Waarom Brussel ondanks berisping niet breekt met Microsoft
Experts verwachten dat Microsoft verbeteringen zal doorvoeren in gegevensbescherming.
De Europese Commissie (EC) is onlangs door toezichthouder European Data Protection Supervisor (EDPS) op de vingers getikt vanwege een gebrekkige bescherming van Europese persoonsgegevens. De EC werkt namelijk met Microsoft 365, dat volgens Europese eisen niet voldoet. De kans dat Brussel de Amerikaanse techreus daadwerkelijk aan de kant zet, is echter klein volgens privacyexperts.
De EDPS sommeert Brussel om de beveiliging van de verwerking van gegevens over Europeanen te verbeteren. Lukt dat niet, dan moet er in december 2024 gestopt worden met het gebruik van Microsoft 365. Frederik Zuiderveen Borgesius, hoogleraard ICT & Recht bij de Radboud Universiteit, gaat er ondanks het relatief korte tijdsbestek van uit dat Microsoft op termijn verbeteringen voor de gegevensbescherming presenteert. Dit deed de Amerikaanse techreus namelijk eerder ook na onderhandelingen met de Nederlandse overheid die een privacyonderzoek (DPIA) liet uitvoeren. In het rapport werden destijds diverse risico’s bij het gebruik van Microsoft 365 aangewezen.
Afscheid Microsoft niet reëel
‘Het lijkt erop dat de Europese Commissie momenteel wat betreft privacyvoorwaarden een minder goed contract heeft dan de Nederlandse overheid, die diverse maatregelen van Microsoft heeft afgedwongen om risico’s weg te nemen. Wanneer de Amerikanen dit ook doen voor de Europese Commissie, blijft naar mijn verwachting Microsoft 365 in Brussel gewoon in gebruik’, aldus Zuiderveen Borgesius. De kans dat de Europese Commissie naar aanleiding van het EDPS-rapport afscheid neemt van Microsoft en bijvoorbeeld volledig met open source software gaat werken lijkt hem uitgesloten. ‘Een gamechanger is het onderzoek van EDPS naar mijn verwachting niet.’
Zorgen nemen toe
Zuiderveen Borgesius vindt de berisping van de EDPS een ‘goed signaal’ dat de Europese privacywaakhond ook zijn eigen broodheer aanpakt. ‘Daarmee laat Brussel aan bedrijven en andere organisaties zien dat het zelf niet de dans ontspringt in de hogere eisen die gesteld worden.’ Volgens Zuiderveen Borgesius ziet Microsoft de toenemende zorgen van Europese overheden en andere organisaties dat data naar de Verenigde Staten ‘vloeien’ en daar minder goed beschermd worden. Het geluid dat data bij Amerikaanse techreuzen niet goed beveiligd worden tegen bijvoorbeeld inlichtingendiensten in de VS, wordt volgens hem luider. Maar Microsoft probeert in zijn ogen de geconstateerde risico’s wel ‘serieus in te dammen’.
Vinger op de zere plek
Senior Legal Counsel Caroline van Ekeren van ICT Recht verwacht net als Borgesius Zuiderveen niet dat iedereen nu in een keer van Microsoft 365 gaat afstappen voor december 2024. ‘Daar zou veel voor moeten gebeuren. Als Microsoft als dienstverlener in Europa door wil, ga ik ervan uit dat Microsoft hierop gaat reageren door meer transparantie te bieden aan hun klanten over de verwerkingsketen.’
Wat haar betreft legt het oordeel van de EDPS vooral de vinger op de zere plek. ‘Als je als organisatie met grote partijen zoals Microsoft werkt, heb je soms weinig te willen. De DPA’s zijn one-stop-shop: die moet je van hun websites trekken of krijg je voor je neus bij het afsluiten van het contract. Het uitzoeken welke persoonsgegevens, waarom, en naar welke entiteiten vloeien, is lastig. Je geeft je dus enigszins over aan zo’n organisatie en moet accepteren wat hun voorwaarden zijn.’
Keten inzichtelijk maken
Van Ekeren vindt het ook opvallend dat de EDPS blijft hameren op de verantwoordelijkheid van de Europese Commissie voor het analyseren van het niveau van gegevensbescherming in derde landen van de hele keten: dus ook van subverwerkers van Microsoft. ‘Als we de richtlijnen van de European Data Protection Board (EDPB) volgen ligt de nadruk op het inzichtelijk maken van de keten, en waarborgen van de directe doorgifte die je uitvoert.’
Zorgelijk
Het is wat Van Ekeren betreft zorgelijk dat volgens de EDPS de afspraken die gemaakt zijn door Microsoft met de EC niet duidelijk genoeg zijn. ‘Grote kans dat andere nationale overheden dezelfde soort afspraken, of DPA’s, hebben afgesloten.’
Ze adviseert nationale overheden daarom om data flows goed inzichtelijk te maken. ‘Dat gaat dus volgens de EDPS een stuk verder dan geloven dat Microsoft het wel regelt met hun eigen subverwerkers: jij als verwerkingsverantwoordelijke moet duidelijk hebben waar de persoonsgegevens naartoe vloeien. Dat was eigenlijk al zo, maar de EDPS lijkt in dit geval duidelijk te maken dat de verantwoordelijkheid beleggen bij Microsoft eigenlijk onvoldoende is.’
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.