Een werkgroep van Duitse privacytoezichthouders beoordeelt dat Microsoft 365 niet aan de AVG/GDPR voldoet zonder aanvullende technische maatregelen.

Europese bedrijven, overheden en scholen moeten maatregelen nemen om Microsoft 365 te kunnen blijven gebruiken. Dat is de conclusie van een data protection assessment die onlangs door de nationale en regionale privacytoezichthouders van Duitsland is goedgekeurd.

De conclusie is relevant voor Duitse klanten van Microsoft 365. Privacytoezichthouders kunnen organisaties onder druk zetten om nieuwe contracten af te sluiten. Hetzelfde geldt voor elke andere Europese lidstaat, want de AVG/GDPR is in de volledige Europese Unie van kracht. Ook in Nederland onderzoeken toezichthouders of clouddiensten aan de regels voldoen.

Het Duitse onderzoek is onderdeel van een initiatief van de European Data Protection Board (EDPB), de hoogste privacytoezichthouder van de Europese Unie. De EDPB controleert het gebruik van clouddiensten onder Europese overheden en instanties.

Datatransfers blijven een probleem

Microsoft heeft in september een nieuwe versie van zijn gegevensverwerkingsovereenkomst gepubliceerd. De wijziging was noodzakelijk om Europese klanten te kunnen blijven bedienen.

Cloudproviders als Google en Microsoft verwerken Europese persoonsgegevens in de Verenigde Staten, maar dat is over het algemeen verboden onder de AVG/GDPR. Standard contractual clauses bieden een omweg. De aangepaste gegevensverwerkingsovereenkomst van Microsoft bevat de nieuwste standard contractual clauses van de Europese Commissie.

Vóór 2020 was het makkelijker voor organisaties om data uit te wisselen tussen de Verenigde Staten en Europese Unie. In dat jaar werd het Privacy Shield ongeldig verklaard. Recente wetswijzigingen in de Verenigde Staten maken mogelijk om een nieuw Privacy Shield in te stellen. Brussel en Washington werken momenteel aan een akkoord.