Zowel de Europese Commissie als Microsoft stapt naar de rechter om te voorkomen dat instellingen van de EU binnenkort geen Microsoft 365 meer mogen gebruiken. Het beoogde verbod is uitgevaardigd door de Europese Toezichthouder op de Gegevensbescherming (EDPS), die nu voor de rechter wordt gesleept door de twee ongebruikelijke bondgenoten.
Afgelopen maart bepaalde de EDPS dat de instellingen en organen van de Europese Unie vanaf 9 december 2024 niet meer mogen werken met Microsoft 365, het populaire online-pakket van kantoortoepassingen als Word, Excel en Outlook. De toezichthouder concludeerde na onderzoek dat het gebruik door EU-organisaties een inbreuk is op de wetgeving voor gegevensbescherming. Het accent daarbij ligt op het ontbreken van waarborgen over de bescherming van gegevens die buiten de Europese Economische Ruimte (EER) worden doorgegeven. Alleen indien de Europese Commissie kan aantonen dat de data buiten de EER verantwoord worden verwerkt, blijft het gebruik van de cloudtoepassingen geoorloofd.
Verkeerde aannames
De Commissie baseert haar beroep op dertien juridische gronden. Bij de meeste daarvan wordt betoogd dat de privacywaakhond verkeerde aannames doet. Zo betwist de Europese Commissie dat er een directe uitwisseling van persoonsgegevens is met Microsoft in de VS en dat er geen gedocumenteerde instructies aan Microsoft zouden zijn over geoorloofde gegevensverwerking. Bovendien vindt de Commissie het opgelegde 365-verbod buitenproportioneel.
Ook Microsoft betoogt dat de EDPS de onderliggende verordening verkeerd interpreteert. Het gaat daarbij om doelbeperkingen, internationale gegevensoverdrachten en ongeautoriseerde openbaarmakingen. Het Amerikaanse techbedrijf spreekt eveneens van disproportionele corrigerende maatregelen.
Beide rechtszaken dienen bij het Gerecht van Eerste Aanleg, onderdeel van het Hof van Justitie van de Europese Unie. Dit hof is gevestigd in Luxemburg.
EDPS
De Europese Toezichthouder voor Gegevensbescherming (EDPS) is een onafhankelijke EU-instelling die verantwoordelijk is voor het waarborgen van de naleving van gegevensbeschermingswetgeving binnen de EU-instellingen en -organen. De organisatie adviseert over beleid en wetgeving die invloed hebben op privacy en gegevensbescherming, houdt toezicht op de verwerking van persoonsgegevens en behandelt klachten en verzoeken van individuen betreffende hun rechten op privacy. Bovendien werkt de EDPS samen met nationale toezichthouders en andere internationale organen om een consistente gegevensbescherming binnen de EU te waarborgen. EDPS staat voor European Data Protection Supervisor.
Dus als een toezichthouder tot conclusies komt die niet passen bij wat een Europese Commissie wil dan heult deze commissie gewoon met de vijand om juridisch de eigen zin door te drijven. Ik stel het zwart/wit door een herhaling van zetten want toen Edward Snowden wees op een buitenproportioneel toezicht op de Europese burgers vanuit een verplichting tot derden verstrekking door Amerikaanse techbedrijven leidde dat tot opzegging van eerdere akkoorden en een aanscherping van de ‘landingsrechten’ van data. En dat Microsoft, zoals Google en Apple, niet hieraan kunnen voldoen hieraan lijkt me juridisch geen reden voor een gedoogconstructie.