Microsoft pålagt å skjerpe personvernet

Et forlik med USAs konkurransemyndighet pålegger Microsoft å skjerpe personvernet og sikkerheten i den digitale ID-ordningen Passport.

Microsoft "Passport" er selskapets ordning for digital legitimasjon på nettet, og er først og fremst rettet mot individuelle brukere. Hensikten er å tilby en felles legitimasjon for en rekke tjenester der den tjenesteytende part ønsker å vite hvem brukeren er, for eksempel i forbindelse med betaling eller meldingsformidling.

Passport er påkrevet for en rekke av Microsofts egne tjenester, blant annet e-posttjenesten Hotmail. Ordningen har vært markedsført forholdsvis aggressivt, blant annet ved at Windows XP oppfordrer nye brukere til å tegne et Passport-abonnement de første fem gangene de kopler seg til Internett. Anslagsvis 200 millioner brukere skal være registrert. Mange av disse er ikke spesielt aktive, og flere kan antas å være registrert flere ganger under ulike brukernavn. Likevel er antallet betydelig.

Amerikanske personvernorganisasjoner, i første rekke Electronic Privacy Information Center (EPIC), klaget Passport inn til USAs konkurransemyndighet Federal Trade Commission (FTC) i juli og august i fjor. FTC tok anklagene alvorlig og innledet prosessen som førte til gårsdagens forlik. Press fra FTC kan tenkes å ha bidratt til de betydelige endringene Microsoft varslet for Passport i september i fjor.

Les også:

FTCs etterforskning avslørte at Microsoft samlet på langt mer informasjon om Passport-brukerne enn det som framgikk av selskapets offentlige uttalelser, blant annet om hvilke nettsteder de besøkte, og når besøkene fant sted. Informasjonen ble oppbevart i opptil 90 dager.

FTC oppdaget også at det faktiske sikkerhetsnivået lå godt under det Microsoft påsto å holde seg til. Blant annet var prosedyrene for å hindre og avdekke innbrudd i systemet, utilstrekkelige.

Sikkerheten i innkjøpsordningen Passport Wallet og foreldrenes muligheter til å kontrollere sine barns bruk av "Kids Passport", en egen Passport-variant for mindreårige, ble også kritisert.

I det åtte sider lange forliket forplikter Microsoft seg til å informere korrekt og presist om hva Passport samler opp av informasjon, og om hvordan denne informasjonen brukes. Foreldre skal vite nøyaktig hvordan de skal bruke Passport til å overvåke og styre barnas surfing.

Microsoft må videre drive et eget program for å garantere "sikkerheten, konfidensialiteten og integriteten til den personlige informasjonen som samles fra eller om kundene". Det skal informeres åpent og presist om den risikoen kundene utsetter seg for ved å bruke Passport.

Forliket innebærer også en kontrollordning. Innen ett år, og deretter annet hvert år helt til forliket utløper i 2022, skal Passport utsettes for revisjon fra en uavhengig tredjepart.

EPIC-sjef Marc Rotenberg sier til amerikansk presse at han er svært tilfreds med forliket. Det samme er Microsofts sjefjurist Brad Smith, som undertegnet avtalen. Rotenberg mener FTC i noen tilfeller gikk lenger enn EPIC hadde håpet på, og ser fram til at forliket skaper presedens for andre selskapers ordninger for digital legitimasjon. Dette vil i så fall gjelde for blant andre Sun med sin Liberty Alliance Project, Passports fremste utfordrer. Sun har offentliggjort en erklæring der forliket roses som et "lenge etterlengtet og nødvendig første skritt" til å ivareta online-kunders sikkerhet og personvern.

Til toppen