Meerdere keren per week spreek ik in mijn cursussen en adviespraktijk Microsoft 365 functioneel en technisch beheerders, ICT-managers, adviseurs en leidinggevenden uit informatiebeheer, recordsmanagers en vele anderen die betrokken zijn in implementaties of beheer van het Microsoft 365 platform of onderdelen daarvan. Dat zijn op jaarbasis enkele honderden Nederlandse en Vlaamse contacten in ruim honderd organisaties. En iedere week gebeurt het dat ik geconfronteerd wordt met onjuiste informatie over enkele voor compliance en veiligheid essentiële kenmerken van dat platform. Essentieel omdat adviezen en beslissingen over het al dan niet aanwenden van Microsoft 365 voor document opslag en -archivering, aanschaf van kostbare archiefsystemen, licenties en koppelingen, uitstel van implementatie, etcetera ook mede op basis van dat soort aannames en geruchten wordt genomen door de beslissers. Daarom als opvolging van mijn recente blog over cloud angst nu meer focus op opslag locaties.
“Microsoft slaat die documenten overal in de wereld op en we weten niet waar, dus…”
Microsoft is transparent over opslag van data en klantgegevens. Je kan de opslag locaties vinden in Microsoft 365 documentatie, maar ook in het centrale admin center van je Microsoft 365 tenant (zie afbeelding).
Vrijwel alle content in je Nederlandse tenant is opgeslagen binnen de Europese Unie. Waar Microsoft stelt dat data in ‘de Europese Unie’ is opgeslagen bedoelen ze regionale datacenters in de Europese Unie in Oostenrijk (Wenen), Finland (Helsinki), Frankrijk (Parijs, Marseille), Ierland (Dublin) en Nederland (Amsterdam). Duitsland en Frankrijk hebben afzonderlijke afspraken gemaakt en beschikken daardoor over eigen datacenters, waar de meeste, maar ook niet alle content uit hun Microsoft 365 tenants wordt beheerd. De in Microsoft 365 opgeslagen informatie is beschermd, fysiek in de datacenters, maar ook digitaal door encryptie: “We encrypt customer data with a high standard of encryption both when it is in transit and at rest. Encryption is a critical point in the draft EDPB recommendations. We do not provide any government with our encryption keys or any other way to break our encryption.”
Voor Nederland geldt dat de informatie in EU-datacenters is opgeslagen (zie afbeelding) met uitzondering van:
- Sway. Sway is een weinig populaire presentatie tool, enigszins vergelijkbaar met Prezi. Hoewel de content in aangemaakte ‘sways’ dus in de VS wordt opgeslagen is dat nog altijd een stuk veiliger dan de met een gratis account aangemaakte ‘prezi’s’ die via internet gemakkelijk toegankelijk bleken voor derden. Dit toont ook weer aan dat ‘gratis’ niet altijd gratis is in de cloud, waar het – anders dan voor duur betaalde Microsoft 365 licenties – vrij beschikbare tools aangaat.
- Viva Insights – Manager/Leader met alleen HR-gegevens van derden en Viva Insights – Geavanceerd. Dit zijn overigens extra gelicenseerde producten. Eerder werd dit óók aangegeven voor de opslag uit MyAnalytics, voorheen bekend van de MyAnalytics rapportages in je mailbox, maar in de meeste documentatie is MyAnalytics inmiddels door Viva Insights vervangen. Informatie opslag in aangegeven onderdelen van Viva is dus nu nog niet geheel compliant met Microsofts’ streven en commitment om eind 2022 “both store and process in the EU all personal data of our EU commercial and public sector customers, if they so choose. This plan includes any personal data in diagnostic data and service-generated data, and personal data we use to provide technical support.”
Microsoft verstrekt geen informatie uit deze tenants aan derden voor reclame doeleinden, laat staan dat het bedrijf content verkoopt. Associaties met het Cambridge Analytica schandaal rond Facebook/Meta gaan hier dan ook mank. Ook verstrekt Microsoft overheden niet zomaar data uit Microsoft 365: “we are committing that we will challenge every government request for public sector or enterprise customer data – from any government – where there is a lawful basis for doing so. This strong commitment goes beyond the proposed recommendations of the European Data Protection Board (EDPB).
Microsoft heeft zich eerder verzet tegen de bemoeienis van Amerikaanse justitie om inzage te eisen in de opslag van Amerikaanse cloudproviders zelfs als de informatie van buitenlandse houders is en buiten de Verenigde Staten is opgeslagen. Mede uit dat verzet is de zogenaamde CLOUD Act voort gekomen, die nog steeds dit recht van Amerikaanse justitie bevestigt, als is het zelfs de gewaardeerde blog Iusmentis niet helder hoe dat dan juridisch geëffectueerd zou moeten worden. Maar check ook vooral de comments onder dit recente Microsoft artikel daarover, waarin mijns inziens terecht gesteld dat ook de nieuwe toezegging en commitments van Microsoft niet ver genoeg gaan, zolang de lange arm van Amerikaanse justitie zich wil of kan uitstrekken tot Ierland of het Europese vaste land.
En tot slot, bedenk dat ook Nederlandse justitie opvragingen (filter op: Netherlands) doet uit Microsoft systemen en dat ook daarover transparantie wordt betracht. In de eerste helft 2021 waren er ruim 600 verzoeken aan Microsoft uit Nederland, waarvan 27% afgewezen en 3% betrekking op content. (zie afbeelding).
Afbeelding boven blog: Unsplash by Chuttersnap
