De contracten die Microsoft heeft gesloten met instituten van de Europese Unie bieden onvoldoende privacy-bescherming aan gegevens. Dat stelt de Europese privacytoezichthouder EDPS (European Data Protection Supervisor) in de voorlopige uitkomsten van een afgelopen april begonnen onderzoek.
Reden voor het onderzoek waren zorgen over of de Europese Commissie en andere EU-instellingen voldoen aan de nieuwe privacyregels (GDPR/AVG) in hun software-overeenkomsten met Microsoft. Het onderzoek is nog bezig, maar de tussenstand is niet positief. De EDPS heeft serieuze zorgen dat veel contracten niet voldoen aan de privacy-regels die sinds mei 2018 in de EU gelden, inclusief de rol van Microsoft als dataverwerker.
Microsoft: snel aanpassingen
Microsoft reageert tegenover Reuters door te stellen dat het concern gecommitteerd is aan het helpen voldoen van alle klanten aan de GDPR- en andere relevante privacy-regels in de EU. In overleg met de betrokken EU-instanties zou er gewerkt worden aan veranderingen in de contracten om te voldoen aan de privacy-regulering. Op korte termijn zouden de veranderingen bekend moeten worden.
De EDPS werkt samen met het Nederlandse ministerie van Justitie en Veiligheid, die er afgelopen juni op basis van een risico-analyse achterkwam dat publieke autoriteiten in EU-lidstaten vergelijkbare problemen hadden in hun contracten met Microsoft. beide partijen hebben een forum opgezet om discussies te stimuleren over 'eerlijke regels' voor overheidsinstanties.
NL-ministerie J&V dient als voorbeeld
De EDPS stelt in een verklaring dat er in zijn algemeenheid duidelijk ruimte voor verbetering is van overeenkomsten met machtige software-ontwikkelaars en dat technische waarborgen en contractafspraken tussen het ministerie van J&V en Microsoft op dit gebied een stap voorwaarts zijn. Dergelijke oplossingen moeten beschikbaar komen voor alle publieke en private organisaties in de EU, evenals voor burgers.
