De Duitse Datenschutzkonferenz (DSK) heeft op 2 november een rapport gepubliceerd waarin zij stelt dat het gebruik van Microsoft 365 in strijd is met de Algemene Verordening Gegevensbescherming (AVG). SURF, de coöperatieve vereniging van onderzoek- en onderwijsinstellingen in het mbo en ho, en SIVON, coöperatie van schoolbesturen in het po en vo, hebben namens het Nederlandse onderwijs onderzoek laten doen naar de bevindingen van de DSK. Zij concluderen dat er geen reden is om te twijfelen aan de rechtmatigheid van het gebruik van Microsoft 365 in het Nederlandse onderwijs. SURF en SIVON hebben dit op 20 december 2022 aan de onderwijsinstellingen gemeld.
Op basis van een Data Protection Impact Assessment (DPIA) zijn er in 2019 afspraken gemaakt over het verwerken van persoonsgegevens door Microsoft. In 2021 zijn daar, naar aanleiding van richtlijnen van de European Data Protection Board, nog aanvullende afspraken over gemaakt. Met deze afspraken worden de bevindingen van de DSK in Nederland voldoende ondervangen. De privacyrisico’s die in Duitsland zijn geconstateerd zijn in Nederland dus niet meer aanwezig.
SURF en SIVON blijven bestaande contracten periodiek toetsen en passen deze aan waar nodig. Daarmee dragen zij er zorg voor dat deze diensten veilig en verantwoord gebruikt kunnen worden in het onderwijs. Zoals aangekondigd in de kamerbrief van 14 juli faciliteert het kabinet het uitvoeren van DPIA’s waar nodig. Zo investeert het kabinet structureel € 6 miljoen in digitale veiligheid van het funderend onderwijs. Daarnaast investeert het kabinet de komende vijf jaar jaarlijks € 5 miljoen in het verhogen van de digitale weerbaarheid en privacy in het mbo. In het hoger onderwijs investeert het kabinet van 2023 tot en met 2026 in totaal € 57,5 miljoen en daarna € 7,5 miljoen structureel in cyberveiligheid en risicomanagement.
Net als de DSK vindt het kabinet dat de privacy van leerlingen en studenten optimaal beschermd moet zijn. Organisaties die persoonsgegevens van leerlingen en studenten verwerken dienen zich vanzelfsprekend te houden aan de AVG. Vooralsnog is dit voor Microsoft 365 in Nederland het geval. Het kabinet ziet daarom op dit moment geen belemmering voor de Nederlandse onderwijsinstellingen om het gebruik van Microsoft 365 voort te zetten.