Microsoft wijzigt zijn online-authentificatiedienst Passport als gevolg van een schikking met de Amerikaanse Federale Handelscommissie (FTC). Die overheidsorganisatie onderzocht de beveiligingsproblemen en mogelijke privacyschendingen van het systeem.
De kritische aandacht van de FTC is vooral gewekt door beschuldigingen van privacy-organisaties vorig jaar dat Passport teveel persoonlijke informatie vergaart. Ook zou Passport berusten op oneerlijke of misleidende zakenpraktijken. Evenmin is de beveiliging van die persoonlijke gegevens – ofwel de privacy van de gebruikers -gewaarborgd. Bovendien zou het systeem meer informatie verzamelen dan gebruikers wordt gemeld.
Microsoft gebruikt zijn Passport-dienst onder meer voor zijn consumentenportaal MSN, directe-berichtennetwerk Messenger, informatiebron Developer Network, e-maildienst Hotmail, en online-aankopen bij onder meer E-Bay. Daarnaast moet de authentificatiedienst de basis vormen voor de .Net-strategie voor online-diensten, opgebouwd uit diverse applicaties en systemen.
Beveiliging
De FTC is het eens met een deel van de beschuldigingen. "Wij menen dat Microsoft op een aantal punten het publiek niet goed heeft voorgelicht", aldus FTC-voorzitter Thimothy Muris. "Dit zijn ten eerste de algemene beveiliging van het Passport-systeem en de daar opgeslagen persoonlijke informatie. Ten tweede de beveiliging van online-aankopen via Passport Wallet. Ten derde de soort persoonlijke gegevens die worden vergaard. En ten vierde de mate van controle die ouders hebben over de informatievergaring door websites die participeren in het Kids Passport-programma."
Ondanks deze harde woorden komt de softwareleverancier er nu met een waarschuwing vanaf. Het belooft beterschap, te beginnen met het verhogen van de beveiliging. "Een groot deel van de gesprekken met de FTC ging over ‘redelijke beveiliging’ en wat in 1999 redelijk was toen wij Hotmail lanceerden, is dat nu niet meer", aldus vice-president Brad Smith.
De schikking definieert verder niet wat een redelijke beveiliging is, maar Microsoft moet regelmatig opwaarderingen uitvoeren en mensen aanstellen die verantwoordelijk zijn, ook in geval van falen. Verder moet Passport een tweejaarlijkse keuring door een nog onbepaalde derde partij doorstaan. Het privacybeleid geniet – in de huidige, omstreden vorm – reeds de goedkeuring van Truste (http://www.truste.org).
Antitrustzaak
De getekende ‘overeenkomst voor goed gedrag’ heeft een geldigheidsduur van twintig jaar. Voor critici heeft dit veel weg van de ‘verklaring voor goed gedrag’ van Justitie die het concern in 1994 ondertekende, maar sindsdien heeft omzeild en geschonden. Dit heeft geleid tot de sinds 1998 lopende antitrustzaak van het ministerie.
De overeengekomen schikking komt overigens niet neer op het bekennen van schuld. In de antitrustzaak ontkent Microsoft ook schuld, hoewel het wel schuldig is verklaard door rechter Thomas Penfield Jackson. Dat oordeel is in hoger beroep – aangespannen door Microsoft – overeind gebleven, maar de straf is verworpen.
Jasper Bakker
