De Europese Toezichthouder voor Gegevensbescherming (EDPS) heeft onlangs vastgesteld dat het gebruik van Microsoft 365 door de Europese Commissie in strijd is met de strenge regels voor gegevensbescherming van het blok.
Het bomonderzoek
De De EDPS heeft zijn onderzoek ingesteld in het gebruik van Microsoft 365 door de Commissie in mei 2021, aangewakkerd door zorgen over de transatlantische gegevensoverdracht en de naleving van de Algemene Verordening Gegevensbescherming (AVG) van de EU.
De kern van het probleem ligt in het feit dat Microsoft, als in de VS gevestigd bedrijf, onderworpen is aan Amerikaanse wetten zoals de CLOUD Act. Amerikaanse autoriteiten toegang verlenen tot gegevens die zijn opgeslagen op de servers van Microsoft.
Na zorgvuldig onderzoek kwam de EDPS tot de conclusie dat de Commissie er niet in was geslaagd voldoende waarborgen te bieden voor de doorgifte van gegevens naar de VS.
Dit vertrekt Gegevens van EU-burgers zijn mogelijk kwetsbaar toegang voor Amerikaanse inlichtingendiensten, wat ernstige vragen oproept over privacy en datasoevereiniteit.
Belangrijke inbreuken
De EDPS heeft niet alleen algemeen alarm geslagen over Microsoft 365, maar heeft ook precies aangegeven waar de Commissie de fout heeft gemaakt.
Ten eerste waren er niet voldoende waarborgen bij het verzenden van persoonlijke gegevens buiten Europa. Dat is een enorme rode vlag, vooral daarna de hele Privacy Shield-overeenkomst werd van tafel geveegd in de Schrems II besluit, dat duidelijk maakte dat Amerikaans toezicht een probleem zou kunnen zijn.
Dan is er nog de vraag of de Commissie überhaupt Microsoft 365 nodig had. Ze konden het niet echt uitleggen waarom het zo essentieel was. Dit doet ons afvragen of ze via Microsoft veel meer gegevens verwerkten dan eigenlijk nodig was.
En tot slot lijkt het erop dat de eerste privacycontrole van de Commissie voordat ze Microsoft 365 gingen gebruiken, niet grondig genoeg was. Dat is een groot probleem – door die beoordeling goed te maken, kun je die privacyrisico’s opmerken en ermee omgaan voordat ze een probleem worden.
De EU beveelt Microsoft 365 af te sluiten als niet aan de vereisten wordt voldaan
Het vonnis van de EDPS is niet slechts een waarschuwingsschot voor de boeg. Dit is een ernstig ultimatum met grote gevolgen.
De Commissie heeft nu een strakke deadline, 9 december 2024naar alle gegevensstromen naar Microsoft en zijn Amerikaanse partners volledig stop te zetten die voortkomen uit hun gebruik van de Microsoft 365-suite.
Het niet naleven ervan zou tot aanzienlijke boetes kunnen leiden en de reputatie van het centrale bestuursorgaan van de EU kunnen schaden.
Hierdoor zitten ze in een krappe situatie.
Worstelen ze om een alternatieve manier te vinden om met hun gegevens om te gaan op een manier die in overeenstemming is met de EU-wetgeving, of worden ze geconfronteerd met de mogelijke gevolgen van verzet?
Uitgelicht beeldtegoed: Microsoft.