De Europese databeschermingsautoriteit (EDPS) is een onderzoek gestart naar het gebruik van Microsoft-software door EU-instellingen en of dit aan de databeschermingswetgeving voldoet. De EDPS wijst daarbij naar een eerder onderzoek dat de Haagse Privacy Company in opdracht van het ministerie van Justitie en Veiligheid uitvoerde. Het onderzoek richtte zich op gegevens die Windows 10 Enterprise en Microsoft Office over gebruikers verzamelen en opslaan.
Uit het onderzoek bleek dat diagnostische gegevens van en over de gebruiker worden verzameld en opgeslagen in een database in de Verenigde Staten, op een manier die hoge risico's meebrengt voor de privacy van de gebruiker. "De EU-instellingen rekenen op Microsoft-diensten en -producten om hun dagelijkse activiteiten uit te voeren. Het gaat dan ook om het verwerken van grote hoeveelheden persoonlijke data", aldus de EDPS.
Gezien de aard, omvang, context en doel van deze verwerking is het volgens de toezichthouder belangrijk dat er waarborgen en maatregelen zijn getroffen om aan de databeschermingsregels te voldoen. De EDPS onderzoekt daarom of Microsoft-producten en -diensten die door EU-instellingen worden gebruikt, en of de contractovereenkomsten tussen Microsoft en EU-instellingen, volledig conform de databeschermingsregels zijn.
De nieuwe databeschermingsregels voor EU-instellingen werden op 11 december vorig jaar van kracht en introduceren nieuwe regels voor outsourcing. Zo stellen de regels dat opdrachtnemers nu direct verantwoordelijk zijn om compliant te zijn. Als er echter van derde partijen gebruik wordt gemaakt voor het leveren van diensten, blijven de EU-instellingen aansprakelijk voor de dataverwerking die in hun naam plaatsvindt.
De instellingen zijn echter ook verplicht dat gesloten contracten met deze opdrachtaannemers aan de nieuwe databeschermingsregels voldoen en risico's vermijden. "Met dit in het achterhoofd onderzoekt de EDPS nu de contractuele overeenkomsten tussen de EU-instellingen en Microsoft", zegt vice-EDPS Wojciech Wiewiorowski.
Deze posting is gelocked. Reageren is niet meer mogelijk.