Europese Commissie op het matje wegens privacy in Microsoft 365
De Europese Commissie wordt op het matje geroepen omdat ze verschillende privacyregels overtrad. De Europese Data Protection Supervisor (EDPS) reprimandeerde de organisatie na een onderzoek dat al twee jaar loopt.
Niet voldoende beschermd
Meer concreet gaat het over persoonlijke informatie die het verwerkt met Microsoft 365. Microsoft slaat die gegevens niet binnen de Europese Unie op, wat een probleem oplevert. Dat wil echter niet zeggen dat de Windows-fabrikant de schuld krijgt. In tegendeel: het is de Europese Commissie zelf die het mag horen.
“De Commissie heeft gefaald om ervoor te zorgen dat persoonlijke data die buiten de EU opgeslagen wordt dezelfde bescherming geniet als in de EU gegarandeerd wordt”, haalt de privacywaakhond aan. Daar blijft het niet bij: “in het contract met Microsoft specifieert de Commissie niet genoeg welke gegevens verzameld worden en voor welke specifieke doeleinden die moeten dienen”.
Het hoofd van de privacywaakhond, Wojciech Wiewiórowski, haalt aan dat dataveiligheid een belangrijke verantwoordelijkheid is. Alle Europese instellingen zijn verplicht om datastromen zoveel mogelijk te beveiligen. In dit geval is daar niet voldoende sprake van.
EUDPR
De Europese Commissie moet de datastromen die naar buiten de EU vloeien onmiddellijk stilleggen. De organisatie krijgt tot 9 december 2024 om de zaken op orde te krijgen. Daarbij moet de Commissie onder andere in kaart brengen welke gegevens precies naar waar lopen én verklaren waarom die data opgeslagen moet worden.
De fout ligt dan ook niet bij Microsoft, maar bij hoe de Europese Commissie met Microsoft 365-diensten omgaat. Het technologiebedrijf laat weten dat Europese klanten met een gerust hart Microsoft 365 kunnen blijven gebruiken, volledig in overeenstemming met de GDPR. De regels die de Europese Commissie overtrad maken namelijk deel uit van de EUDPR: een striktere regelgeving, specifiek voor Europese instellingen.