EDPS: 'Europese Commissie schendt databeschermingsregels met gebruik Microsoft 365'
Het gebruik van Microsoft 365 door de Europese Commissie is in strijd met databeschermingsregels die van toepassing zijn op het Europese instellingen, agentschappen, en overheidsdiensten. Het gaat daarbij onder meer om regelgeving omtrent de doorgifte van Europese persoonsgegevens naar landen buiten de Europese Economische Ruimte.
Dit concludeert de European Data Protection Supervisor (EDPS) in een onderzoek naar de werkwijze van de Europese Commissie, en of deze werkwijze in lijn is met eerdere aanbevelingen van de EDPS omtrent het gebruik van Microsoft-producten en -diensten door EU-instellingen.
Diverse regels overtreden
De Europese privacytoezichthouder stelt dat de Europese Commissie onder meer de regels overtreedt omtrent het waarborgen van de veiligheid van persoonlijke data die wordt verstuurd naar landen buiten de EER. Ook wijst de EDPS erop dat de EUropese Commissie in zijn overeenkomst met Microsoft niet heeft vastgelegd welke soorten persoonlijke informatie worden verzameld bij het gebruik van Microsoft 365, en voor welke doeleinden dit gebeurt.
Met het oog op de overtredingen draagt de toezichthouder de Europese Commissie op per 9 december 2024 alle datastromen naar Microsoft en partners in landen buiten de EU en EER door het gebruik van Microsoft 365 aan banden te leggen, indien deze gebieden geen vergelijkbaar beschermingsniveau bieden als de EU. Ook draagt de EDPS de Europese Commissie op zijn dataverwerkingen die voortkomen uit het gebruik van Microsoft 365 in lijn te brengen met de Europese regelgeving.
Meer over Data Protection
Over Wouter Hoeffnagel
