Alarm voor gegevensbescherming: Hessen en de risico's van Microsoft 365!

Alarm voor gegevensbescherming: Hessen en de risico's van Microsoft 365!

Wat is er nieuw uit Hessen? Eind mei 2024 publiceerde de Hessische commissaris voor gegevensbescherming en vrijheid van informatie (HBfDI) haar activiteitenrapport. Het bevat spannende inzichten en waardevolle tips voor degenen die verantwoordelijk zijn voor gegevensbescherming en die hun weg moeten vinden in deze wereldwijd genetwerkte digitale wereld. Niet alleen de uitdagingen van digitale parkeermonitoring komen aan bod, maar ook het gebruik van Microsoft 365 – een onderwerp dat veel bedrijven bezighoudt.

Het rapport werpt een kritische blik op de huidige databeschermingsnormen bij Microsoft 365. Volgens de Data Protection Conference (DSK) hadden bedrijven een aanvullende overeenkomst nodig naast de bestaande orderverwerkingscontracten met de technologiegigant. Hierover moet individueel worden onderhandeld, wat een uitdaging is, vooral voor kleinere bedrijven. De HBfDI heeft al een succesvol concept ontwikkeld voor het gegevensbeschermingsconforme gebruik van Microsoft Teams. De verantwoordelijken moeten echter ook hun eigen verwijderingsroutines implementeren om aan de vereisten te voldoen. Informatie over het concept is echter niet beschikbaar in het rapport, maar de HBfDI is van plan om in 2025 verdere concepten voor andere Microsoft-producten te ontwikkelen om er licht op te werpen.

MS 365 – Een tweesnijdend zwaard

Tot nu toe gaat het goed, maar het gebruik van Microsoft 365 blijft lastig. Hoewel Microsoft in veel bedrijven sterk aanwezig is, blijft de kwestie van de naleving van de gegevensbeschermingswetgeving een veelbesproken onderwerp. Hoe dr-datenschutz.de Naar verluidt was een gegevensbeschermingseffectbeoordeling (DPIA) uit Nederland uit 2018 niet erg optimistisch en bleek dat Office 365 onrechtmatige gegevens verwerkte. Ook de DSK ziet juridische risico’s in het gebruik van Microsoft 365, met name als het gaat om transparante gegevensverwerking en de overdracht van persoonsgegevens naar derde landen. Hoewel Microsoft aanpassingen heeft gedaan aan het addendum voor gegevensbescherming en de zogenaamde EU-gegevensgrens heeft geïntroduceerd, blijft de scepsis bestaan ​​omdat de verantwoordelijkheid voor het gebruik dat voldoet aan de gegevensbescherming uiteindelijk bij de bedrijven zelf ligt.

Wat betekent dat voor Hessische bedrijven? Een grondige analyse van specifieke toepassingen kan juridische grijze gebieden helpen voorkomen. De Blog van SRD advocaten biedt nuttige tips over best practices voor het geïmplementeerde gebruik van Microsoft 365. Het allerbelangrijkste: transparante documentatie en een zorgvuldige afweging van de risico's zijn het allerbelangrijkste.

Praktische uitdagingen op het gebied van gegevensbescherming

Naast de digitalisering van de werkvloer komen ook andere onderwerpen aan bod. De HBfDI heeft zich bijvoorbeeld beziggehouden met digitale parkeerbewaking. Het gaat hier om juridische vragen over geautomatiseerde besluitvorming die voortkomen uit de inzet van videobewaking om de maximale parkeertijd te controleren. Uit klachten van burgers blijkt dat er nog steeds kritisch gekeken moet worden naar het juridisch kader.

Een ander voorbeeld is het gebruik van een handpalmaderscanner in een bloeddonatiefaciliteit in Hessen. Een klacht van een donor leidde tot tussenkomst van het HBfDI, dat bepaalde dat toestemming voor de verwerking van biometrische gegevens niet vrijwillig was gegeven. Daarom werd een alternatief geboden om zich met een identiteitskaart te kunnen identificeren. Dergelijke maatregelen laten duidelijk zien hoe gevoelig gegevensbescherming in het dagelijks leven moet worden geïnterpreteerd en dat oplossingen niet eenvoudig kunnen zijn.

Conclusie

Over het geheel genomen biedt het HBfDI-activiteitenrapport een uitgebreid overzicht van de uitdagingen en huidige ontwikkelingen op het gebied van gegevensbescherming in Hessen. De rapporten over technologietoepassingen die voldoen aan digitale surveillance en gegevensbescherming maken duidelijk dat de weg naar een holistische oplossing nog lang is. Bedrijven moeten zich bewust zijn van hun verantwoordelijkheid en hun gegevensbescherming serieus nemen. Hulp en advies zijn beschikbaar, maar je hebt je eigen geest en een slimme strategie nodig.

Lees meer over het activiteitenrapport van de HBfDI hier.