Per 9 december dit jaar mogen de instellingen en organen van de Europese Unie niet meer werken met Microsoft 365. Tenzij de Europese Commissie voor genoemde datum kan aantonen dat data buiten de EU verantwoord worden verwerkt. Dat is de uitkomst van een onderzoek door de Europese Toezichthouder op de Gegevensbescherming (EDPS).
Het gebruik van Microsoft 365 door de Europese Commissie (EC) vormt een inbreuk op de wetgeving voor gegevensbescherming voor de instellingen en organen van de EU. Na onderzoek heeft de EDPS vastgesteld dat de EC verschillende belangrijke regels heeft geschonden bij het gebruik van Microsoft 365. In zijn besluit legt de toezichthouder de EC corrigerende maatregelen op.
De commissie heeft met name nagelaten passende waarborgen te bieden om ervoor te zorgen dat persoonsgegevens die buiten de EU/EER worden doorgegeven, een bescherming genieten die in wezen gelijkwaardig is aan die welke in de EU/EER wordt gewaarborgd.
Onvoldoende
Bovendien heeft de commissie in haar contract met Microsoft onvoldoende gespecificeerd welke soorten persoonsgegevens moeten worden verzameld en voor welke expliciete en gespecificeerde doeleinden bij het gebruik van Microsoft 365. Wojciech Wiewiórowski, voorzitter van de EDPS, wijst erop dat het de verantwoordelijkheid van de EU-instellingen, -organen, -kantoren en -agentschappen (EUI) is om de verwerking van persoonsgegevens buiten en binnen de EU/EER, inclusief in de context van cloudgebaseerde diensten, gepaard gaat met robuuste waarborgen en maatregelen voor gegevensbescherming. ‘Dit is noodzakelijk om de gegevens van personen te beschermen, zoals vereist door Verordening (EU) 2018/1725, telkens wanneer hun gegevens worden verwerkt door of namens een EUI.’
De EDPS heeft daarom besloten de commissie te verplichten om met ingang van 9 december dit jaar alle gegevensstromen op te schorten die voortvloeien uit het gebruik van Microsoft 365 naar Microsoft en naar gelieerde ondernemingen en subverwerkers die gevestigd zijn in landen buiten de EU/EER die niet onder een besluit inzake adequaatheid vallen. De EDPS moet de commissie de verwerkingen die voortvloeien uit haar gebruik van Microsoft 365 in overeenstemming te brengen met Verordening (EU) 2018/1725. Het orgaan moet uiterlijk op 9 december aantonen dat zij aan beide bevelen voldoet.