In het DPIA-rapport spreekt Privacy Company van een ‘hoog risico’ wat betreft het beschermen van eventueel gevoelige informatie die door Microsoft wordt opgeslagen bij het gebruik van Microsoft Teams. Als Amerikaans bedrijf is Microsoft namelijk verplicht om te voldoen aan eventuele aanvragen van data door de Amerikaanse autoriteiten en inlichtingendiensten.

Het risico dat het bedrijf gegevens af moet geven blijft zelfs bestaan als Microsoft de data op Europees grondgebied op zou slaan. In theorie zou Microsoft gedwongen kunnen worden om de gegevens te ontsleutelen zolang het bedrijf toegang heeft tot de decryptiesleutel.

De lange arm van de VS

Het risico blijkt ook hoog bij gebruik van OneDrive en Sharepoint, de cloudopslag en gegevensuitwisselings-oplossingen van Microsoft. Echter, in dit geval kunnen instanties het risico verlagen door gebruik te maken van de Double Key Encryption, waarbij er een extra laag encryptie wordt toegevoegd. Voor deze laag heeft alleen de organisatie zelf de decryptiesleutel in handen.

Privacy Company heeft al eerder vergelijkbare rapporten uitgebracht met betrekking tot Windows 10 Enterprise en Microsoft Office. Microsoft voerde toen wijzigingen door, zodat Europese instanties deze software konden blijven gebruiken onder de AVG. De vraag is echter of dat nu überhaupt mogelijk is. De Amerikaanse overheid kan Microsoft in het huidige klimaat dwingen om gegevens over te dragen van wie dan ook, waar dan ook.

In theorie

De dreiging is hoog, maar wellicht niet acuut. Microsoft schreef zelf vorig jaar al: “Wij zullen overheidsverzoeken inzake persoonsgegevens van klanten in de openbare of commerciële sector in de EU (van welke regering ook) betwisten indien wij hiervoor een wettige basis hebben.” Ook in het rapport heeft Microsoft verklaard “dat het nog nooit gegevens van werknemers van publieke sectorinstellingen heeft verstrekt aan enige overheid, dus ook niet aan de Amerikaanse overheid”.