Het gebruik van Microsoft-software door de Europese Commissie was in strijd met de privacyregels van de EU en de uitvoerende macht van het blok heeft ook nagelaten om adequate waarborgen te implementeren voor persoonlijke gegevens die worden doorgegeven aan niet-EU-landen, aldus de privacywaakhond van de EU op maandag.

De Europese Toezichthouder voor gegevensbescherming (EDPS) gelastte de Commissie maatregelen te nemen om aan de privacyregels te voldoen en een einde te maken aan de doorgifte van gegevens aan het Amerikaanse bedrijf en dochterondernemingen in derde landen die geen privacyovereenkomsten met de EU hebben gesloten, en stelde 9 december als deadline.

Het besluit van de EDPS volgde op een drie jaar durend onderzoek dat op gang was gebracht door bezorgdheid over de overdracht van persoonsgegevens aan de Verenigde Staten na onthullingen in 2013 van de voormalige Amerikaanse inlichtingencontractant Edward Snowden over massale Amerikaanse surveillance.

"De Commissie heeft verzuimd om passende waarborgen te bieden om ervoor te zorgen dat persoonsgegevens die buiten de EU/EER worden doorgegeven een in wezen gelijkwaardig beschermingsniveau krijgen als in de EU/EER wordt gewaarborgd," zei de waakhond in een verklaring.

De EER (Europese Economische Ruimte) bestaat uit de 27 EU-landen, samen met IJsland, Liechtenstein en Noorwegen.

"In haar contract met Microsoft heeft de Commissie niet voldoende gespecificeerd welke soorten persoonsgegevens moeten worden verzameld en voor welke expliciete en gespecificeerde doeleinden bij het gebruik van Microsoft 365," aldus de EDPS.

Microsoft 365 is de productsuite die Word-documenten, Excel-spreadsheets, PowerPoint-presentaties en Outlook e-mails omvat.

De gegevensbeschermingsautoriteit beval de Commissie om alle gegevensstromen op te schorten die voortvloeien uit het gebruik van Microsoft 365 naar Microsoft en haar filialen en subverwerkers in landen buiten Europa waarvoor geen adequaatheidsbesluit is genomen.

De EU heeft momenteel overeenkomsten inzake gegevenstoereikendheid met 16 landen, waaronder Argentinië, Japan, Zuid-Korea, Zwitserland, Groot-Brittannië en de Verenigde Staten.

De uitvoerende macht van de EU moest ook maatregelen nemen om ervoor te zorgen dat haar gebruik van Microsoft 365 voldoet aan de privacyregels. (Verslaggeving door Foo Yun Chee Redactie door Helen Popper)