Reactie op Duitse bevindingen ten aanzien van Microsoft 365

Man aan laptop met mobiel van bovenaf gefotografeerd

20 december 2022 - In een rapport van 2 november 2022 heeft het samenwerkingsverband van Duitse privacy-toezichthouders (hierna; DSK) gesteld dat het gebruik van Microsoft 365 in Duitsland in strijd is met de Algemene Verordening Gegevensbescherming (AVG). SURF, APS IT-diensten, SLBdiensten en SIVON hebben met belangstelling kennisgenomen van het rapport van de DSK en hebben een onderzoek laten instellen naar aanleiding van deze bevindingen van de DSK.  

Conclusie: rechtmatig gebruik van Microsoft 365 in het Nederlandse onderwijs

Naar aanleiding van het onderzoek komen SURF, APS IT-diensten, SLBdiensten en SIVON tot de conclusie dat er geen reden is om te twijfelen aan de rechtmatigheid van het gebruik van Microsoft 365 door de Nederlandse onderwijs- en onderzoeksinstellingen. In 2019 hebben SURF, APS IT-diensten en SLBdiensten (noot 1) reeds afspraken gemaakt met Microsoft over het gebruik van Microsoft 365 binnen de Rijksoverheid en het Nederlandse onderwijs en onderzoek, waarin aanvullende privacy afspraken zijn meegenomen. Veel van de bevindingen die door DSK in het rapport zijn genoemd, werden in eerder uitgevoerde DPIA’s (Data Protection Impact Assessment) reeds geïdentificeerd en vervolgens gemitigeerd in aanvullende afspraken. Daarnaast hebben wij in 2021, naar aanleiding van de richtlijnen van de EDPB (European Data Protection Board) met betrekking tot verwerkingen buiten de EER in juli 2021, nogmaals waar nodig aanvullende privacy afspraken met Microsoft gemaakt.

Continu monitoren van rechtmatigheid van groot belang 

SURF, APS IT-diensten, SLBdiensten en SIVON erkennen het belang van privacy en streven ernaar om privacy afspraken te verankeren in contracten met leveranciers. Daarom hechten we veel belang aan het continu evalueren van (cloud-)diensten en het beoordelen van de rechtmatigheid hiervan. Samen met SIVON houden SURF, APS IT-diensten en SLBdiensten de veranderende wet- en regelgeving in de gaten, toetsen deze periodiek aan bestaande contracten en passen deze aan waar nodig. Daarnaast blijven we constant in gesprek en in onderhandeling met leveranciers om te zorgen dat diensten veilig en verantwoord zijn te gebruiken.  

 

Noot 1: Onderwijs- en onderzoeksinstellingen maken gebruik van deze contracten via SURF, APS IT-diensten en SLBdiensten.