EC heeft de gegevensbeschermingswetten van de Unie overtreden tijdens het gebruik van Microsoft 365-services

Volgens de Europese Toezichthouder voor Gegevensbescherming (EDPS) heeft de Europese Commissie zich tijdens het gebruik van Microsoft 365-services niet gehouden aan een aantal belangrijke gegevensbeschermingsregels onder de gegevensbeschermingswetten van de Europese Unie.

De EDPS is een onafhankelijk orgaan dat verantwoordelijk is voor het uitvoeren van gegevensbeschermingsaudits binnen de EU-instellingen en corrigerende maatregelen kan treffen om schendingen recht te zetten.

Wojciech Wiewiórowski, EDPS, zei:

De belangrijkste bevindingen van het onderzoek geven aan dat de EC er niet in is geslaagd om in haar contract met Microsoft de soorten gegevens te specificeren die kunnen worden verzameld en het doel ervan te vermelden.

Bovendien heeft de EC geen adequate waarborgen geïmplementeerd met betrekking tot de overdracht van gegevens buiten het gebied van de Europese Unie, een belangrijk aspect van het waarborgen van de bescherming van de persoonlijke informatie van individuen.

De Europese Toezichthouder voor Gegevensbescherming heeft de Europese Commissie opgedragen om haar gebruik van Microsoft 365-diensten in overeenstemming te brengen met de strenge EU-regels voor gegevensbescherming. Het liet ook weten dat Microsoft 365-gegevensstromen die niet aan de regelgeving voldoen, met ingang van 9 december 2024 zullen worden opgeschort.

De inbreuk vond plaats gedurende een periode van drie jaar, beginnend op 21 mei 2021 en eindigend met het besluit van de EDPS op 8 maart 2024.

De Europese Toezichthouder voor Gegevensbescherming zei dat de EC er niet in is geslaagd om de juiste contractuele specificaties met Microsoft te waarborgen, omdat de EC het gebruik van gegevens niet heeft verduidelijkt en Microsoft hiervoor niet de schuld heeft gegeven.

Omdat de EDPS oordeelde dat de EU schuldig was, handhaafde zij EU-verordening 2018/1725 over de verwerking van persoonsgegevens, waaruit blijkt hoe belangrijk robuuste gegevensbeschermingsmaatregelen zijn, vooral wanneer er met externe dienstverleners wordt samengewerkt.

Dit incident herinnert mensen die zakendoen in Europa eraan om aandacht te besteden aan alle kleine contractuele details en zich te houden aan het regelgevingskader om problemen in de toekomst te voorkomen.

Wat zijn uw gedachten hierover? Deel uw mening in de opmerkingen hieronder.

Het is de verantwoordelijkheid van de EU-instellingen, -organen, -bureaus en -agentschappen (EUI’s) om ervoor te zorgen dat elke verwerking van persoonsgegevens buiten en binnen de EU/EER, ook in de context van cloudgebaseerde diensten, gepaard gaat met robuuste waarborgen voor gegevensbescherming en maatregelen. Dit is absoluut noodzakelijk om ervoor te zorgen dat de informatie van individuen wordt beschermd, zoals vereist door Verordening (EU) 2018/1725, telkens wanneer hun gegevens worden verwerkt door of namens een EU.