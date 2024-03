De Europese Commissie overtreedt met het gebruik van Microsoft 365 de privacywetgeving voor EU-instellingen (EUI's), zo heeft de Europese privacytoezichthouder EDPS vastgesteld. De EDPS heeft Brussel opgedragen om vanaf 9 december te stoppen met het doorsturen van data naar Microsoft en diens partners en subverwerkers die zich buiten de EU bevinden en niet onder een besluit vallen waarbij het beschermingsniveau passend wordt verklaard.

Tevens heeft de privacytoezichthouder de Europese Commissie opgedragen om het gebruik van Microsoft 365 aan de geldende regelgeving te laten voldoen. Ook dit moet uiterlijk 9 december zijn geregeld. Volgens de EDPS heeft Brussel niet voor voldoende waarborgen gezorgd dat persoonlijke data die buiten de EU wordt verstuurd net zo goed beschermd is als binnen de EU.

Verder heeft de Europese Commissie in het contract met Microsoft over het gebruik van Microsoft 365 niet voldoende duidelijk gemaakt welke persoonlijke data mag worden verzameld en voor welke expliciet vermelde doeleinden. De overtredingen van de Europese Commissie als verwerkingsverantwoordelijke hebben ook betrekking op de data die namens haar wordt verwerkt, waaronder het uitwisselen van persoonlijke data.

"Het is de verantwoordelijkheid van EU-instellingen, -organen, -instanties en -agentschappen om ervoor te zorgen dat de verwerking van persoonlijke data buiten en binnen de EU, waaronder binnen de context van clouddiensten, is vergezeld van robuuste databeschermingswaarborgen en -maatregelen. Dit is van groot belang om ervoor te zorgen dat de informatie van personen wordt beschermd, zoals is vastgelegd in Regelgeving (EU) 2018/1725, wanneer data wordt verwerkt door, of in naam, van een EUI", aldus EDPS-voorzitter Wojciech Wiewiorowski (pdf).