De Europese Commissie maakt zich schuldig aan privacyovertredingen door de manier waarop data van Microsoft 365 naar Microsoft of andere dataverwerkers buiten de EU wordt gestuurd.
Dat stelt de European Data Protection Supervisor (EDPS), de Europese privacywaakhond die de zaak de afgelopen drie jaar onderzocht. De zaak gaat er over dat het contract rond Microsoft 365, waar onder meer Word, Excel en Powerpoint in zitten, onvoldoende beperkingen oplegt rond persoonlijke gegevens die worden uitgewisseld met niet-Europese landen.
De Commissie specificeerde volgens EDPS onvoldoende welke types persoonlijke data worden verzameld en voor welke doeleinden wanneer een gebruiker Microsoft 365 gebruikt. ‘De Commissie heeft onvoldoende maatregelen voorzien om ervoor te zorgen dat persoonlijke data die buiten de EU/EEA wordt verstuurd op dezelfde manier worden beschermd als in de EU/EEA’, zegt de EDPS in een mededeling.
De EEA slaat op de 27 EU-landen, plus Liechtenstein en Noorwegen. De uitspraak gaat daarbij niet alleen over het verzenden van data naar de VS, waar Microsoft haar hoofdzetel heeft. Ze slaat ook op onderaannemers die optreden als dataverwerker, maar dat doen van buiten de EU of EEA.
Spionage
Data-uitwisseling is de laatste tien jaar een gevoelig onderwerp op Europees niveau. De discussie ontstond in de nasleep van het Prism-schandaal, waarbij klokkenluider Edward Snowden aantoonde dat de VS wel degelijk op grote schaal mensen bespioneert via Amerikaanse technologiebedrijven.
Tegelijk zijn veel softwareproducten de laatste 10 jaar geëvolueerd naar ‘as a service’, waarbij ze online beschikbaar zijn of in real time synchroniseren. Maar dat betekent ook dat de aanbieder van die software in veel gevallen een permanent contact heeft met de eindgebruiker en diens data verwerkt. Dat is ook van toepassing op Microsoft 365.
De EDPS beveelt de Europese Commissie nu om maatregelen te nemen om in lijn te zijn met de privacyregels en daarbij dergelijke datatransfers naar Microsoft en niet-Europese dataverwerkers te stoppen.
Fout opgemerkt of meer nieuws? Meld het hier