De Europese Toezichthouder voor Gegevensbescherming (EDPS) heeft onlangs vastgesteld dat de Europese Commissie gebruik maakt van Microsoft 365 schendt de strenge regels voor gegevensbescherming van het blok.
Dit baanbrekende besluit benadrukt de groeiende spanning tussen het gemak van cloudgebaseerde productiviteitssuites en de dringende noodzaak om gevoelige gegevens te beschermen, vooral binnen overheidsinstellingen.
De datapraktijken van de Commissie waren onveilig
De EDPS heeft het initiatief genomen onderzoek in het gebruik van Microsoft 365 door de Commissie in mei 2021, aangewakkerd door zorgen over de transatlantische gegevensoverdracht en de naleving van de Algemene Verordening Gegevensbescherming (AVG) van de EU.
De kern van het probleem ligt in het feit dat Microsoft, als in de VS gevestigd bedrijf, onderworpen is aan Amerikaanse wetten zoals de CLOUD-wet, waardoor de Amerikaanse autoriteiten mogelijk toegang krijgen tot gegevens die zijn opgeslagen op de servers van Microsoft.
Na zorgvuldig onderzoek kwam de EDPS tot de conclusie dat de Commissie er niet in was geslaagd voldoende waarborgen te bieden voor de doorgifte van gegevens naar de VS. Dit maakt gegevens van EU-burgers potentieel kwetsbaar voor toegang door Amerikaanse inlichtingendiensten, wat ernstige vragen oproept over privacy en gegevenssoevereiniteit.
Waar faalde de gegevensbescherming van de commissie?
De EDPS heeft niet alleen algemeen alarm geslagen over Microsoft 365, maar heeft ook precies aangegeven waar de Commissie de fout heeft gemaakt.
Ten eerste waren er niet voldoende waarborgen bij het verzenden van persoonlijke gegevens buiten Europa. Dat is een enorme rode vlag, vooral nadat die hele Privacy Shield-overeenkomst werd geschrapt in het Schrems II-besluit, dat duidelijk maakte dat Amerikaans toezicht een probleem zou kunnen zijn.
Dan is er nog de vraag of de Commissie überhaupt Microsoft 365 nodig had. Ze konden niet echt uitleggen waarom het zo essentieel was. Dit doet ons afvragen of ze via Microsoft veel meer gegevens verwerkten dan eigenlijk nodig was.
En tot slot lijkt het erop dat de eerste privacycontrole van de Commissie voordat ze Microsoft 365 gingen gebruiken, niet grondig genoeg was. Dat is een groot probleem. Door die beoordeling goed uit te voeren, kun je de privacyrisico's opmerken en ermee omgaan voordat ze een probleem worden.
Microsoft 365 kan in de EU donker worden
Het vonnis van de EDPS is niet slechts een waarschuwingsschot voor de boeg. Dit is een ernstig ultimatum met grote gevolgen. De Commissie heeft nu een krappe deadline, 9 december 2024, om alle gegevensstromen naar Microsoft en haar Amerikaanse partners als gevolg van hun gebruik van de Microsoft 365-suite volledig stop te zetten.
Het niet naleven ervan zou tot aanzienlijke boetes kunnen leiden en de reputatie van het centrale bestuursorgaan van de EU kunnen schaden. Hierdoor zitten ze in een krappe situatie.
Worstelen ze om een alternatieve manier te vinden om met hun gegevens om te gaan op een manier die in overeenstemming is met de EU-wetgeving, of worden ze geconfronteerd met de mogelijke gevolgen van verzet?
De commissie reageert
De Commissie bevestigde de ontvangst van het besluit van het EDPB en zei dat zij de redenering “in detail” zal moeten analyseren voordat zij een besluit neemt over de verdere stappen.
In een reeks uitspraken tijdens een persconferentie, spraken ze hun vertrouwen uit dat het voldoet aan “de toepasselijke regels voor gegevensbescherming, zowel feitelijk als juridisch”.
Zij noemden ook “verschillende verbeteringen” die tijdens het onderzoek al waren aangebracht in de contracten met de EDPS.
De Commissie benadrukte voorts haar inzet voor gegevensbescherming en samenwerking met de EDPS:
“We hebben sinds het begin van het onderzoek volledig samengewerkt met de EDPS… De Commissie heeft altijd klaar gestaan om elke onderbouwde aanbeveling van de EDPS uit te voeren en is dankbaar voor de ontvangst ervan. Gegevensbescherming is een topprioriteit voor de Commissie”.
Het dilemma: privacy versus disruptie
De verklaringen van de Commissie duiden echter ook op het potentieel voor aanzienlijke verstoringen als zij gedwongen zou worden Microsoft 365 stop te zetten. Zij beweren dat “naleving van het EDPS-besluit helaas waarschijnlijk het huidige hoge niveau van mobiele en geïntegreerde IT-diensten zal ondermijnen”.
Deze verklaring onderstreept de spanning tussen het handhaven van een naadloze operationele stroom en het garanderen van ijzersterke gegevensbescherming.
Wat volgt?
De Commissie heeft beloofd het besluit van de EDPS zorgvuldig te zullen analyseren, en daarbij te suggereren dat er een periode van intern overleg in het verschiet ligt. De uiteindelijke uitkomst blijft onzeker: zullen ze prioriteit geven aan compliance, wat mogelijk ten koste gaat van het bedieningsgemak, of zullen ze zoeken naar een compromisoplossing?
Het antwoord zal bredere gevolgen hebben voor de toekomst van datamanagement binnen de Europese Unie.
Uitgelicht afbeeldingstegoed: Microsoft.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://dataconomy.com/2024/03/12/eu-vs-microsoft-365-privacy-battle/
