De Europees Toezichthouder voor Gegevensbescherming (EDPS) start twee onderzoeken naar het gebruik van clouddiensten door Europese instellingen. Zijn persoonsgegevens van EU-burgers voldoende beschermd terwijl die instellingen gebruikmaken van Amerikaanse aanbieders Amazon Web Services (AWS) en Microsoft Azure? En is de Europese Commissie compliant bij haar gebruik van Microsoft 365?
De EDPS ziet er als onafhankelijke autoriteit op toe dat organisaties verbonden aan de Europese Unie zich houden aan afspraken over privacy en bescherming van persoonsgegevens. Afgelopen najaar riep de toezichthouder Europese instellingen op om te melden of en hoe zij zulke gegevens delen met bedrijven van buiten de EU.
Veel EU-instellingen maken gebruik van de diensten van Amerikaanse cloud-aanbieders AWS en Microsoft. De organisaties tekenden hiertoe begin vorig jaar zogeheten Cloud II-contracten met de aanbieders. Dit gebeurde enkele maanden voordat het Europese Hof van Justitie het toenmalige verdrag voor trans-Atlantische data-uitwisseling Privacy Shield ongeldig verklaarde.
Het is nu de vraag of de Cloud II-contracten voldoen aan de nieuwe situatie waarin het Privacy Shield niet meer van kracht is.
Weinig bescherming
Sinds de ongeldigverklaring van Privacy Shield mogen bedrijven, overheden en instellingen in de Europese Unie geen persoonsgegevens buiten de EU opslaan en laten verwerken, zonder dat er voldoende waarborgen zijn voor de bescherming van de data. Ook modelcontracten voor doorgifte van persoonsgegevens bieden te weinig bescherming tegen de bevoegdheden van Amerikaanse inlichtingendiensten.
Volgens EDPS-chef Wojciech Wiewiórowski hebben AWS en Microsoft maatregelen aangekondigd zodat ze voldoen aan nieuwe situatie. Hij twijfelt evenwel of dit voldoende is om de Europese regels voor databescherming volledig te volgen.
Aanbevelingen
Het tweede onderzoek van de EDPS richt zich op het gebruik van het cloudgebaseerde kantoorsoftwarepakket Microsoft 365 door de Europese Commissie. Vastgesteld moet worden of de Commissie eerdere aanbevelingen van de EDPS over het gebruik van Microsoft-producten wel opvolgt.
Het uiteindelijke doel is dat de Europese Commissie en andere organisaties zich bij cloudcontractonderhandelingen beter gaan houden aan databeschermingsregels. Europese instellingen moeten het goede voorbeeld geven, aldus Wiewiórowski. Het is niet bekend hoe de planning van de twee onderzoeken eruitziet.
EDPS is de afkorting voor European Data Protection Supervisor. In 2018 publiceerde de toezichthouder richtlijnen voor het gebruik van clouddiensten door Europese instellingen.
