De Europese privacywaakhond European Data Protection Supervisor (EDPS) start een onderzoek of de instanties van de Europese Unie (EU) zelf aan de juiste GDPR-regelgeving voldoen bij het gebruik van de public cloudomgevingen AWS, Microsoft Azure en Microsoft 365. Dit naar aanleiding van een uitspraak uit 2020 van het Europese Hof van Justitie.

De EU tilt met zijn GDPR-regelgeving zwaar aan het goed uitvoeren van diverse privacyregels rondom persoonlijke data door bedrijven binnen de lidstaten. Maar het moet ook zelf natuurlijk aan deze regelgeving voldoen. Vandaar dat de EDPS nu een onderzoek start hoe de diverse instanties met de persoonlijke data van EU-burgers omgaan wanneer zij deze data verwerken in de public cloudomgevingen van AWS, Microsoft Azure en Microsoft 365.

Uitspraak EU Hof van Justitie

De privacywaakhond komt tot deze beslissing naar aanleiding van een uitspraak vorig jaar van de hoogste rechtsinstantie binnen de EU, het Europees Hof van Justitie (HVJ-EU). In de zogenoemde Schrems II-uitspraak, waarover Techzine vorig jaar al schreef, concludeerde het HVJ-EU dat de nationale wetgeving in de Verenigde Staten niet gelijk was aan de strenge GDPR-wetgeving van de EU.

Dit zorgt er bijvoorbeeld voor dat EU-instanties die public cloudomgevingen als AWS of Azure voor de opslag van persoonlijke data van EU-inwoners gebruiken, de Verenigde Staten de kans geven deze gegevens in te zien. Vooral doordat wetgeving binnen de Verenigde Staten leveranciers van opslagdiensten verplicht de autoriteiten toegang te geven tot data als die daarom vragen. Ook als die data zich buiten de landsgrenzen van de Verenigde Staten bevinden. Alleen als de EU extra veiligheidsmaatregelen neemt, kan dit worden voorkomen.

De EDPS onderzoekt nu actief of EU-instanties wel extra maatregelen nemen voor het beveiligen van de persoonlijke gegevens van EU-burgers die zij in specifiek in AWS , Microsoft Azure of Microsoft 365 opslaan en/of verwerken. Vooral wordt hierbij gekeken naar de contracten die de EU-instanties hierover met de betreffende public cloudpartijen hebben afgesloten.

Gedragscode cloudaanbieders

De EDPS waarschuwt al sinds 2018 voor mogelijke privacyproblemen rondom het gebruik van deze public cloudomgevingen. Om zowel de EU-instanties als de public cloudaanbieders te helpen bij dit thema, heeft de European Data Protection Board onlangs een nieuwe ‘EU Cloud Code of Conduct’ of gedragscode ontwikkeld en gevalideerd. Deze gedragscode is eigenlijk een standaard die certificeert of een bepaalde leverancier van clouddiensten zich aan de GDPR-regelgeving houdt. Inmiddels hebben, naast anderen, ook Microsoft en Google Cloud aangegeven zich aan deze gedragscode te houden.

Reactie Microsoft en AWS

In een reactie op het aangekondigde onderzoek van de EDPS, heeft Microsoft aangegeven volledig mee te werken. AWS heeft niet gereageerd. Wel zorgen beide partijen ervoor dat, naast de adoptie van de gedragscode, ook andere maatregelen worden genomen, zoals het eventueel aanvechten van een toegangsverzoek tot EU-data door de Amerikaanse overheden of anderszins beperkend op te treden. AWS levert bijvoorbeeld minimale informatie, terwijl Microsoft in een dergelijk geval getroffen personen financieel compenseert.

Microsoft gaf ook aan, zoals we al eerder meldden, alle in de EU gebruikte en opgeslagen data alleen nog in Europese datacenters op te slaan.

