Management

Juridische zaken
privacy

‘Risico dat VS Europese data van Microsoft opvraagt zeer klein’

Toch kan Microsoft-kritische privacy-inschatting grote gevolgen hebben.

© CC0 - Unsplash.com
1 maart 2022

Toch kan Microsoft-kritische privacy-inschatting grote gevolgen hebben.

Het Rijk, SURF en het hoger onderwijs mogen clouddiensten van Microsoft niet gebruiken voor gevoelige of bijzondere persoonsgegevens tenzij ze deze zelf versleutelen, zo luidde de aanbeveling van een DPIA (data protection impact assessment). Toch lijkt de kans dat de Amerikaanse overheid via Microsoft data in handen krijgt zeer klein. Experts denken dat het kritische privacy-oordeel alsnog flinke impact kan hebben.

Privacy Company beoordeelde de niet-versleutelde verwerking en opslag van gevoelige gegevens in Teams, Sharepoint en OneDrive als een hoog risico. De reden voor dat pittige oordeel is dat de Amerikaanse regering dankzij zijn Cloud Act-wetgeving kan afdwingen dat Microsoft data overhandigt. Dus ook als dat 'Europese data' zijn.

De risico’s voor ‘gewone’ persoonsgegevens worden door Privacy Company echter heel laag ingeschat, zo valt in de DPIA te lezen. Maar hierbij is ook nuance nodig: de kans dat Microsoft zijn data moet overhandigen aan de Amerikaanse regering is zeer minimaal, aldus onderzoekers.

In een reactie die in de DPIA vermeld wordt, stelt Microsoft bovendien dat het vanwege geheimhoudingsplicht niet mag vermelden of er eerdere verzoeken vanuit de overheid hierover zijn geweest. Wel geeft het bedrijf aan dat “Microsoft persoonsgegevens van klanten uit de publieke sector in de EU niet verstrekt en ook nooit verstrekt heeft aan welke regering dan ook.”

Dit feit, in combinatie met de door Microsoft zelf toegepaste encryptie van gegevens, de juridische mogelijkheid om besluiten van de overheid aan te vechten én de bewezen staat van dienst van Microsoft qua transparantie, zorgen er volgens de rapporteurs voor dat er slechts een laag gegevensbeschermingsrisico geldt als het gaat om ‘gewone’ persoonsgegevens. Bij bijzondere gegevens geldt echter nog steeds een hoog risico.

Grote kans dat AP advies overneemt

Een mogelijke uitweg hierbij is dat cloudgebruikers zelf hun data beter gaan beschermen, door ze te voorzien van versleuteling. Of het echt zo ver komt dat organisaties hun Microsoft-data zelf moeten versleutelen is nu de vraag. Dat is onder meer afhankelijk van wat de Autoriteit Persoonsgegevens adviseert. Menno Weij, partner tech & privacy law bij BDO Legal, acht dit scenario behoorlijk kansrijk, zo geeft hij aan tegenover AG Connect.

“Het Europees Hof is over de doorgifte naar de US zeer duidelijk geweest in de Schrems II uitspraak: de VS verschaft EU-burgers ‘geen rechten die zij voor de rechtbanken tegenover de Amerikaanse overheidsdiensten kunnen afdwingen’. En je ziet in de verschillende Google Analytics besluiten van EU privacy-waakhonden ook het argument terugkomen dat de aanvullende technische maatregelen die Google heeft genomen, zoals pseudonimisering en encryptie, dit probleem niet wegnemen.”

Data van Europese Microsoft-klanten exclusief op Europese datacenters opslaan, gaat volgens Weij niet de oplossing zijn. “Het probleem is dat Microsoft EU en Microsoft VS zelf afspraken maken over de doorgifte van persoonsgegevens. Net als Google en AWS. Dat probleem lost zich dus daarmee niet op” Wanneer doorgifte van data verboden wordt, dan kan dat potentieel veel gevolgen hebben voor Microsoft, denkt Weij. “Aan de andere kant: is het wel mogelijk om zonder Microsoft te werken wanneer je alles via Microsoft hebt ingericht? Het is een geopolitiek probleem, waarvoor de EU en de Verenigde Staten met een oplossing moeten komen.”

'Toezichthouders eenduidig'

Juridisch adviseur Stan van Riemsdijk van ICTRecht is iets minder stellig. Volgens hem is het niet met zekerheid te zeggen of de Europese toezichthouders eenzelfde strenge aanpak hanteren als de DPIA van Privacy Company. “Feit is dat verschillende Amerikaanse diensten onder een vergrootglas liggen. Aangezien privacytoezichthouders door heel Europa op dit moment onderzoek doen naar het gebruik van clouddiensten, ben ik geneigd om te zeggen dat als er een kritisch oordeel komt, deze eenduidig zal zijn en alle toezichthouders dus kritisch zijn.”

Van Riemsdijk noemt het ‘terecht’ dat Privacy Company in de DPIA stelt dat wanneer Europese toezichthouders het risico óók als hoog inschatten, het gebruik maken van Amerikaanse providers eigenlijk niet meer kan. “Of dit in de praktijk ook het geval zal zijn, blijft afwachten.”

Niet eens van bewust

Hij ziet een gelijkenis met de Schrems II zaak, die betekende dat het juridisch ‘niet rond te krijgen is’ om nog langer persoonsgegevens vanuit Europa in de VS te verwerken. “Ook hier kun je stellen dat doorgifte, zonder die aanvullende risicoanalyse en maatregelen dus eigenlijk niet kan. Betekent dit dat het daadwerkelijk ook niet meer gebeurt zonder deze aanvullende eisen? Nee!” Hoewel er partijen zijn die snel omschakelen naar de nieuwe vereisten, lijkt een aanzienlijk deel van de organisaties zich volgens Van Riemsdijk niet eens bewust van deze aanvullende eisen.

Bij het gebruik van Google Analytics in Europa, waarover de AP nog geen definitief besluit heeft genomen, ziet Van Riemsdijk hetzelfde. Maar hij stelt ook dat het perspectief voor de Amerikaanse websitetool niet ‘rooskleurig’ is. “In het kort kunnen de toekomstige gevolgen voor het gebruik van Microsoft dus aanzienlijk zijn. Overigens niet alleen voor Microsoft, maar ook voor alle andere Amerikaanse techreuzen. Of dit het gebruik van Microsoft op de korte termijn in de praktijk ook daadwerkelijk enorm gaat hinderen, is nog even afwachten.”

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.