image

EDPS kijkt of Microsoft 365-gebruik Brussel inmiddels aan regels voldoet

dinsdag 10 december 2024, 14:17 door Redactie, 7 reacties

De Europese privacytoezichthouder EDPS gaat onderzoeken of het Microsoft 365-gebruik van de Europese Commissie inmiddels aan de privacyregels voldoet. In maart oordeelde de EDPS dat Brussel met het gebruik van Microsoft 365 de privacywetgeving voor EU-instellingen (EUI's) overtreedt. De toezichthouder droeg de Europese Commissie op om vanaf 9 december te stoppen met het doorsturen van data naar Microsoft en diens partners en subverwerkers die zich buiten de EU bevinden en niet onder een besluit vallen waarbij het beschermingsniveau passend wordt verklaard.

Tevens werd de Commissie opgedragen om het gebruik van Microsoft 365 aan de geldende regelgeving te laten voldoen. Ook dit moest uiterlijk 9 december zijn geregeld. Volgens de EDPS heeft Brussel niet voor voldoende waarborgen gezorgd dat persoonlijke data die buiten de EU wordt verstuurd net zo goed beschermd is als binnen de EU. Verder heeft de Europese Commissie in het contract met Microsoft over het gebruik van Microsoft 365 niet voldoende duidelijk gemaakt welke persoonlijke data mag worden verzameld en voor welke expliciet vermelde doeleinden, aldus de toezichthouder begin dit jaar.

De Europese Commissie diende op 6 december bij de EDPS een rapport in om aan te tonen dat het Microsoft 365-gebruik inmiddels volgens de regels is. EDPS-voorzitter Wojciech Wiewiorowski zegt in een reactie te onderzoeken of dit ook het geval is. "Gezien de breedte van de informatie en complexiteit van de betrokken verwerkingsoperaties, zal deze analyse extra aandacht vereisen en binnen een gepast tijdsvenster grondig worden uitgevoerd." Zowel Microsoft als de Europese Commissie maakten bezwaar tegen de beslissing van de EPDS. De gerechtelijke procedures hierover lopen nog.

Reacties (7)
10-12-2024, 14:47 door Anoniem
Vandaag, 10 december 2024, trad de Cyber Resilience Act in werking. Die CRA ‘addresses the inadequate level of cybersecurity in many products’.

Terzelfdertijd is de EU nog steeds bezig om €€ en (wederrechtelijk) data naar MS te sluizen, betalend(!) voor notoir gebrekkige software en diensten — ten koste van, natuurlijk, de EU IT industrie.

"De gerechtelijke procedures lopen nog." Ach ja, en dat terwijl de *beleidskeuze* hier zo eenvoudig is: autonomie, strategisch investeren.
10-12-2024, 15:25 door Anoniem
Do as I say, not as I do, is het nieuwe credo van de EU.
10-12-2024, 15:44 door Anoniem
Eis gewoon als EDPS dat MS meewerkt aan een richtlijn sjabloon onder purview.microsoft.com zet een compliance officer als beheer erop voor alle gekoppelde EUis tenants. Dwing policies af op de tenant en waar nog niet aan gehonoreerd kan worden moet de leverancier met een actie plan komen met een inschatting van implementatie tijd. Bezwaar tegen dit alles prima goed recht maar tijd voor implementatie door laten lopen en bij verstrijken en verlies van bezwaar zet je er sancties op met zeer verstrekkende gevolgen zoals 5% jaarlijkse omzet uit EU als boete. Automatiseer het audit traject vervolgens als het sjabloon klaar is met maandelijke rapportages en alarm waardes en je bent klaar.
10-12-2024, 15:54 door Anoniem
6 jaar AVG/GDPR MS houdt zich er niet aan en ze gaan het nog maar een keerje onderzoeken... zucht. Trek toch gewoon de stekker eruit en investeer in opensource! Dat zet pas zoden aan de dijk wat betreft digitale soevereiniteit.
10-12-2024, 16:41 door Anoniem
Door USA wetgeving kunnen het niet eens aan de GDPR voldoen...
10-12-2024, 21:09 door Anoniem
Door Anoniem: Eis gewoon als EDPS dat MS meewerkt aan een richtlijn sjabloon onder purview.microsoft.com zet een compliance officer als beheer erop voor alle gekoppelde EUis tenants. Dwing policies af op de tenant en waar nog niet aan gehonoreerd kan worden moet de leverancier met een actie plan komen met een inschatting van implementatie tijd. Bezwaar tegen dit alles prima goed recht maar tijd voor implementatie door laten lopen en bij verstrijken en verlies van bezwaar zet je er sancties op met zeer verstrekkende gevolgen zoals 5% jaarlijkse omzet uit EU als boete. Automatiseer het audit traject vervolgens als het sjabloon klaar is met maandelijke rapportages en alarm waardes en je bent klaar.
De impliciete aanname dat je met een heleboel instellingen en policies Microsoft compliant krijgt aan de AVG, is onjuist.
11-12-2024, 15:20 door Anoniem
Door Anoniem:
Door Anoniem: Eis gewoon als EDPS dat MS meewerkt aan een richtlijn sjabloon onder purview.microsoft.com zet een compliance officer als beheer erop voor alle gekoppelde EUis tenants. Dwing policies af op de tenant en waar nog niet aan gehonoreerd kan worden moet de leverancier met een actie plan komen met een inschatting van implementatie tijd. Bezwaar tegen dit alles prima goed recht maar tijd voor implementatie door laten lopen en bij verstrijken en verlies van bezwaar zet je er sancties op met zeer verstrekkende gevolgen zoals 5% jaarlijkse omzet uit EU als boete. Automatiseer het audit traject vervolgens als het sjabloon klaar is met maandelijke rapportages en alarm waardes en je bent klaar.
De impliciete aanname dat je met een heleboel instellingen en policies Microsoft compliant krijgt aan de AVG, is onjuist.
Eens maar we hebben het niet over wel of niet AVG compliant maken we hebben het over de audit om aan te tonen of het wel of niet compliant is. En om dat dus snel, efficient aan te tonen is het een goed idee om daar dus een template voor te maken die je naar alle tenants tegelijk kan uitrollen in plaats een leger aan auditors extern in te huren per groep. Nog mooier als je de overtreder er ook dus nog voor laat betalen. Want we weten allemaal dat als de overheid iets gecontroleerd moet hebben dat naar een duur incompetent bureau gaat dat ook nog eens inmenging tolereert van de klant op de eindresulaten. Template heb je dat niet bij het klopt of het klopt niet.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.