De Europese privacytoezichthouder EDPS gaat onderzoeken of het Microsoft 365-gebruik van de Europese Commissie inmiddels aan de privacyregels voldoet. In maart oordeelde de EDPS dat Brussel met het gebruik van Microsoft 365 de privacywetgeving voor EU-instellingen (EUI's) overtreedt. De toezichthouder droeg de Europese Commissie op om vanaf 9 december te stoppen met het doorsturen van data naar Microsoft en diens partners en subverwerkers die zich buiten de EU bevinden en niet onder een besluit vallen waarbij het beschermingsniveau passend wordt verklaard.

Tevens werd de Commissie opgedragen om het gebruik van Microsoft 365 aan de geldende regelgeving te laten voldoen. Ook dit moest uiterlijk 9 december zijn geregeld. Volgens de EDPS heeft Brussel niet voor voldoende waarborgen gezorgd dat persoonlijke data die buiten de EU wordt verstuurd net zo goed beschermd is als binnen de EU. Verder heeft de Europese Commissie in het contract met Microsoft over het gebruik van Microsoft 365 niet voldoende duidelijk gemaakt welke persoonlijke data mag worden verzameld en voor welke expliciet vermelde doeleinden, aldus de toezichthouder begin dit jaar.

De Europese Commissie diende op 6 december bij de EDPS een rapport in om aan te tonen dat het Microsoft 365-gebruik inmiddels volgens de regels is. EDPS-voorzitter Wojciech Wiewiorowski zegt in een reactie te onderzoeken of dit ook het geval is. "Gezien de breedte van de informatie en complexiteit van de betrokken verwerkingsoperaties, zal deze analyse extra aandacht vereisen en binnen een gepast tijdsvenster grondig worden uitgevoerd." Zowel Microsoft als de Europese Commissie maakten bezwaar tegen de beslissing van de EPDS. De gerechtelijke procedures hierover lopen nog.