De Europese Toezichthouder voor gegevensbescherming (EDPS) evalueert of de Europese Commissie de bevelen opgevolgd heeft die uitgevaardigd waren in hun besluit van 8 maart 2024 over het gebruik van Microsoft 365. De Commissie had tot 9 december 2024 om te bewijzen dat ze in overeenstemming waren met de regelgeving. Drie dagen voor de deadline leverde de Commissie een rapport in met documentatie die nu geanalyseerd wordt door de EDPS.
Achtergrond van het Onderzoek
De EDPS is dit onderzoek gestart in mei 2021, na de uitspraak van het Hof van Justitie van de EU in de zaak Schrems II, die de overdracht van persoonsgegevens beperkte naar landen zonder beschermingsmaatregelen die gelijkwaardig zijn aan die van de EU. Volgens de EDPS, overtreedt het gebruik van Microsoft 365 door de Commissie verschillende bepalingen van Verordening (EU) 2018/1725, inclusief de overdracht van persoonsgegevens buiten de Europese Economische Ruimte (EER).
In zijn besluit van maart 2024 beval de EDPS de Commissie:
- Het stopzetten van de overdrachten van persoonsgegevens aan Microsoft en diens subcontractanten gevestigd in landen die niet gedekt zijn door adequaatheidsbesluiten van de EU.
- De verwerkingsactiviteiten in lijn brengen met Europese regelgeving door middel van specifieke corrigerende maatregelen.
Het Debat over Afhankelijkheid van Microsoft
Interne documenten hebben zorgen binnen de Commissie onthuld over hun afhankelijkheid van Microsoft. Deze signaleren risico’s zoals een gebrek aan competitieve Europese alternatieven, mogelijke prijsstijgingen, en uitdagingen om de technologische soevereiniteit van de EU te waarborgen.
Echter, een woordvoerder van de Commissie stelde dat er momenteel geen functionele equivalenten voor Microsoft 365 bestaan, al worden er op kleine schaal initiatieven met open-source software verkend.
Uitdagingen en Gevolgen
Het doorlopende gebruik van Microsoft 365 roept vragen op niet alleen met betrekking tot privacy, maar ook over beveiliging, aangezien het platform niet goedgekeurd is voor het omgaan met geclassificeerde documenten. Het gebrek aan Europese alternatieven creëert prikkels om data als minder gevoelig te classificeren dan ze eigenlijk zijn, volgens anonieme bronnen van de instellingen.
Daarnaast heeft de Commissie de beslissing van de EDPS aangevochten bij het Gerecht van de EU en stelt een onjuiste interpretatie van de regelgeving. Intussen heeft de EDPS herhaald dat zijn beslissing volledig van kracht blijft en dat zijn analyse van de ingediende documenten grondig zal zijn.
Toekomst van Databeschermingstoezicht
De onzekerheid over de richting van de EDPS neemt toe, aangezien Wojciech Wiewiórowski, de huidige toezichthouder, concurrentie tegenkomt voor zijn herverkiezing. Sommige experts vrezen dat een EDPS die meer in lijn is met de Commissie, de onafhankelijkheid van het orgaan op gebieden zoals privacy in AI-vorming of het gebruik van persoonsgegevens kan verzwakken.
Met hoorzittingen en stemrondes gepland voor januari 2025, zal het gebruik van Microsoft 365 en digitale soevereiniteit waarschijnlijk centraal staan in het debat.
Het geval onderstreept het delicate evenwicht tussen het waarborgen van gegevensprivacy en het behouden van operationele functionaliteit binnen de EU-instellingen.
via: euroActive en EDPS