Microsoft 365 schendt GDPR, zegt Duitse autoriteit
Gedurende die twee jaren hebben ze bij Microsoft echter nauwelijks stil gezeten. In een statement van 8 pagina’s zegt de DSK dan ook dat er al heel wat verbeteringen zitten in het Microsoft-beleid ten opzichte van twee jaar geleden. Desalniettemin stelt de privacywaakhond zich kritisch op en zegt het dat Microsoft meer moet doen als het zich aan de GDPR wil houden.
De DSK schuift bijvoorbeeld de privacyverklaring van 365-applicaties naar voren. Daarin zou niet duidelijk genoeg vermeld zijn wat Microsoft precies met gebruikersgegevens doet en hoe het deze gegevens verwerkt. Daardoor, zegt de DSK, kan Microsoft niet aantonen dat het die gegevens op een rechtmatige manier gebruikt – en dat is tegen de regels van de GDPR. De computergigant moet dus transparanter worden over zijn gegevensverwerking.
Een ander probleem is de opslag van Europese gebruikersgegevens op Amerikaanse servers. Op dit moment is het onmogelijk om Microsoft 365 te gebruiken zonder je data naar Amerika te versturen. In het document staat wel dat alle data vanaf december 2022 ook in Europa opgeslagen zal worden, al kan het nog steeds zijn dat bepaalde gegevens de oceaan over gestuurd worden. De DSK zegt dan ook dat deze EU-servers een ontwikkeling in de goede richting zijn. Toch is het volgens de organisatie ook nodig om deze in de gaten te blijven houden.
Reactie van Microsoft
Vanuit Californië kwam er weerwoord op de bevindingen van de DSK. In een eigen statement zegt Microsoft het oneens te zijn (“respectfully disagree”) met de bevindingen van de DSK. De uitgever van het officepakket zegt dat zijn diensten niet alleen voldoen aan de GDPR, maar eigenlijk zelfs bepaalde eisen overtreffen. Microsoft zegt verder dat het transparanter is dan veel techbedrijven nu al zijn.
Microsoft zegt wel dat het nog transparanter wil worden dan het nu al is en in de toekomst daarvoor ook het nodige werk zal doen. Echt wakker liggen van de beslissing van de DSK, doen ze in Amerika overigens niet. De softwaregigant zegt vertrouwen te hebben in 2023. Onder andere door een nieuwe wet die privacywetten tussen de EU en de VS vastlegt, verwachten ze komend jaar een positieve GDPR-evaluatie te krijgen.
Gedurende die twee jaren hebben ze bij Microsoft echter nauwelijks stil gezeten. In een statement van 8 pagina’s zegt de DSK dan ook dat er al heel wat verbeteringen zitten in het Microsoft-beleid ten opzichte van twee jaar geleden. Desalniettemin stelt de privacywaakhond zich kritisch op en zegt het dat Microsoft meer moet doen als het zich aan de GDPR wil houden.
De DSK schuift bijvoorbeeld de privacyverklaring van 365-applicaties naar voren. Daarin zou niet duidelijk genoeg vermeld zijn wat Microsoft precies met gebruikersgegevens doet en hoe het deze gegevens verwerkt. Daardoor, zegt de DSK, kan Microsoft niet aantonen dat het die gegevens op een rechtmatige manier gebruikt – en dat is tegen de regels van de GDPR. De computergigant moet dus transparanter worden over zijn gegevensverwerking.
Een ander probleem is de opslag van Europese gebruikersgegevens op Amerikaanse servers. Op dit moment is het onmogelijk om Microsoft 365 te gebruiken zonder je data naar Amerika te versturen. In het document staat wel dat alle data vanaf december 2022 ook in Europa opgeslagen zal worden, al kan het nog steeds zijn dat bepaalde gegevens de oceaan over gestuurd worden. De DSK zegt dan ook dat deze EU-servers een ontwikkeling in de goede richting zijn. Toch is het volgens de organisatie ook nodig om deze in de gaten te blijven houden.
Reactie van Microsoft
Vanuit Californië kwam er weerwoord op de bevindingen van de DSK. In een eigen statement zegt Microsoft het oneens te zijn (“respectfully disagree”) met de bevindingen van de DSK. De uitgever van het officepakket zegt dat zijn diensten niet alleen voldoen aan de GDPR, maar eigenlijk zelfs bepaalde eisen overtreffen. Microsoft zegt verder dat het transparanter is dan veel techbedrijven nu al zijn.
Microsoft zegt wel dat het nog transparanter wil worden dan het nu al is en in de toekomst daarvoor ook het nodige werk zal doen. Echt wakker liggen van de beslissing van de DSK, doen ze in Amerika overigens niet. De softwaregigant zegt vertrouwen te hebben in 2023. Onder andere door een nieuwe wet die privacywetten tussen de EU en de VS vastlegt, verwachten ze komend jaar een positieve GDPR-evaluatie te krijgen.