Microsoft past cloudcontracten aan na Europees privacy-onderzoek

Microsoft herziet de privacyvoorwaarden in zijn Online Services Terms (OST) voor commerciële klanten, nadat Europese privacyregulatoren zorgen hadden geuit dat die mogelijk niet helemaal in lijn waren met de Europese privacywetgeving (GDPR).

De OST-voorwaarden vormen het contractuele kader voor de belangrijkste online diensten van Microsoft, zoals Office 365 Enterprise. De European Data Protection Supervisor (EDPS) liet vorige maand verstaan dat het “ernstige zorgen” heeft over enkele van de contracten die Microsoft heeft afgesloten met Europese instituten, met betrekking tot het naleven van de GDPR.

De Europese privacywaakhond startte eerder dit jaar een onderzoek, nadat het Nederlandse ministerie van Justitie had geoordeeld dat de telemetriegegevens die Microsoft verzameld van Office 365-gebruikers in strijd zijn met de Europese privacyregels.

Nieuwe voorwaarden

Microsoft heeft ondertussen zijn contractvoorwaarden met het Nederlandse ministerie van Justitie aangepast en gaat die aanpassingen nu ook algemeen doorvoeren voor al zijn cloudcontracten. Dat laat Julie Brill, Microsofts Chief Privacy Officer, deze week weten. Die stap zou voldoende kunnen zijn om de EDPS, wiens onderzoek nog aan de gang is, te sussen.

Volgens de GDPR is MIcrosoft een dataverwerker die persoonlijke gegevens van zijn gebruikers verzamelt en gebruikt voor zijn onlinediensten. Brill zegt dat Microsoft met de aangepaste voorwaarden zijn verantwoordelijkheid voor de bescherming van die data vergroot.

“We zullen verduidelijken dat Microsoft de rol van gegevensbeheerder op zich neemt wanneer we gegevens verwerken voor specifieke administratieve en operationele doeleinden, waaronder het leveren van de cloudservices die onder dit contractuele kader vallen, zoals Azure, Office 365, Dynamics en Intune”, aldus Brill.

Evenveel data

De vernieuwde OST-voorwaarden ondersteunen dat Microsoft zich aansprakelijk stelt voor wat er met de data van gebruikers gebeurt, en bieden klanten meer transparantie over de data die worden verwerkt. De aanpassingen zijn er met name op gericht om in meer detail te beschrijven hoe Microsoft bepaalde informatie gebruikt, en niet zozeer om de hoeveelheid verzamelde gegevens te verminderen.

Microsofts nieuwe contractvoorwaarden worden vanaf begin 2020 wereldwijd uitgerold naar alle commerciële klanten in publieke en private sectoren, ongeacht bedrijsgrootte.