Microsoft365 : De Europese Commissie mag geen gegevens meer doorgeven aan de VS
Indignatie redactie
3 min. lezen
Teams, Word, Outlook – Microsoft’s Office-pakket wordt veel gebruikt. De Europese Commissie maakt er ook gebruik van en is er vandaag de dag mee in de problemen gekomen: het gebruik ervan is in strijd met de wetgeving inzake gegevensbescherming, kondigde de Europese Toezichthouder voor Gegevensbescherming aan. Hij dwong de commissie om veranderingen aan te brengen.
De Europese Commissie heeft de toepasselijke regelgeving inzake gegevensbescherming overtreden door Microsoft 365, het kantoorpakket van de technologiegigant, te gebruiken. Dat heeft de Europese Toezichthouder voor Gegevensbescherming (EDPS) vandaag bekendgemaakt . De Commissie moet nu stoppen met het gebruik van Microsoft 365 om gegevens over te dragen naar landen zonder adequate regels voor gegevensbescherming, zoals de VS. De EDPS heeft de Commissie een deadline van 9 december van dit jaar gegeven.
De EDPS heeft zijn procedure ingeleid naar aanleiding van het Schrems II-arrest in 2021. Het Europese Hof van Justitie verklaarde destijds dat het “Privacy Shield” onwettig was. Dit is de naam van het besluit van de Commissie, waarin het niveau van gegevensbescherming in de Verenigde Staten naar Europese normen als adequaat wordt omschreven. Het stelde bedrijven als Facebook en Google in staat persoonlijke gegevens van Europeanen naar de VS over te dragen. Zes jaar eerder had het Hof al een oorspronkelijke verordening, genaamd “Safe Harbor”, vernietigd .
Na het Schrems II-arrest bekritiseerde de EDPS het feit dat EU-instellingen steeds vaker met cloudsoftware van Amerikaanse bedrijven gingen werken. De bedrijven hebben aangekondigd de vonnissen ten uitvoer te willen leggen. De functionaris voor de gegevensbescherming heeft dit inmiddels gecontroleerd en komt tot de conclusie dat dit niet het geval is.
Een reeks fouten
De EDPS constateert een aantal fouten in zijn besluit. De Commissie heeft in haar licentieovereenkomst met Microsoft niet gespecificeerd dat bepaalde gegevens alleen om bepaalde redenen mogen worden verwerkt. Bovendien kan de Commissie er niet zeker van zijn dat Microsoft gegevens uitsluitend verwerkt voor het doel waarvoor deze zijn verzameld.
Volgens de EDPS heeft de Commissie er ook niet voor gezorgd dat gegevens adequaat werden beschermd wanneer deze naar derde landen werden doorgegeven. De overeenkomst met Microsoft bevat geen regels over welke gegevens mogen worden overgedragen. Bovendien heeft de Commissie enkele clausules in haar overeenkomst met Microsoft opgenomen waarvoor goedkeuring van de Data Protection Commissioner nodig zou zijn geweest, aldus het besluit. De Commissie heeft deze goedkeuring echter niet gekregen.
De functionaris voor gegevensbescherming ziet bijzondere problemen bij de omgang met het Schrems II-arrest. Voor de overdracht van persoonsgegevens naar het buitenland moeten de landen van bestemming een bepaald niveau van gegevensbescherming hebben. In het geval van Microsoft zijn dat de Verenigde Staten, en volgens de uitspraak van het HvJ voldoet het land niet aan de vereiste normen. Hetzelfde geldt voor officiële toegang tot opgeslagen gegevens, in dit geval door Amerikaanse veiligheidsautoriteiten en geheime diensten: de Commissie had hier de bestaande wetten moeten analyseren en ervoor moeten zorgen dat Microsoft de Commissie vóór mogelijke toegang op de hoogte bracht, schrijft de EDPS. Maar dat deed ze niet.
Reactie nog onzeker
Het is de verantwoordelijkheid van de EU-instellingen om ervoor te zorgen dat alle persoonsgegevens met adequate gegevensbescherming worden verwerkt, zei de Europese toezichthouder voor gegevensbescherming Wojciech Wiewiórowski over het besluit. Dit geldt zowel binnen als buiten de Unie.
Een Microsoft-woordvoerder vertelde The Register dat het de uitspraak nu samen met de Commissie zou analyseren. Andere klanten zouden Microsoft 365 echter zonder zorgen en met rechtszekerheid kunnen blijven gebruiken, omdat het besluit alleen van toepassing is op de speciale gegevensbeschermingswet voor EU-instellingen.
De Commissie was er zelf zeker van dat zij de toepasselijke regels inzake gegevensbescherming had nageleefd. Dat zei een woordvoerder gisteren. Tijdens het onderzoek van de functionaris voor gegevensbescherming zijn al verbeteringen doorgevoerd.
“Helaas lijkt het waarschijnlijk dat de uitvoering van het EDPS-besluit het huidige hoge niveau van mobiele en geïntegreerde IT-diensten in gevaar zal brengen”, aldus de woordvoerder van de Commissie. “Dit geldt niet alleen voor Microsoft, maar mogelijk ook voor andere commerciële IT-diensten.” Alvorens verder commentaar te geven op het besluit, zal de Commissie deze eerst in detail onderzoeken.
