Overslaan en naar de inhoud gaan

Microsoft 365 is onwettig, concludeert Duitsland

Organisaties kunnen niet gebruik maken van Microsoft 365 én voldoen aan de Europese databeschermingswet GDPR (AVG in het Nederlands). Dit is de harde conclusie die nu is getrokken in Duitsland. Recent is de Franse overheid al voorgegaan in het afkeuren van Microsofts cloudaanbod, voor gebruik door de onderwijswereld. Mogelijke datatoegang door de Amerikaanse overheid is slechts één van de struikelpunten.
Office-apps
© Microsoft
Microsoft

Een werkgroep die bestaat uit federale en nationale privacytoezichthouders in Duitsland is met een vernietigende verklaring gekomen voor het 365-aanbod van cloudleverancier Microsoft. Gebruik van die diensten schendt de wettelijke voorschriften van de GDPR (General Data Protection Regulation, Algemene Verordening Gegevensbescherming in het Nederlands). Deels komt dit door de theoretische mogelijkheid dat de regering van de Verenigde Staten data zou kunnen opvragen van Europese gebruikers. Deels komt de Duitse afkeuring ook voort uit de bevinding dat Microsofts dataverwerkingsverklaring niet goed uitlegt hoe het bedrijf data zelf gebruikt voor zijn eigen doeleinden.

Telemetrie en meer

In de gebruiksovereenkomst voor Microsoft 365 staan namelijk bepalingen opgenomen die de aanbieder het recht geven om gegevens van eindgebruikers te benutten voor verschillende bedrijfsdoeleinden. Een voorbeeld daarvan is het generiek geformuleerde doel van 'het verbeteren van de diensten die worden geboden'. Dit kan naast telemetriedata (over werking en gebruik van software en configuratie van hardware) ook persoonlijke data omvatten. Telemetrie- en diagnostische data worden door Microsoft op grote schaal vergaard, weet de werkgroep.

De kritische verklaring waarin Microsoft 365 onwettig wordt verklaard, is formeel slechts een assessment en geen daadwerkelijk besluit dat direct tot handhaving leidt. Mogelijk kan dat wel volgen, maar de vraag is wanneer, hoe en door wie. Dit soort zaken kunnen veel tijd kosten, uitvoering van eventuele corrigerende maatregelen is complex en vanwege de EU-brede aard van de GDPR kan handhaving juist 'boven' landenniveaus komen te liggen.

Diep doorgedrongen

In de praktijk is gebruik van Microsofts clouddiensten - net zoals dat van andere Amerikaanse leveranciers - diep doorgedrongen in de overheidssector, het bedrijfsleven, de onderwijswereld en de maatschappij. Verbieden en er van afstappen zou moeilijk, of zelfs praktisch onmogelijk zijn. Het is hoe dan ook een kostbare zaak.

De harde conclusie die nu is getrokken door een speciale werkgroep van de Duitse privacytoezichthouders DSK (Datenschutzkonferenz) volgt op meer dan twee jaar onderzoek. Daarbij is ook uitgebreid overleg geweest met Microsoft. Het onderzoek naar Office 365 (zoals het cloudaanbod toen nog heette) is op 22 september 2020 begonnen. De ingestelde werkgroep heeft vanaf eind dat jaar contact gehad met Microsoft. Daarbij is niet alleen overlegd, maar ook actie ondernomen. Tussen toen en nu is de cloudaanbieder overgehaald om bepaalde aanpassingen door te voeren. Deze zijn echter onvoldoende gebleken om de harde afkeuring nu door de Duitse toezichthouders af te wenden.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in