Het gebruik van Microsoft 365 door de Europese Commissie is niet conform de privacywetgeving voor EU-instellingen (EUI’s). Zo luidt de conclusie van de European Data Protection Supervisor (EDPS).
9 december 2024
De Europese privacytoezichthouder heeft Brussel opgedragen om vanaf 9 december 2024 het doorsturen van gegevens naar Microsoft te staken. Hetzelfde geldt voor het delen van data met partners en subverwerkers die zich buiten de EU bevinden en waarvan het beschermingsniveau niet als passend wordt verklaard.
Waarborgen
Ook dient de Europese Commissie per 9 december ervoor te zorgen dat het gebruik van Microsoft 365 aan de geldende regelgeving voldoet. De EDPS vindt dat Brussel niet voor voldoende waarborgen heeft gezorgd dat persoonlijke gegevens die naar buiten de EU worden verzonden, hetzelfde niveau van bescherming hebben als binnen de EU.
Contract
Tevens vermeldt het contract dat Microsoft met de Europese Commissie heeft gesloten niet expliciet genoeg welke persoonlijke gegevens verzameld mogen worden, noch voor welke doeleinden. Dat geldt eveneens voor gegevens die namens de Europese Commissie worden verwerkt, aldus de EDPS.
Klik hier voor het persbericht van de EDPS.