Na de omverwerping van de “Safe Harbor” en “Privacy Shield” overeenkomsten, vindt Microsoft zichzelf herhaaldelijk geconfronteerd met de noodzaak om uit te leggen in hoeverre het voldoet aan de EU compliance regels. Het bedrijf richt zich op cloudregio’s en het aanbieden van nieuwe diensten.
Aan de ene kant leven we in tijden waarin persoonsgegevens moeten worden overhandigd, op straffe van boetes, als ergens een snack wordt genomen. Aan de andere kant zet de Europese Algemene Verordening Gegevensbescherming (GDPR) IT en processen op veel plaatsen op zijn kop en vult het de zakken van advocaten en consultants.
Microsoft had ooit een constructie gecreëerd met de “Duitse Cloud”, totdat deze in het najaar van 2018 werd stopgezet, waarbij Telekom als Duits bedrijf de soevereiniteit over de gegevens hield om zorgen over providers die onder Amerikaanse jurisdictie vielen te omzeilen. Uiteindelijk liep de deal op niets uit.
Nu zijn contracten met Amerikaanse clouddiensten afhankelijk van standaardcontractbepalingen van de EU die de naleving van EU-vereisten tussen gebruikers en providers contractueel moeten regelen. Maar er zijn reeds sceptische stemmen in de kring van commissarissen voor gegevensbescherming. Op langere termijn zou het Gaia-X-project, dat wordt aangekondigd als de “EU-cloud”, de onzekerheden kunnen rechttrekken, aangezien de samenwerking met hyperscalers uit de VS (en bijvoorbeeld Alibaba uit China) hier een nieuwe reeks regels krijgt. Tot die tijd vertrouwt Microsoft op “cloud regions”, of “regionale wolken”.
Duitse datacenterregio’s
In de zomer van 2019 introduceerde Microsoft “nieuwe Duitse datacenterregio’s”. Binnen het bedrijf is er sprake van “grote vraag”. Productomschrijvingen verzekeren: “Uw bedrijfsgegevens worden in Duitsland opgeslagen – aantoonbaar veilig en betrouwbaar. […] Microsoft zorgt ervoor dat uw gegevens vertrouwelijk en permanent beschermd blijven in de Microsoft Cloud.” Volgens deze lezing zijn er dus geen problemen.
En toch wordt de compliance-vraag steeds weer gesteld, niet alleen in de zakelijke klantenomgeving, maar ook in de onderwijsomgeving, bijvoorbeeld voor de introductie van thuisonderwijsoplossingen op basis van Microsoft, die met grote kortingen en initiatieven worden gepromoot.
Het Duitse cloud-aanbod wordt nu uitgebreid. Zo kondigt Markus Nitschke, Director Customer and Partner Experience bij Microsoft Duitsland, in een blogpost aan dat Power Apps, Power Automate en Power BI met onmiddellijke ingang beschikbaar zullen zijn vanuit de Duitse cloudregio’s. De “Azure Availability Zones” in de regio “West-Centraal Duitsland” zullen in januari 2021 volgen. Availability Zones zijn bedoeld om de mogelijkheden van Microsoft-klanten te vergroten om hoog beschikbare toepassingen te ontwikkelen en deze te beschermen tegen storingen in het datacenter. Daarnaast, zei Nitschke, zullen voor Microsoft 365 multi-geo klanten de Duitse cloud regio’s vanaf oktober worden toegevoegd aan de lijst van ondersteunde regio’s.
Data trustee model is geschiedenis
“Om te voldoen aan de huidige en toekomstige behoeften van klanten, zullen we Microsoft Cloud Germany (MCD) klanten, een geïsoleerde cloud omgeving, migreren naar de Duitse datacenter regio’s met lokale data in ruste. We sluiten de MCD op 29 oktober 2021”, schrijft de Microsoft-manager. Dit zijn oude contracten waarvoor het model met Telekom nog steeds werd gebruikt. Immers, “Pacta sunt servanda” (“overeenkomsten moeten worden nagekomen”) is van toepassing. Telekom verklaart: “Het model van de gegevensbeheerder, dat uitsluitend volgens de Duitse wetgeving toegang tot de gegevens garandeerde, is alleen beschikbaar in de Microsoft Cloud Duitsland en wordt niet langer aangeboden op het internationale platform. Microsoft verzekert echter “een zeer hoog niveau van gegevensbescherming, met beveiligings- en compliance-normen zoals in de Europese datacentra”. De ondersteuning van een groot aantal internationale en nationale certificeringen en normen, waaronder de DSGVO en IT-Grundschutz, is hiervan het bewijs, aldus het Telekom-concern. Advocaten en politici zijn nodig om ervoor te zorgen dat er in deze gemengde situatie geen principiële kwesties meer zijn. Gaia-X zou de truc hier kunnen doen.