De Europese Commissie houdt zich niet aan de Europese databeschermingsregels bij het gebruik van Microsoft 365 en moet maatregelen nemen.
Europa merkt op dat Europa de Europese privacyregels schendt. Concreter stelt de EDPS (European Data Protection Supervisor) vast dat de Europese Commissie inbreuken maakt op de bepalingen van de EUPRD door het gebruik van Microsoft 365. De Commissie moet tegen 9 december maatregelen nemen. De richtlijn in kwestie is een variant op de GDPR die van toepassing is op Europese instanties.
De EDPS stelde na een onderzoek verschillende inbreuken vast. Zo heeft de EU er niet voor gezorgd dat persoonsgegevens op een veilige manier uit de Europese Economische zone getransfereerd worden, met dezelfde bescherming als ze in de EU genieten. Dat is nochtans verplicht. In zijn contract met Microsoft rond het gebruik van Microsoft 365 heeft de commissie evenmin voldoende nauwkeurig gespecifieerd welke persoonsgegevens verzameld worden en voor welk doel.
Datastromen beperken
Tegen 9 december moeten alle datastromen naar Microsoft of onderaannemers buiten de EU stoppen. De verwerking van data komende uit het gebruik van Microsoft 365 moet tegen dan eveneens conform de regels gebeuren. De EDPS heeft in acht genomen dat de commissie belangrijke taken uit te voeren heeft, en kiest daarom voor een overgangsperiode tot het einde van het jaar. Zo heeft de Europese Commissie tien maanden te tijd om haar zaken op orde te krijgen.
“Het is de verantwoordelijkheid van de EU-instellingen, -organen, -instanties en -agentschappen om ervoor te zorgen dat elke verwerking van persoonsgegevens buiten en binnen de EU/EER, inclusief in de context van clouddiensten, gepaard gaat met robuuste waarborgen en maatregelen voor gegevensbescherming.”, zegt Wojciech Wiewiórowski van deEDPS “Dit is noodzakelijk om ervoor te zorgen dat de gegevens van individuen worden beschermd, zoals vereist door Verordening (EU) 2018/1725, wanneer hun gegevens worden verwerkt door of namens een Europese instelling.”
De EDPS startte in mei 2021 een onderzoek naar de commissie na het Schrems II-arrest. Het doel was om na te gaan of de commissie zich wel aan de richtlijnen van de EDPS rond het gebruik van Microsoft 365 hield. Dat blijkt niet het geval. Het grootste probleem lijkt in de contractuele bepalingen te zitten. Het is niet zo dat de commissie massaal persoonsgegevens uitvoert naar de VS, maar de nodige garanties om dat te voorkomen mankeren.