Door recent nieuws over Microsoft Copilot laait de discussie over internationale datadoorgifte weer op. Microsoft informeert namelijk dat ze bij het gebruik van Copilot gegevens buiten de grenzen van de EU deelt. Wat is er aan de hand en wat moet je doen?
Hieronder nemen we je mee in de wijziging en wat er voor jouw organisatie kan veranderen, rekening houdend met de regels van de Algemene verordening gegevensbescherming (AVG).
De status nu
Veel organisaties gevestigd in de Europese Unie (EU) contracteren met de Europese entiteit van Microsoft (Microsoft Ireland Operations Limited, later: Microsoft Ierland). Microsoft doet al jaren zijn best om gegevens afkomstig van zijn Europese klanten binnen de EU te houden. Hierdoor wordt zij door veel partijen in de markt benaderd als een meer betrouwbare partij dan andere partijen afkomstig uit de Verenigde Staten (VS).
Microsoft’s nieuws
Microsoft zou door iets dat “flexroutering” heet, in sommige momenten bij het gebruik van Microsoft 365 Copilot (persoons)gegevens buiten de EU laten komen. Volgens Microsoft gebeurt dit alleen in piekmomenten om “een consistente Copilot-ervaring te behouden”. Critici stellen dat dit vanaf 17 april standaard aanstaat. Microsoft stelt: “Flexroutering is standaard ingeschakeld voor in aanmerking komende tenants die zijn gemaakt na 25 maart 2026. Voor in aanmerking komende tenants die bestonden vóór 25 maart 2026, raadpleegt u het Berichtencentrum voor meer informatie over de standaardinstelling voor flexroutering van uw tenant.”
De EU-datagrens
Microsoft introduceerde in 2023 een EU Data Boundary waarin ze een aantal “commitments” deelde dat ze in beginsel – buiten “global cybersecurity purposes”- data verwerkte van Europese organisaties (inclusief Copilot) in de EU (wilde) houden. Het lijkt erop dat daar nu een nieuw doel aan toegevoegd wordt met flexroutering: “Wanneer flexroutering is ingeschakeld, kan LLM-deductie plaatsvinden buiten de EU-gegevensgrens tijdens piekmomenten van de vraag.”, aldus Microsoft.
Wettelijk kader
De AVG stelt strenge regels aan het “doorgeven” van persoonsgegevens buiten de Europese Economische Ruimte (EER). Je moet aanvullende maatregelen nemen en afspraken maken als je met een partij buiten de EU persoonsgegevens deelt (lees of luister hier meer over doorgifte). Dit creëert vaak verwarring in de praktijk. De AVG gebruikt namelijk als drempel of je aan deze regels moet voldoen of de importeur van de persoonsgegevens zich bevindt in een land buiten de EU – niet per se relevant is waar die persoonsgegevens in de praktijk naartoe vloeien.
In dit geval is het (zoals ik kan deduceren uit het bericht) zo dat Microsoft Ierland deze persoonsgegevens deelt met haar moederbedrijf in de Verenigde Staten. Dat betekent dat tussen Microsoft Ierland en Microsoft Corporation de regels van doorgifte moeten worden nageleefd. Microsoft Corporation is Data Privacy Framework-gecertificeerd (zie figuur 1). Omdat dit framework adequaat is bevonden door de Europese Commissie via een adequaatheidsbesluit (huidige terechte praktische discussie even daargelaten), is deze wijze delen van persoonsgegevens rechtmatig. Microsoft heeft als aanvulling – dit is in beginsel niet nodig bij dit doorgiftemechanisme - een Transfer Impact Assessment uitgevoerd.
Impact praktijk
Bij het inschakelen van Microsoft als cloudprovider blijft jouw organisatie verwerkingsverantwoordelijk. Dat betekent ruw gezegd dat – hoewel Microsoft Ierland deze doorgifte zelf goed moet inregelen – jouw organisatie wel eindverantwoordelijk is voor de naleving van de AVG. Gelukkig legt Microsoft ook uit, hoe je deze aanvullende gegevensdoorgifte kan uitzetten (zie figuur 2).
Door de veranderende verhouding tussen de EU en de VS en geopolitieke spanningen die blijven oplopen, blijft het altijd ook een keuze van jouw organisatie of je (ten aanzien van beveiliging en continuïteit) gegevens en diensten wil laten leveren vanuit de VS. Maar die discussie, staat los van dit nieuws.
Meer weten over doorgifte? Luister onze podcast. Specifieke vragen? Neem vooral contact op.
