Het gebruik van Microsoft 365 door de Europese Commissie is niet conform de privacywetgeving voor EU-instellingen (EUI’s). Zo luidt de conclusie van de European Data Protection Supervisor (EDPS).
De Europese privacytoezichthouder heeft Brussel opgedragen om vanaf 9 december 2024 het doorsturen van gegevens naar Microsoft te staken. Hetzelfde geldt voor het delen van data met partners en subverwerkers die zich buiten de EU bevinden en waarvan het beschermingsniveau niet als passend wordt verklaard.
Ook dient de Europese Commissie per 9 december ervoor te zorgen dat het gebruik van Microsoft 365 aan de geldende regelgeving voldoet. De EDPS vindt dat Brussel niet voor voldoende waarborgen heeft gezorgd dat persoonlijke gegevens die naar buiten de EU worden verzonden, hetzelfde niveau van bescherming hebben als binnen de EU.
Tevens vermeldt het contract dat Microsoft met de Europese Commissie heeft gesloten niet expliciet genoeg welke persoonlijke gegevens verzameld mogen worden, noch voor welke doeleinden. Dat geldt eveneens voor gegevens die namens de Europese Commissie worden verwerkt, aldus de EDPS.
https://www.edps.europa.eu/system/files/2024-03/EDPS-2024-05-European-Commission_s-use-of-M365-infringes-data-protection-rules-for-EU-institutions-and-bodies_EN.pdf
