EU-kommissionens brug af Microsoft 365 er nu i overensstemmelse med databeskyttelsesreglerne

Nyhed

30.07.2025

Europa-Kommissionen har nu bragt sin brug af Microsoft 365 i overensstemmelse med databeskyttelsesforordningen, efter krav fra Den Europæiske Tilsynsførende for Databeskyttelse (EDPS). Det konkluderer EDPS i en skrivelse fra 11. juli 2025, som afslutter en længerevarende proces indledt i 2021. Læs med for at finde ud af, hvilken betydning sagen kan have for dig.

EU-Kommissionen overholdt ikke GDPR

Afgørelsen følger op på EDPS’ tidligere afgørelse, hvor det blev konstateret, at kommissionen overtrådte GDPR på flere punkter – bl.a. utilstrækkelig formålsbegrænsning, usikre internationale dataoverførsler og risiko for uautoriseret videregivelse af personoplysninger. Kommissionen har siden gennemført en række tekniske, organisatoriske og kontraktuelle tiltag i samarbejde med Microsoft for at leve op til databeskyttelsesreglerne.

Hvad er de væsentligste forbedringer, EU-Kommissionen har gjort?

Formålsbegrænsning: Personoplysninger må nu kun behandles efter dokumenterede instrukser og til specifikke formål i offentlighedens interesse. Behandlingen sker fortrinsvis inden for EØS og herudover kun i tredjelande med et tilstrækkeligt beskyttelsesniveau.
Dataoverførsler: Overførsler til tredjelande er blevet præcist reguleret og begrænset til lande med tilstrækkeligt beskyttelsesniveau.
Informationspligt: Nye kontraktvilkår skal sikre, at hverken Microsoft eller dets underdatabehandlere må undlade at informere kommissionen om anmodninger om dataadgang, medmindre det sker i henhold til EU- eller national lovgivning, eller i henhold til lovgivning i sikre tredjelande.

EDPS opfordrer andre EU-institutioner til at følge kommissionens eksempel og sikre tilsvarende overholdelse.

Hvorfor var kommissionens brug af Microsoft 365 i strid med GDPR?

EDPS indledte en undersøgelse af kommissionens brug af Microsoft 365 i maj 2021. EDPS konstaterede i sin afgørelse af 8. marts 2024 flere overtrædelser af databeskyttelsesreglerne, hvorved EU-Kommissionens brug af Microsoft 365-produkter blev kritiseret. Et af de centrale punkter var, at Microsoft 365 er en amerikansk tjeneste, og der var bekymring for, at persondata, som blev overført fra EU til USA, ikke var tilstrækkeligt beskyttet mod adgang fra amerikanske myndigheder.

På baggrund af EDPS’ undersøgelse blev kommissionen pålagt at indføre korrigerende foranstaltninger.

HjulmandKaptains vurdering af, hvorfor sagen kan få betydning for dig

Selvom EDPS’ afgørelse kun er rettet mod EU-Kommissionen og EU’s institutioner, er det HjulmandKaptains vurdering, at afgørelsen også kan få betydning for alle private og offentlige myndigheder, der anvender Microsoft 365.

Det skyldes, at reglerne for beskyttelse af personoplysninger er identiske, så der en stor sandsynlighed for, at Datatilsynet i Danmark vil nå frem til samme resultat, hvis det var en dansk organisation, der havde en lignende sag.

Derudover vurderer vi også, at der er stor sandsynlighed for, at de problematikker, som EDPS har peget på i forhold til EU-Kommissionens brug af Microsoft 365, også gør sig gældende for rigtig mange andre organisationer, der anvender Microsoft 365 – og for den sags skyld også andre Microsoft-produkter.

Læs mere om sagen i vores nyhed fra 3. april 2024

Lad HjulmandKaptains specialister i GDPR hjælpe dig

Har du spørgsmål eller brug for rådgivning om din virksomheds anvendelse af Microsoft eller andre cloud-løsninger, så er du altid velkommen til at kontakte os for en uforpligtende afklaring af, hvordan vi kan hjælpe dig. Vores specialister står klar til at hjælpe dig.