De European Data Protection Supervisor (EDPS) onderzoekt of de contracten die instellingen en organen van de Europese Unie (EU) met Microsoft hebben gesloten in lijn zijn met de regelgeving rond privacy en gegevensbescherming. Uitgangspunt hiervoor vormt de studie naar Microsoft Office van het Nederlandse ministerie van Justitie en Veiligheid eind vorig jaar, waaruit bleek dat het gebruik van die software gepaard gaat met hoge risico's voor de privacy van de gebruiker.
Het EDPS-onderzoek brengt in kaart welke Microsoft-producten en -diensten door de EU-instellingen worden gebruikt en of de contracten tussen Microsoft en de EU-instellingen volledig in overeenstemming zijn met de gegevensbeschermingsregels.
Op 11 december vorig jaar zijn nieuwe regels voor gegevensbescherming voor de EU-instellingen en -organen van kracht geworden. Deze ‘Verordening 2018/1725’ houdt in dat ook de EU-instellingen zich moeten houden aan de Algemene Verordening Gegevensbescherming (AVG/GDPR). De European Data Protection Supervisor (EDPS) is een relatief nieuwe, toezichthoudende autoriteit die verantwoordelijk is voor het toezicht op de verwerking van persoonsgegevens door de EU-instellingen en -organen.
Aangezien de EU grootgebruiker is van Microsoft-producten wil de EDPS weten of de verwerking van grote hoeveelheden persoonlijke gegevens door de Microsoft-software op een juiste wijze gebeurt. Of dat er nog contractuele aanpassingen en risicobeperkende maatregelen moeten worden getroffen om aan de nieuwe verordening te voldoen.
Nederlandse scan
De toezichthouder laat zich daarbij leiden door de uitkomsten van het onderzoek Data Protection Impact Assessment op Microsoft Office, dat het Nederlandse ministerie van Justitie en Veiligheid (J&V) eind vorig jaar heeft laten uitvoeren (door Privacy Company). Daaruit kwam naar voren dat via de producten Windows 10 Enterprise en Microsoft Office informatie van en over de gebruiker verzameld en opgeslagen wordt in een database in de VS op een manier die hoge risico’s meebrengt voor de privacy van de gebruiker.
Als gevolg van deze scan moet Microsoft zijn producten dusdanig wijzigen dat het gebruik ervan door de Nederlandse overheid in lijn is met de AVG en ander vigerende wet- en regelgeving. Het softwareconcern moet deze maand aan het ministerie laten zien welke wijzigingen zijn doorgevoerd. Het zogenaamde Strategisch Leveranciersmanagement Microsoft Rijk (SLM Microsoft) van J&V zal de nieuwe versies van de producten opnieuw beoordelen.
Privacywaakhond EDPS neemt een voorschot op zijn onderzoek en stelt in een verklaring: ‘EU-instellingen die de Microsoft-applicaties gebruiken die in dit rapport worden onderzocht, zullen waarschijnlijk soortgelijke problemen ondervinden als de nationale overheden, waaronder grotere risico’s voor de rechten en vrijheden van individuen.’
Clouddiensten
Afgelopen februari meldde de Zweedse Nationale Aanbestedingsdienst nog dat de clouddiensten van de huidige (Amerikaanse) leveranciers niet voldoen niet aan de vereisten van de GDPR. Die conclusie deelt het met die van het Open Source Observatory van de EU.