Fase II van gegevensgrens EU. Microsoft breidt zijn Europese grensoverschrijdende boundary-plan uit naar persoonlijke gegevens.

EU Data Boundary, uitbreiding. Microsoft heeft de tweede fase van zijn uitrol van een datalokalisatieaanbod in de Europese Unie afgerond. De eerste fase dateert van begin vorig jaar en Microsoft voorspelde al een verlenging voor eind 2023. De uitgever heeft zich bijna aan het tijdschema gehouden.

Microsoft is vastbesloten om de gegevens van zijn klanten die dat willen in Europa op te slaan en te verwerken voor zijn online diensten, waaronder Azure, Dynamics 365, Power Platform en 365, Microsoft breidt zijn Europese grensoverschrijdende opsluitingsplan uit met persoonlijke gegevens. Dit is een belangrijke stap. Inspanningen om inzicht te krijgen in waar digitale informatie wordt verwerkt en opgeslagen, en zelfs om gegevens in hetzelfde land/regio als de klanten te plaatsen, kunnen belangrijke overwegingen zijn onder de Europese wetgeving voor gegevensbescherming.

Persoonlijke gegevens na klantgegevens

In een blogbericht waarin de tweede fase wordt aangekondigd, zegt Julie Brill, Chief Privacy Officer en Corporate Vice President Global Privacy, Safety, and Regulatory Affairs van Microsoft, dat de update het datalokalisatieaanbod uitbreidt met lokale opslag en verwerking van “alle persoonlijke gegevens”, inclusief geautomatiseerde systeemlogs. Ter herinnering: de eerste fase van de uitrol was gericht op wat Microsoft ‘klantgegevens’ noemt, d.w.z. informatie die actief door klanten wordt vastgelegd, in plaats van de bredere reeks gegevens die kunnen worden gegenereerd uit klantactiviteiten (bijv. via systeemlogs).

In de afgelopen jaren heeft Microsoft te maken gehad met een toenemende controle van de EU-autoriteiten voor gegevensbescherming over gegevens die afkomstig zijn van zijn cloudproducten. Het regelgevingsrisico voor de techgigant werd met name acuut toen een gegevensoverdrachtovereenkomst tussen het blok en de VS in juli 2020 ongeldig werd verklaard door het Hof van Justitie. In het geding: de onverenigbaarheid van de uitgebreide surveillancebevoegdheden van de VS en de Europese privacywetgeving – een juridisch conflict dat clouddiensten uit de VS met Europese klanten al twee keer in een onzekere impasse heeft gebracht.

Lokalisatie nog steeds poreus

Net als anderen voert Microsoft zijn inspanningen op om gegevens te lokaliseren in de EU – een noodzakelijke mededeling aan de markt en een verzekeringspolis tegen het risico van regelgevende terugslag. In de tussentijd, merken experts op, blijft de datalokalisatie van ’s werelds grootste uitgever poreus door het ontwerp. Sommige gegevens verlaten op dit moment nog steeds het blok. En dit zal blijkbaar ook zo blijven na de derde fase van de uitrol, die gepland staat voor december volgend jaar, aangezien Microsoft geen volledige lokalisatie van gegevens of verwerking elders heeft voorgesteld. Het gaat er gewoon om in de loop van de tijd geleidelijk meer lokalisatie voor gegevensstromen in te voeren.

“Klantgegevens omvatten geen gegevens over professionele diensten. Voor alle duidelijkheid: klantgegevens omvatten ook geen informatie die wordt gebruikt om bronnen in online services te configureren, zoals technische parameters en namen van bronnen“, waarschuwt de leverancier.

Er dient te worden opgemerkt dat het toepassingsgebied van de EU-datagrens gebruik maakt of kan maken van Microsoft-datacenters die zijn aangekondigd of momenteel operationeel zijn in Oostenrijk, België, Denemarken, Finland, Frankrijk, Duitsland, Griekenland, Ierland, Italië, Nederland, Noorwegen, Polen, Spanje, Zweden en Zwitserland. “In de toekomst kan Microsoft datacenters oprichten in andere landen binnen de EU of de EVA om EU-datagrensdiensten aan te bieden“, aldus het bedrijf.