Innovatie & Strategie

Juridische zaken
GDPR-toets op laptop

Microsoft: we halen, nee: overstijgen, GDPR-vereisten

Microsoft verzet zich tegen conclusie Duits privacy-onderzoek.

© Pixabay TheDigitalArtist
28 november 2022

Microsoft verzet zich tegen conclusie Duits privacy-onderzoek.

De Duitse conclusie dat het onmogelijk is Microsoft 365 te gebruiken én te voldoen aan de EU-databeschermingswet GDPR (AVG) is volgens Microsoft onjuist. Het Amerikaanse bedrijf is het "respectvol niet eens" met de positie van de Duitse privacytoezichthouders DSK (Datenschutzkonferenz) en verklaart dat het wel degelijk voldoet - en vaak meer dan dat - aan de sterke dataprivacywetten in de EU en Duitsland.

"Onze klanten in Duitsland en in heel de EU kunnen met vertrouwen de M365-producten gebruiken op een manier die juridisch voldoet" en waarmee die gebruikers dan in staat zijn om meer met minder te doen. Aldus de verklaring van Microsoft Duitsland die het voor het internationale publiek ook in het Engels aanbiedt. (Daarin is overigens het woord 'compliant' - voor voldoen aan wetgeving - verkeerd geschreven; als het Engelse woord voor 'klacht'.)

Twee jaar tijd

De zorgen die de verenigde privacytoezichthouders van Duitsland aankaarten, geven volgens Microsoft geen gepaste weergave van de veranderingen die het bedrijf al heeft doorgevoerd. De DSK-conclusie, dat Microsoft 365 onwettig is, komt na ruim twee jaar onderzoek waarbij ook bijna twee jaar met Microsoft is gesproken over geconstateerde privacyproblemen.

In de loop van die tijd heeft de aanbieder van clouddiensten en daaraan gekoppelde softwareproducten inderdaad wijzigingen aangebracht. Die zijn volgens de DSK echter niet voldoende om het 365-aanbod alsnog in lijn te krijgen met de GDPR (General Data Protection Regulation, Algemene Verordening Gegevensbescherming in het Nederlands).

'Misverstanden'

Microsoft ziet dit geheel anders. Bovendien, zo stelt het IT-bedrijf, zijn de zorgen van de DSK gebaseerd op diverse misverstanden over "hoe wij onze diensten draaien en maatregelen die we al hebben getroffen". Daarnaast zou het DSK-rapport geen oog hebben voor belangrijke juridische veranderingen die nog betere privacybescherming gaan bieden voor data-uitwisseling tussen de Europese Unie en de Verenigde Staten. Voor meer details hierover verwijst Microsoft (in zowel de Duitse als de Engelse verklaring) door naar een Duitstalige verklaring van zeven pagina's.

"Voor meer transparantie zouden we publicatie verwelkomen van het gedetailleerde DSK-rapport", meldt Microsoft nog. Met daarbij ook "gepaste aanpassing, samen met de gedetailleerde reactie die Microsoft heeft gegeven aan de DSK". De cloudaanbieder benadrukt dat het gedurende het hele onderzoek hecht heeft samengewerkt met de werkgroep van de verenigde privacytoezichthouders in Duitsland. Daarbij heeft het dus ook gereageerd op geuite zorgen door "diverse significante wijzigingen te implementeren".

Notificatie en verduidelijking

Het noemt daarbij als voorbeeld dat het zijn notificatieproces heeft verbeterd voor veranderingen bij 'onderaannemers' (subprocessors) voor informatieverwerking. Een andere wijziging die dus voor Microsoft significant is, is de toevoeging van verduidelijkingen voor het gebruik door Microsoft van persoonlijke data. De cloudaanbieder gebruikt die gegevens van klanten voor zakelijke doeleinden, maar is daar volgens de DSK niet duidelijk genoeg in. "Microsoft heeft volledig meegewerkt met de DSK en terwijl we het niet eens zijn met het DSK-rapport zijn we eraan toegewijd om resterende zorgen te adresseren."

1
Reacties
Cloudbouwer 29 november 2022 12:02

Er is werkelijk niets dat Microsoft kan doen waardoor de Amerikaanse overheid haar wetten niet kan uitvoeren.
Afspraken met je leverancier, betere beveiliging, data in de EU.. Het helpt allemaal niets. Zolang Microsoft Amerikaanse subverwerkers heeft ben je nooit GDPR compliant met O365 (tenzij je het adresboek niet gebruikt, geen mailadressen bewaard.. naja, niet gebruikt dus).

En vergis je niet. Microsoft krijgt geen boete als uw bedrijf wordt aangeklaagd omdat u niet conform GDPR werkt. U krijgt de boete.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.