Experts: ‘Kans dat Europese Commissie stopt met Microsoft is klein´
De Europese Commissie (EC) werd door toezichthouder European Data Protection Supervisor (EDPS) onlangs op de vingers getikt vanwege een gebrekkige bescherming van Europese persoonsgegevens. De EC werkt namelijk met Microsoft 365, dat volgens Europese eisen niet voldoet. De kans dat Brussel de Amerikaanse techreus daadwerkelijk aan de kant zet is volgens experts echter klein.
Brussel volgt Nederland
De EDPS sommeert Brussel om beveiliging van de verwerking van gegevens over Europeanen te verbeteren. Lukt dat niet, dan moet er in december 2024 gestopt worden met het gebruik van Microsoft 365. Frederik Zuiderveen Borgesius, hoogleraard ICT & recht bij de Radboud universiteit, gaat er ondanks het relatief korte tijdsbestek vanuit dat Microsoft op termijn verbeteringen voor de gegevensbescherming presenteert. Dit deed de Amerikaanse techreus namelijk eerder ook na onderhandelingen met de Nederlandse overheid die een privacyonderzoek (DPIA) liet uitvoeren. In het rapport werden destijds diverse risico’s bij het gebruik van Microsoft 365 aangewezen.
Afscheid Microsoft niet reëel
“Het lijkt erop dat de Europese Commissie momenteel wat betreft privacyvoorwaarden een minder goed contract dan de Nederlandse overheid, die diverse maatregelen van Microsoft heeft afgedwongen om risico’s weg te nemen. Wanneer de Amerikanen dit ook doen voor de Europese Commissie, blijft naar mijn verwachting Microsoft 365 in Brussel gewoon in gebruik”, aldus Zuiderveen Borgesius. De kans dat de Europese Commissie naar aanleiding van het EDPS-rapport afscheid neemt van Microsoft bijvoorbeeld volledig met open source software gaat werken lijkt hem uitgesloten. “Een gamechanger is het onderzoek van EDPS naar mijn verwachting niet.”
Zorgen nemen toe
Zuiderveen Borgesius vindt de berisping van de EDPS een ‘goed signaal’ dat de Europese privacywaakhond ook zijn eigen broodheer aanpakt. “Daarmee laat Brussel aan bedrijven en andere organisaties zien dat het zelf niet de dans ontspringt in de hogere eisen die gesteld worden.” Volgens Zuiderveen Borgesius realiseert Microsoft zich de toenemende zorgen van Europese overheden en andere organisaties dat data naar de Verenigde Staten ‘vloeien’ en daar minder goed beschermd worden. Het geluid dat data bij Amerikaanse techreuzen niet goed beveiligd wordt tegen bijvoorbeeld inlichtingendiensten in de VS neemt volgens hem toe, maar Microsoft probeert de geconstateerde risico’s volgens hem wel ‘serieus in te dammen’.
Vinger op de zere plek
Senior Legal Counsel Caroline van Ekeren van ICT Recht verwacht net als Borgesius Zuiderveen niet dat iedereen nu in een keer van Microsoft 365 gaat afstappen voor december 2024. “Daar zou veel voor moeten gebeuren. Als Microsoft als dienstverlener in Europa door wil, ga ik ervan uit dat Microsoft hierop gaat reageren door meer transparantie te bieden aan hun klanten over verwerkingsketen.”
Wat haar betreft legt het oordeel van de EDPS vooral de vinger op de zere plek. “Als je als organisatie met grote partijen zoals Microsoft werkt heb je soms weinig te willen. De DPA’s zijn one-stop-shop: die moet je van hun websites trekken of krijg je voor je neus bij het afsluiten van het contract. Het uitzoeken welke persoonsgegevens, waarom, naar welke entiteiten vloeien is lastig. Je geeft je dus enigszins over aan zo’n organisatie en moet accepteren wat hun voorwaarden zijn.”
Keten inzichtelijk maken
Van Ekeren vindt het ook opvallend dat de EDPS blijft hameren op de verantwoordelijkheid van de Europese Commissie voor het analyseren van het niveau van gegevensbescherming in derde landen van de hele keten: dus ook van subverwerkers van Microsoft. “Als we de richtlijnen van de European Data Protection Board (EDPB) volgen ligt de nadruk op het inzichtelijk maken van de keten, en waarborgen van de directe doorgifte die je uitvoert.”
Zorgelijk
Het is wat Van Ekeren betreft zorgelijk dat volgens de EDPS de afspraken die gemaakt zijn door Microsoft met de EC niet duidelijk genoeg zijn. “Grote kans dat andere nationale overheden dezelfde soort afspraken, of DPA’s, hebben afgesloten.”
Ze adviseert nationale overheden daarom om data flows goed inzichtelijk te maken. “Dat gaat dus volgens de EDPS een stuk verder dan geloven dat Microsoft het wel regelt met hun eigen subverwerkers: jij als verwerkingsverantwoordelijke moet duidelijk hebben waar de persoonsgegevens naartoe vloeien. Dat was eigenlijk al zo, maar de EDPS lijkt in dit geval duidelijk te maken dat de verantwoordelijkheid beleggen bij Microsoft eigenlijk onvoldoende is.”