Microsoft 365 is onwettig, concludeert Duitsland
Organisaties kunnen niet gebruik maken van Microsoft 365 én voldoen aan de Europese databeschermingswet GDPR (AVG in het Nederlands). Dit is de harde conclusie die nu is getrokken in Duitsland. Recent is de Franse overheid al voorgegaan in het afkeuren van Microsofts cloudaanbod, voor gebruik door de onderwijswereld. Mogelijke datatoegang door de Amerikaanse overheid is slechts één van de struikelpunten.
© Microsoft
Microsoft
Een werkgroep die bestaat uit federale en nationale privacytoezichthouders in Duitsland is met een vernietigende verklaring gekomen voor het 365-aanbod van cloudleverancier Microsoft. Gebruik van die diensten schendt de wettelijke voorschriften van de GDPR (General Data Protection Regulation, Algemene Verordening Gegevensbescherming in het Nederlands). Deels komt dit door de theoretische mogelijkheid dat de regering van de Verenigde Staten data zou kunnen opvragen van Europese gebruikers. Deels komt de Duitse afkeuring ook voort uit de bevinding dat Microsofts dataverwerkingsverklaring niet goed uitlegt hoe het bedrijf data zelf gebruikt voor zijn eigen doeleinden.
Telemetrie en meer
In de gebruiksovereenkomst voor Microsoft 365 staan namelijk bepalingen opgenomen die de aanbieder het recht geven om gegevens van eindgebruikers te benutten voor verschillende bedrijfsdoeleinden. Een voorbeeld daarvan is het generiek geformuleerde doel van 'het verbeteren van de diensten die worden geboden'. Dit kan naast telemetriedata (over werking en gebruik van software en configuratie van hardware) ook persoonlijke data omvatten. Telemetrie- en diagnostische data worden door Microsoft op grote schaal vergaard, weet de werkgroep.
De kritische verklaring waarin Microsoft 365 onwettig wordt verklaard, is formeel slechts een assessment en geen daadwerkelijk besluit dat direct tot handhaving leidt. Mogelijk kan dat wel volgen, maar de vraag is wanneer, hoe en door wie. Dit soort zaken kunnen veel tijd kosten, uitvoering van eventuele corrigerende maatregelen is complex en vanwege de EU-brede aard van de GDPR kan handhaving juist 'boven' landenniveaus komen te liggen.
Diep doorgedrongen
In de praktijk is gebruik van Microsofts clouddiensten - net zoals dat van andere Amerikaanse leveranciers - diep doorgedrongen in de overheidssector, het bedrijfsleven, de onderwijswereld en de maatschappij. Verbieden en er van afstappen zou moeilijk, of zelfs praktisch onmogelijk zijn. Het is hoe dan ook een kostbare zaak.
De harde conclusie die nu is getrokken door een speciale werkgroep van de Duitse privacytoezichthouders DSK (Datenschutzkonferenz) volgt op meer dan twee jaar onderzoek. Daarbij is ook uitgebreid overleg geweest met Microsoft. Het onderzoek naar Office 365 (zoals het cloudaanbod toen nog heette) is op 22 september 2020 begonnen. De ingestelde werkgroep heeft vanaf eind dat jaar contact gehad met Microsoft. Daarbij is niet alleen overlegd, maar ook actie ondernomen. Tussen toen en nu is de cloudaanbieder overgehaald om bepaalde aanpassingen door te voeren. Deze zijn echter onvoldoende gebleken om de harde afkeuring nu door de Duitse toezichthouders af te wenden.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee