Het onderzoek van de European Data Protection Supervisor (EDPS) begon in april. Deze week komt het met een voorlopige tussentijdse verklaring. Daarin stelt de organisatie dat het ernstige bezorgdheden heeft over de voorwaarden in de contracten tussen Microsoft en Europese organisaties.

Concreet gaat het over de manier waarop Microsoft data verzamelt en hoe het die data gebruikt. Onder de GDPR-wetgeving moet onder meer duidelijk zijn waarvoor iemand toestemming geeft. Ook eist de wet een onderscheid waarom bepaalde data wordt gebruikt. Bijvoorbeeld data die worden gebruikt om een product veiliger te maken, of data om te bepalen of iemand ook software van een concurrent gebruikt.

Het onderzoek is een vervolg op de vaststellingen die de Nederlandse overheid een jaar geleden deed. Daar stelde de overheid vast dat onder meer via Office 365 data werden verzameld zonder dat gebruikers daarvan op de hoogte waren.

EDPS verwijst naar Nederland, waar er verbeteringen zijn aangebracht in de overeenkomsten tussen Microsoft en de overheid. "De EDPS is van mening dat zulke oplossingen moeten uitgebreid worden naar alle publieke en private organisaties in de EU op korte termijn, en naar individuele gebruikers."