Op 21 januari 2026 deed de Oostenrijkse Gegevensbeschermingsautoriteit (DSB) een uitspraak die elke school die Microsoft 365 Education gebruikt zorgen zou moeten baren: het bedrijf plaatste illegaal tracking cookies op het apparaat van een leerling zonder geldige toestemming.
Dit is de tweede keer dat Microsoft een AVG-zaak verliest in Oostenrijk over zijn onderwijssoftware. En de details onthullen een dieper probleem: scholen worden verantwoordelijk gehouden voor privacyschendingen waar ze niet eens van wisten.
Wat Microsoft daadwerkelijk deed
Volgens de Oostenrijkse toezichthouder installeerde Microsoft 365 Education cookies die:
- Gebruikersgedrag analyseren
- Browser-gerelateerde data verzamelen
- Worden gebruikt voor advertentie- en analytische doeleinden
Dit waren geen technisch noodzakelijke cookies die vereist zijn om de onderwijsdienst te leveren. Het waren tracking cookies — en ze werden geplaatst op het apparaat van een minderjarige zonder enige geldige rechtsgrond onder Artikel 6 van de AVG.
De Oostenrijkse autoriteit was expliciet: EU-wetgeving vereist expliciete toestemming voor niet-essentiële cookies, vooral wanneer minderjarigen betrokken zijn. Microsoft had geen dergelijke toestemming.
Scholen wisten het niet
Hier is het deel dat docenten zorgen zou moeten baren: zowel de school als het Oostenrijkse Ministerie van Onderwijs verklaarden dat ze niet op de hoogte waren van deze tracking cookies voordat de privacyorganisatie noyb klachten indiende.
Denk daar eens over na. Een school nam Microsoft 365 Education in gebruik — een product dat specifiek wordt aangeprezen voor onderwijskundig gebruik — en had geen idee dat het studenten trackte voor advertentiedoeleinden. Het ministerie dat toezicht houdt op onderwijs wist het ook niet.
Dit is niet ongewoon. Grote softwareleveranciers hebben enorme marktmacht. Scholen accepteren standaardcontracten met weinig ruimte voor onderhandeling. De gebruiksvoorwaarden zijn dicht, technisch en vaak onbegrijpelijk zelfs voor IT-professionals. Scholen vertrouwen erop dat "onderwijs"-producten geschikt zijn voor onderwijsomgevingen.
Dat vertrouwen was misplaatst.
Microsoft's verdediging — en waarom het faalde
Microsoft probeerde twee argumenten, beide afgewezen door de Oostenrijkse autoriteit:
Ten eerste beweerde Microsoft dat het niet de verwerkingsverantwoordelijke was — dat het slechts data verwerkte namens scholen, waardoor de scholen verantwoordelijk zouden zijn. De DSB verwierp dit, en stelde dat Microsoft de belangrijke beslissingen neemt over productontwerp en dataverwerking, inclusief het gebruik van cookies. Microsoft Corporation in de Verenigde Staten, niet de scholen, besloot om tracking cookies te installeren.
Ten tweede probeerde Microsoft de jurisdictie naar Ierland te verschuiven, met het argument dat zijn Ierse dochteronderneming de zaak zou moeten behandelen (Ierland staat bekend om tragere AVG-handhaving). De DSB verwierp dit ook, oordelend dat het in de VS gevestigde Microsoft Corporation de relevante beslissingen neemt.
Microsoft's reactie op de uitspraak? "Microsoft 365 for Education voldoet aan alle vereiste gegevensbeschermingsnormen." Ze bekijken de beslissing.
Dit is niet de eerste keer
In oktober 2025 deed dezelfde Oostenrijkse autoriteit uitspraak over een afzonderlijke klacht tegen Microsoft 365 Education. Die zaak oordeelde dat Microsoft het recht op toegang onder Artikel 15 van de AVG schond — in wezen, toen een student vroeg welke data Microsoft over hem had, kon (of wilde) Microsoft niet volledig antwoorden.
Duitse gegevensbeschermingsautoriteiten hebben al geconcludeerd dat Microsoft 365 niet voldoet aan AVG-vereisten.
Microsoft 365 Education wordt gebruikt door miljoenen studenten en docenten in heel Europa. Als het tracken van gebruikers zonder toestemming standaardgedrag is, is dit niet alleen een Oostenrijks probleem — het is een Europees probleem.
Wat dit betekent voor scholen
Onder de AVG kunnen scholen verantwoordelijk worden gehouden voor de dataverwerking die onder hun hoede plaatsvindt — zelfs wanneer ze er niet van wisten, zelfs wanneer ze geen andere voorwaarden hadden kunnen onderhandelen.
De Oostenrijkse uitspraak berispte zowel de school als het Ministerie van Onderwijs voor het niet informeren van studenten over het verzamelen en delen van hun persoonlijke gegevens. Met andere woorden: onwetendheid is geen verdediging.
Dit creëert een onmogelijke situatie. Scholen hebben niet de technische expertise om Microsoft's code te auditen. Ze kunnen de cookies die worden geplaatst niet lezen. Ze vertrouwen op leveranciers om eerlijk te zijn over wat hun software doet.
Wanneer dat vertrouwen afbrokkelt, krijgen scholen juridische blootstelling voor schendingen die ze niet hadden kunnen voorkomen.
Het alternatief: platforms die niet tracken
Niet elk platform werkt zoals Microsoft. Sommige zijn gebouwd met privacy als fundamenteel principe in plaats van een bijzaak.
Bij Simpleclass hebben we bewuste keuzes gemaakt:
Geen tracking cookies. We installeren geen cookies die gebruikersgedrag analyseren voor advertenties. Punt. Er is niets om toestemming voor te geven omdat we het simpelweg niet doen.
Minimale dataverzameling. We verzamelen alleen wat nodig is om het platform te laten werken: accounts, sessieschema's en de video/audio die nodig is voor lessen. We bouwen geen gedragsprofielen. We verzamelen geen data voor "interne rapportage en business modeling."
Alleen server-side analytics. We gebruiken privacy-respecterende analytics om te begrijpen hoe ons platform presteert — niet om individuele studenten te tracken. Er wordt geen persoonlijke data gedeeld met advertentienetwerken.
We verkopen geen data. Jullie studentdata is van jullie. We monetariseren het niet. We delen het niet met derden voor hun eigen doeleinden.
Europees bedrijf, Europese servers. Simpleclass is een Nederlands bedrijf met servers in Nederland en Frankrijk. We vallen niet onder de US CLOUD Act. Je data blijft in de EU, onder EU-recht.
Vragen om je huidige platform te stellen
Als je een school of bijlesinstituut runt, zou de Oostenrijkse uitspraak aanleiding moeten geven tot enkele kritische vragen over je huidige videoplatform:
- Welke cookies plaatst het platform? Zijn ze allemaal technisch noodzakelijk?
- Wordt gebruikersgedrag getrackt voor advertentie- of analytische doeleinden?
- Wie is de daadwerkelijke verwerkingsverantwoordelijke — jij of de leverancier?
- Kun je een duidelijk, volledig antwoord krijgen over welke data wordt verzameld over je studenten?
- Waar is de leverancier gevestigd? Vallen ze onder buitenlandse datatoeganswetten?
Als je geen duidelijke antwoorden kunt krijgen, is dat een probleem. Zoals de Oostenrijkse zaak aantoont, beschermt "we wisten het niet" je niet tegen handhavingsmaatregelen.
Privacy is niet optioneel
Max Schrems, oprichter van noyb, vatte de uitspraak samen: "Bedrijven en autoriteiten in de EU zouden compliant software moeten gebruiken. Microsoft heeft opnieuw niet aan de wet voldaan."
Voor scholen is de boodschap duidelijk: een platform kiezen gaat niet alleen over functies en prijs. Het gaat over of de leverancier de privacy van je studenten respecteert — en of je erop kunt vertrouwen dat ze eerlijk zijn over wat ze met data doen.
Simpleclass bestaat omdat we geloven dat bijlesinstituten beter verdienen dan gevangen te zitten in het kruisvuur van Big Tech's privacyschendingen. We hebben een platform gebouwd dat doet wat scholen nodig hebben — breakout room monitoring, sessie-opname, eenvoudige planning — zonder de surveillance die komt met enterprise software die is hergebruikt voor onderwijs.
Je studenten zijn geen producten. Hun data zou dat ook niet moeten zijn.