Een nieuwe update van Microsoft dient Europese cloudgebruikers gerust te stellen. Voortaan zullen alle persoonsgegevens zich binnen de zogeheten ‘EU Data Boundary for the Microsoft Cloud’. Is dat genoeg om data veilig te stellen?
Microsoft doet een aantal concrete beloftes aan alle Europese cloudgebruikers. Eerder presenteerde het al Cloud for Sovereignty, dat Europeanen belooft om datasoevereiniteit te waarborgen. Voortaan kunnen alle Azure-gebruikers ervoor kiezen om hun persoonlijke data binnen Europa te houden. Er hangt geen extra prijskaartje en de functionaliteit blijft verder onveranderd, belooft men.
Data-opslag voortaan binnen de EU, maar heeft het zin?
De techreus haalt een aantal verbeteringen aan alle clouddiensten. Hieronder vallen Microsoft 365, Azure, Power Platform en Dynamics 365-services. Voortaan zal alle data van gebruikers zich binnen de EU Data Boundary bevinden. Daaronder vallen alle EU- en EFTA-landen, zoals het bedrijf hier opsomt.
Zelfs geanonimiseerde persoonsdata zal voortaan niet buiten deze grenzen belanden. Deze gegevens bevinden zich in automatisch gegenereerde logs, die normaliter ook tijdelijk in Noord-Amerika bewaard worden. Voor extra transparantie is er de EU Data Boundary Trust Center, waarin verdere vragen beantwoord worden over het veiligstellen van data binnen de EU-/EFTA-grenzen.
Nu waren we al sceptisch over de Microsoft-beloftes voor Cloud for Sovereignty: het opvragen van gegevens door de Amerikaanse autoriteiten zou niet gegarandeerd uitgesloten zijn. Laten we vooropstellen dat deze vernieuwing aan het algemene Microsoft Cloud-aanbod daar geen verandering aan brengt. Nog altijd is het een juridisch grijs gebied of het Amerikaanse bedrijf gegevens dient te delen met de VS. Enkel belooft Microsoft dat het (wanneer mogelijk) klanten informeert dat hun gegevens zijn opgevraagd.
Diepe investeringen, toch extra kosten
Ondanks deze twijfel pakt Microsoft het Europese cloudproject zonder meer ambitieus aan. “Diepe investeringen om EU-gebaseerde technologie in te zetten” dient ook personeel dat system health monitort, af te schermen van (de al geanonimiseerde) persoonsdata. Kortom, Microsoft wil allerlei toegangswegen voor data blokkeren om gebruikers gerust te stellen.
Een optionele variant zou wel een betaalde dienst zijn. Deze dient “extra zekerheid” te geven aan klanten dat technische ondersteuning in de EU zit. Het is een wat curieuze belofte die Microsoft een jaar geleden maakte, maar laat zien hoe het bedrijf tegen datasoevereiniteit en -residency aankijkt. Bepaalde garanties dienen voor alle gebruikers te gelden, terwijl klanten in privacy- en compliance-gevoelige sectoren alsnog extra geld kwijt zullen zijn. Dit kan ondanks de eerder genoemde twijfel over Amerikaanse zeggenschap over data via Cloud for Sovereignty. Het is in ieder geval een product dat NCSC-NL en de gemeente Amsterdam al hebben gekozen.
Geen sovereign cloud
Microsoft is nog niet klaar met het initiatief rondom de EU Data Boundary. Daaruit blijkt dat ons continent nooit volledig onafhankelijk zal opereren van Noord-Amerika. Microsoft spreekt namelijk over het “beperken en beveiligen” van tijdelijke data om bijvoorbeeld via VDI assistentie te verlenen. Een toekomstige betaalde optie zou de “initiële” technische ondersteuning binnen de EU houden, iets dat niet al te veel zekerheid biedt.
Ook beloftes over naleving van de EU-US Data Privacy Framework zijn discutabel. Het is duidelijk dat de plannen van Microsoft ambitieus zijn en met veel factoren rekening houden, maar we hebben het hier over het naleven van principes, niet regelgeving. Hoewel Microsoft stelt dat het “voorbij Europese compliance-eisen” streeft te opereren, is de realiteit dat databescherming om meer gaat dan dat. Wie namelijk data aan een Amerikaans bedrijf toevertrouwt, kan niet garanderen dat de VS geen kijkje neemt. Dat is niet Microsoft’s schuld, maar wel de achilleshiel voor de beloftes die het doet.
Lees ook: Google Cloud schaft egress-kosten af, waar anderen de hoofdprijs voor vragen
22 uur geleden
Expert bijdrage
