Europese Commissie voldoet aan privacyregels voor Microsoft 365 gebruik
De Europese Commissie (EC) heeft haar gebruik van Microsoft 365 in lijn gebracht met de strenge gegevensbeschermingsregels voor EU-instellingen en -organen, vastgelegd in Verordening (EU) 2018/1725. Dit volgt op handhavingsprocedures van de Europese Toezichthouder voor gegevensbescherming (EDPS), die in maart 2024 diverse inbreuken had vastgesteld en corrigerende maatregelen oplegde.
Na maandenlange discussies en een compliance-rapport in december 2024, heeft de EDPS op 11 juli geconcludeerd dat de geconstateerde inbreuken zijn verholpen. Dit is mede te danken aan aanvullende maatregelen die de Commissie en Microsoft hebben geïmplementeerd en gepland.
Wojciech Wiewiórowski, de Toezichthouder van de EDPS, sprak van een "betekenisvol en gedeeld succes". Hij prees zowel het grondige onderzoek van de EDPS als de inspanningen van de Commissie en Microsoft om de naleving van de gegevensbescherming aanzienlijk te verbeteren.
De belangrijkste verbeteringen en compliance-maatregelen die de Commissie heeft toegepast, omvatten:
Doelbeperking en Gegevensoverdracht
De Commissie heeft nu expliciet de soorten persoonsgegevens en de verwerkingsdoeleinden bij het gebruik van Microsoft 365 gespecificeerd. Dankzij geüpdatete contractuele, technische en organisatorische maatregelen wordt gewaarborgd dat Microsoft en subverwerkers gegevens uitsluitend verwerken op basis van gedocumenteerde instructies en voor vastgestelde doeleinden van openbaar belang. Verder is verzekerd dat verwerking buiten de Europese Economische Ruimte (EER) alleen plaatsvindt onder derdelandsrecht dat een essentieel gelijkwaardig beschermingsniveau biedt.
De Commissie heeft tevens bepaald welke specifieke ontvangers en doeleinden zijn toegestaan voor de overdracht van persoonsgegevens via Microsoft 365. Overdrachten buiten de EU/EER zijn nu beperkt tot landen die in het gewijzigde contract zijn opgenomen en zijn gebaseerd op adequaatheidsbesluiten of de uitzondering voor belangrijke redenen van openbaar belang.
Openbaarmaking en Meldingen
Aanvullende contractuele bepalingen garanderen dat Microsoft of zijn subverwerkers alleen op basis van EU- of lidstaatwetgeving de melding aan de Commissie van verzoeken om openbaarmaking van persoonsgegevens mogen achterwege laten, of dergelijke gegevens mogen vrijgeven. Voor gegevens die buiten de EER worden verwerkt, gelden vergelijkbare vereisten onder derdelandsrecht met een essentieel gelijkwaardige bescherming.
Signaal voor andere EU-instellingen
De EDPS roept andere EU-instellingen, -organen en -agentschappen op om vergelijkbare beoordelingen uit te voeren en technische en organisatorische maatregelen te implementeren die vergelijkbaar zijn met die van de Commissie. Dit is noodzakelijk om de naleving van Verordening (EU) 2018/1725 te waarborgen.
Deze procedure van de EDPS richtte zich op specifieke bepalingen van de verordening. De sluiting van de procedure betekent niet dat de EDPS de algehele naleving van de Commissie met andere bepalingen van de Verordening heeft beoordeeld of bevestigd.
Meer over Cloud
Over Witold Kepinski
