakukan kewajiban transparansi yang luas pada penyedia layanan ini sebagai pihak yang bertanggung jawab; salah satu prinsipnya adalah data pribadi diproses dengan cara yang dapat dimengerti oleh subjek data dalam GDPR (Pasal 5 Paragraf 1 GDPR). Kita dapat meragukan bahwa pendekatan Microsoft yang dijelaskan di sini adil dalam masalah ini.”

“Memindahkan email ke akun cloud tambahan juga menimbulkan pertanyaan penting mengenai perlindungan data berdasarkan desain (Pasal 25 GDPR) dan keamanan data secara umum (Pasal 32 GDPR), karena redundansi lokasi penyimpanan meningkat,” tambah Brink. Selalu ada risiko keamanan yang terkait. ” . Otoritas pengawas perlindungan data diharapkan akan melakukan intervensi dan setidaknya memanfaatkan pilihan mereka untuk memperingatkan atau mengeluarkan peringatan. Demikian apa yang kini dipaparkan oleh Petugas Perlindungan Data Thuringian.

Informasi terkini dari Badan Perlindungan Data Federal

Ketika ditanya oleh c’t, juru bicara Komisaris Perlindungan Data Federal dan Kebebasan Informasi (BfDI) Kelber juga menjelaskan bahwa dia telah “meminta rekan-rekannya di Irlandia dalam kerangka Dewan Perlindungan Data Eropa” untuk “memberikan penilaian untuk mengabaikannya secepat mungkin”. Beliau juga memberitahu mereka tentang diskusi yang terjadi di Jerman dan mengirimi kami informasi tertulis tentang diskusi umum tersebut. “Karena kami belum menerima informasi apa pun dari otoritas pengawas perlindungan data (DPC) terkemuka di Irlandia, kami tidak dapat melakukan penilaian perlindungan data,” pungkas juru bicara Kelber.

Pekan lalu, Kelber merespons lebih awal laporan kebocoran data yang tidak diinginkan di Mastodon dan mengumumkan permintaan kepada Otoritas Perlindungan Data Microsoft Irlandia untuk pertemuan otoritas pengawas perlindungan data Eropa pada Selasa pekan lalu.

Akan menarik untuk melihat bagaimana isu ini berkembang lebih jauh. Microsoft telah menambal bug serupa di aplikasi seluler Outlook. Perusahaan belum menandai Outlook baru sebagai rilis final, jadi penambalan juga masih mudah dilakukan di sini.

(darahmu)