Het gebruik van Microsoft 365 door de Europese Commissie is in strijd met de AVG
Je weet dat het slecht is als een instantie die je zelf hebt gemachtigd, zegt dat je de wet hebt overtreden die je zelf hebt helpen invoeren.
De Europese Toezichthouder voor gegevensbescherming (EDPS) is een onafhankelijke instantie die toezicht houdt op de privacypraktijken van Europese instellingen, zoals de Europese Commissie zelf. In een beschikking van 11 maart 2024 heeft de EDPS vastgesteld dat de Europese Commissie verschillende bepalingen van Verordening 2018/1725 (in wezen de AVG zoals die van toepassing is op EU-instellingen) heeft geschonden door het gebruik van het product Microsoft 365, onder meer door geen passende waarborgen te bieden voor grensoverschrijdende stromen van persoonsgegevens.
De EDPS constateerde ook dat in de gegevensverwerkingsovereenkomst (DPA) tussen de Europese Commissie en Microsoft onvoldoende werd gespecificeerd welke soorten persoonsgegevens door Microsoft zouden worden verwerkt en voor welke specifieke doeleinden de doorgifte plaatsvond. Dit moet een herinnering zijn voor alle entiteiten die onder de AVG vallen (hetzij rechtstreeks, hetzij als verwerker) om ervoor te zorgen dat aan de specificiteitsvereisten van de DPA en de standaardcontractbepalingen wordt voldaan, en om geen algemene verklaringen te gebruiken zoals "voor zover nodig om de diensten te verlenen".
Als gevolg van de schendingen heeft de EDPS de Europese Commissie opgedragen alle gegevensstromen naar Microsoft in verband met het gebruik van Microsoft 365 die worden verwerkt in landen zonder een adequaatheidsbesluit, met ingang van 9 december 2024 op te schorten, zodat de Europese Commissie de gelegenheid krijgt om te voldoen aan een lijst van corrigerende maatregelen die door de EDPS zijn opgesteld, waaronder het uitvoeren van een transfer-mapping-oefening en het volledig naleven van de contractuele vereisten voor verwerkers van EU-verordening 2018/1725.
Na onderzoek heeft de EDPS vastgesteld dat de Europese Commissie (Commissie) bij het gebruik van Microsoft 365 verschillende belangrijke regels inzake gegevensbescherming heeft overtreden. In zijn besluit legt de EDPS de Commissie corrigerende maatregelen op.
Bekijk artikel waarnaar wordt verwezen
Wojciech Wiewiórowski, EDPS, zei: "Het is de verantwoordelijkheid van de EU-instellingen, -organen, -bureaus en -agentschappen (EUI's) om ervoor te zorgen dat elke verwerking van persoonsgegevens buiten en binnen de EU/EER, ook in het kader van clouddiensten, gepaard gaat met robuuste waarborgen en maatregelen voor gegevensbescherming. Dit is absoluut noodzakelijk om ervoor te zorgen dat de informatie van personen wordt beschermd, zoals vereist door Verordening (EU) 2018/1725, wanneer hun gegevens worden verwerkt door of namens een EUI.”
