SLM Rijk publiceert reactie op Duits standpunt rond gebruik Microsoft365

Op 25 november 2022 heeft de German Datenschutzkonferenz een rapport gepubliceerd waarin zij stelt dat het gebruik van Microsoft 365 in strijd is met de Algemene Verordening Gegevensbescherminig (AVG). Strategisch Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services Rijk (SLM Rijk) is nu met een reactie gekomen: "SLM stelt op dit moment de rechtmatigheid van het gebruik van Microsoft 365 als deze dienst onder de Rijksbrede Microsoft Business and Services Agreement afgenomen wordt niet ter discussie."

Team Strategisch Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services meldt in een memo:

"Op 25 november 2022 heeft de German Datenschutzkonferenz (hierna: DSK) een rapport gepubliceerd waarin zij stelt dat het gebruik van Microsoft 365 in strijd is met de Algemene Verordening Gegevensbescherminig (AVG).1

Uit de relevante documentatie begrijpt Strategisch Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services Rijk (hierna: SLM) dat er meerdere aspecten zijn die deze rechtmatigheid ter discussie stellen. In dit memo wordt kort ingegaan op het geconstateerde probleem met betrekking tot transparantie en internationale doorgifte. Transparantie van de verwerking is een belangrijk basisbeginsel van de AVG. Deze transparantie in het geval van Microsoft 365 zou volgens de DSK onvoldoende zijn. Dit is onder andere het geval ten aanzien van de verwerkingen onder Microsoft’s ‘Legitimate Business Interests’, c.q. de verwerkingen die Microsoft onder eigen verantwoordelijkheid voor zijn interne bedrijfsdoelen uitvoert.

Daarnaast is de internationale doorgifte van persoonsgegevens en de (mogelijke) toegang van Amerikaanse overheidsinstanties onderwerp van kritiek. Microsoft zelf is het oneens met de gepubliceerde bevindingen. SLM heeft naar aanleiding van deze ontwikkelingen vragen van afnemers gekregen over de gevolgen voor hen inzake het gebruik van Microsoft 365.

Hieronder volgt een korte inhoudelijke reactie waaruit volgt dat SLM, in dit stadium, geen implicaties ziet van dit rapport voor Nederlandse overheidsinstanties.

Reactie

SLM heeft met belangstelling kennis genomen van het rapport van de DSK. Het belang van het monitoren van (cloud-)diensten en het beoordelen van de rechtmatigheid hiervan is in de ogen van SLM van groot belang. Dit is een continu proces, dat door SLM wordt uitgevoerd. SLM stelt op dit moment de rechtmatigheid van het gebruik van Microsoft 365 als deze dienst onder de Rijksbrede Microsoft Business and Services Agreement (hierna: MBSA) afgenomen worden niet ter discussie.

SLM heeft namens de Rijksoverheid in de MBSA vergaande afspraken met Microsoft vastgelegd die de actuele kritiek van de DSK voldoende ondervangen. Zo bindt de verwerkersovereenkomst Microsoft aan strikte instructies voor de verwerking van persoonsgegevens van overheidsorganisaties die onder de reikwijdte van de MBSA vallen. Deze afspraken beschrijven helder wat Microsoft wel, en wat Microsoft niet met deze gegevens mag doen.

SLM ziet er nauw op toe dat de contractuele afspraken met Microsoft ook worden nageleefd. Onder ander door middel van het verrichten van audits, het uitvoeren dan Data Protection Impact Assessments (DPIA’s), regulier contact met Microsoft en het volgen van nationale en internationale ontwikkelingen. Zo laten wij momenteel een audit uitvoeren op de in de inleiding genoemde ‘Legitimate Business Interest’-verwerkingen.

SLM onderstreept het belang om bij internationale doorgifte, een adequate risicoafweging te maken. Dit kan door het uitvoeren van een Data Transfer Impact Assessment (DTIA).

Concluderend ziet SLM in dit stadium geen reden om te twijfelen aan de basis, die de door SLM vormgegeven MBSA biedt, om AVG-compliant Microsoft diensten af te nemen."