Is Office 365 nu echt een AVG probleem of alleen voor Hessense openbare scholen?

De gegevensbeschermingsautoriteit van de Duitse deelstaat Hessen heeft het gebruik van Microsoft Office 365 door scholen verboden omdat dit in strijd met de AVG is. Dat meldde Security.nl op gezag van de toezichthouder zelf. De aanleiding is dat Microsoft eerder de speciale optie van een Duits datacenter voor scholendata had geschrapt, zodat de mogelijkheid ontstond dat persoonsgegevens van leerlingen en personeel in de VS zouden worden opgeslagen. Hetzelfde geldt voor telemetriedata over het gebruik, dat automatisch naar Microsoft wordt gestuurd en niet meer bij de Duitse grens moest stoppen. Waar ging dit nu precies op mis en wat betekent het voor andere cloudafnemers?

De pijn lijkt vooralsnog te liggen bij een specifieke Duitse uitwerking van de AVG, zo lees ik in het persbericht:

Public institutions in Germany have a special responsibility regarding the admissibility and traceability of the processing of personal data. Also the digital sovereignty of state data processing must be guaranteed.

Ik kan alleen zo 1-2-3 in de Duitse Uitvoeringswet niet terugvinden waar dat dan staat. Ik ga er dus maar vanuit dat men bedoelt dat de lat voor noodzaak en proportionaliteit extra hoog ligt, en waarschijnlijk ook dat Microsoft niet bepaald transparant is (aldus de toezichthouder) over wat er precies met die data gebeurt. Daar valt wel wat voor te zeggen.

Daarmee is het voor mij niet perse het einde van de cloud, hoewel dat natuurlijk wel in de lucht hangt (haha) met recente ontwikkelingen in de Schrems II-zaak bij het Hof van Justitie: is de optie om met zogeheten model contractual clauses data naar de VS over te dragen dan eigenlijk wél rechtsgeldig? Als dat niet zo is (en daar lijkt alles op te wijzen) dan blijft er vervolgens heel weinig grondslag over om persoonsgegevens in de VS op te mogen slaan. (Privacy Shield staat overeind maar alleen maar omdat het Hof er nog niet aan toegekomen is.)

Wie met een cloudoplossing bezig is die over vijf jaar een afhankelijkheid op Amerikaanse servers heeft, heeft dus nu een goede reden om die oplossing aan te gaan passen.

Arnoud

14 reacties

  1. Ik heb, nu al een tijdje geleden, nagevraagd bij de Datenschutzbeauftrage van Bremen. In mijn geval ging het om het gebruik van dropbox voor het uitwisselen van formulieren en/of opdrachten voor de scholen waar ik mee samenwerk. Enige leerkrachten wilden persé dropbox, ik weigerde omdat ik niet kan controleren wat er precies met de data gebeurd die daar worden opgeslagen. De DB van Bremen bevestigte, dat gezien het feit dat ik geen controle heb over de servers we deze optie niet zouden mogen gebruiken. Hetzelfde goldt, eerder terloops gezegd, voor het gebruik van Clouds. Zo is het gebruik van bepaalde fotosoftware die uitsluitend op cloudbasis werkt (iets met lichtjes in de kamer) voor het bewerken van fotos met personen erop eveneens uiterst bedenkelijk (uit het perspektief van de DB). Het besluit van de DB in Hessen ligt dus op deze lijn.

  2. “Was für Microsoft gilt, ist auch für die Cloud-Lösungen von Google und Apple zutreffend. Die Cloud-Lösungen dieser Anbieter sind bislang ebenfalls nicht transparent und nachvollziehbar dargelegt worden. Deshalb gilt auch hier, dass für Schulen die datenschutzkonforme Nutzung derzeit nicht darstellbar ist.”

    De ondoorzichtige wolken is het probleem niet alleen office 365. 🙂

  3. Ik kan het helemaal vinden ik de Duitse oplossing. Wat mij betreft einde cloud. Ooit wel eens zo’n overeenkomst gelezen?

    Uiteindelijk is jou data jou data niet meer, en bij een storing is het jammer maar helaas. Er is er niet een die daadwerkelijk verantwoording neemt. Alleen een papieren verantwoording. Ken je hem nog: 100% correct en 100% nutteloos.

    Kan je net zo goed de goedkoopste memen. Maar als jij je data seriues neemt, ook als bedrijf: on premisis in eigen beheer.

    Ik vergelijk het graag met geld, andermans (geleend) geld geef je makkelijker uit als eigen geld en moet uiteindelijk terug. Maar de meeste bedrijven hebben nog maar 30 tot 50 % eigen geld de rest is gebakken lucht. Net als banken die geld mogen creëren uit lucht/niets.

    1. Ik proef een hoop irritatie. Jammer dat bij dit soort berichtgeving onmiddelijk de innovatieremmers in de pen kruipen met ongefundeerde statements. Nogmaals: – Jouw data is jouw data – lees de voorwaarden nog eens; – Uptime cijfers van clouddiensten zijn beter dan die van gros on-prem IT dienst (waarin vaak ook nog eens voorzien wordt door een onvolwassen IT organisatie).

      1. Dat opgeslagen in de cloud is toegankelijk voor opsporingsdiensten en inlichtingendiensten die geen toegang zouden hebben tot een lokaal datacentrum waar alleen de lokale wetgeving van toepassing is.

  4. Is het nog van belang of het bedrijf Amerikaans is? Er zijn genoeg partijen, neem een Digital Ocean, Amazon of MS die servers in de EU hebben. Maar ik meen te herinneren dat de Amerikaanse overheid hen kan vorderen die gegevens alsnog aan te leveren? Dus maakt het dan nog uit waar die data precies staat als de Amerikaanse eigenaar er altijd bij kan?

    1. Het lijkt er inderdaad op dat een Amerikaans bedrijf (dus opgericht onder recht van en gevestigd in Amerika) onder de CLOUD ACT valt, ongeacht waar haar datacenters of servers staan. Een server in Nederland die juridisch eigendom is van bv. een Californisch bedrijf, kan dus leeggetrokken worden als de FBI in San José dat eist.

      Als dat Californisch bedrijf een Nederlandse bv opricht en die koopt die server, dan wordt het anders. Weliswaar is het Amerikaanse bedrijf nog steeds gebonden aan de CLOUD ACT, maar die Nederlandse dochter van haar valt onder de AVG en die verbiedt meewerken aan dergelijke bevelen. Het moederbedrijf kan daar niet overheen met een intern bevel. Allereerst dus niet omdat zo’n bevel in strijd is met hier geldende wetgeving, en ten tweede niet omdat je als eigenaar/aandeelhouder niet het bestuur instructies kunt geven. Het bestuur bestuurt, jij kunt het bestuur naar huis sturen maar dat is het dan ook wel.

        1. Meewerken aan een bevel van de Nederlandse politie in het kader van een concrete strafzaak in de VS vind ik van een andere orde dan massaal datagraaien door de VS los van wat onze wetgeving daarover zegt. Al is het maar omdat rechtshulpverzoeken individuele zaken zijn én er getoetst wordt of fundamentele rechten hier geschonden zouden worden. Als iets hier niet strafbaar is, zal Justitie niet meewerken aan het bevel.

      1. Zou het niet aannemelijk zijn dat al dit soort partijen zulke constructies op gaan zetten voor zover ze dat niet al doen? Ze willen hun klanten in de EU houden lijkt me. Vanuit dat opzicht gaat er misschien niet zo gek veel veranderen in de cloudwereld.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.