Voor organisaties binnen de EU gelden strenge regels waar het de opslag van (privacy gevoelige) informatie betreft. Deze informatie dient binnen de regio van ofwel de EU, dan wel de EFTA (European Free Trade Union) te worden opgeslagen. Veel organisaties die gebruik maken van de Microsoft cloud gaan er normaliter vanuit dat deze informatie wordt opgeslagen binnen deze regio. En dit komt door het concept dat Microsoft hiervoor hanteert.
Dataopslag vindt plaats in zogenaamde geografische regio’s. Deze regio’s zijn voorzien van meerdere datacentra. De exacte locatie van de dataopslag voor een Microsoft 365 tenant is te vinden via het Microsoft 365 admin center | Settings | Org settings | Organizational profile | Data location.
Binnen Europa onderkent Microsoft de regio’s Frankrijk, Duitsland en Europese Unie. Binnen deze Europese Unie regio wordt gebruik gemaakt van datacentra in Oostenrijk, Finland, Frankrijk, Ierland en Nederland. Een Microsoft 365 tenant geactiveerd in Nederland wordt in de regio “Macro Region Geography 1 – EMEA” aangemaakt. Alle Office 365 diensten worden vanuit deze regio aangeboden. Vanuit de Microsoft 365 beheermodule is deze locatie zichtbaar als “European Union”. Het datacentrum van deze regio staat in Nederland.
Hoewel Microsoft lang heeft aangegeven (en volgehouden) dat alle informatie daadwerkelijk in de regio wordt opgeslagen, is dit niet altijd het geval. Zo zijn er situaties waarbij bijvoorbeeld telemetrie en diagnostische data, Azure AD logging en Defender for Cloud App informatie alsnog in de V.S. worden opgeslagen. En voor organisaties in de EU is dit niet acceptabel.
EU Data Boundary
Daarom komt Microsoft nu met de zogenaamde EU Data Boundary. Zoals Microsoft dit zelf aangeeft:
A “geographically-defined boundary within which Microsoft has committed to store and process customer data for our major commercial enterprise online services.”
Helemaal gerustgesteld? Toch niet helemaal. Allereerst wordt deze maatregel gefaseerd ingevoerd. Daarnaast zijn er toch nog enkele omgevingen die buiten de boot vallen. In de documentatie van Microsoft valt dit te lezen als “This data is currently stored globally, but in the future it will move to a regional model”.
Fasering EU Data Boundary
De invoering van de EU Data Boundary wordt uitgespreid over drie fases. In de eerste fase wordt de informatie binnen Microsoft 365, Dynamics 365 en Azure diensten in de EU (of EFTA) regio opgeslagen. Maar let goed op onderstaande figuur. Heel subtiel is daar sprake van “the majority of ….” en “the largest portion of”
In de tweede fase werkt Microsoft eraan om persoonlijke informatie in, door systemen gegenereerde, data standaard te pseudonimiseren. Dit is een grote en belangrijke stap. De laatste stap betreft de systemen en informatie die bij Microsoft nodig zijn om ondersteuning te bieden. De informatie hiervan wordt ook in de EU regio opgeslagen.
Data opslag
Goed. Dit is nog steeds wat verwarrend. Wat wordt vanaf 1/1/2023 nu wel en niet in de EU opgeslagen? Gelukkig is dit het grotendeel van de informatie. Er zijn echter wel een aantal componenten binnen Azure die dit nog niet ondersteunen. Hierbij wordt het onderscheid gemaakt tussen tijdelijk en definitief.
Er is een aantal Microsoft cloud componenten dat nooit gaat voldoen aan de EU Data Boundary. De redenen hiervoor zijn redelijk logisch. Microsoft benoemt deze componenten als “non-regional services”. Oftewel – diensten die over alle regio’s heen gebruikt worden. Deze componenten zijn:
- Azure Front Door/CDN
- Windows 10 IoT Core Services
- Microsoft 365 Apps van voor 31/12/2022
- Microsoft 365 Defender suite (Microsoft 365 Defender, Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, Microsoft Defender for Office 365).
Ook zijn er een aantal componenten die tijdelijk nog niet voldoen. Tijdelijk betekent in dit geval dat Microsoft de architectuur van deze componenten aan het herijken is. Er zijn componenten die potentieel wel en niet privacy gevoelige informatie opslaan en verwerken. Deze componenten doen dit potentieel wel.
- Azure Resource Manager dependent services
- Azure Managed Applications
- Azure Policy
- Azure portal, Azure Mobile App, Azure Resource Graph, Cloud Shell, Role-Based Access Control
- Azure DevOps
- Azure Active Directory (Azure AD, B2C, B2B)
- Microsoft 365 – Cloud PC (opslag in het V.K.)
- SharePoint (legacy infrastructure)
- Viva Insights (legacy version)
- Viva Goals (legacy version)
- Whiteboard
- Windows Enterprise Data Platform
- Yammer legacy version
Onderstaande componenten slaan of gebruiken (belangrijk!) geen privacy gevoelige informatie op.
- Azure Advisor
- Azure DNS
- Azure Lighthouse
- Azure Network Function Manager
- Azure Open Datasets
- Azure Service Health
- Traffic Manager
Nogmaals – het is de verwachting dat alle bovenstaande componenten gaan voldoen aan de EU Data Boundary.
Een andere component is de Azure Monitor. Helaas zitten hier een aantal onderdelen in die niet voldoen aan de EU Data Boundary. Hiervan geeft Microsoft aan dat deze op termijn wel gaan voldoen. Het zijn de Activity Log en de Application Change Analysis.
En nu?
Goed, waar staan we dan nu? Microsoft gaat de goede kant op. En de verwachting is wel dat in 2023 zeer veel informatie daadwerkelijk in de EU-regio is opgeslagen en daar ook blijft. Maar de lijst van uitzonderingen, is nog steeds zeer hoog.
Vanuit de Rijksoverheid komt er periodiek een zogenaamde Data Privacy Impact Analysis oftewel een DPIA. En er zijn de afgelopen periode ook meerdere DPIA’s gepubliceerd over precies dit onderwerp.
Ik verwacht dan ook dat er de komende tijd een vernieuwde DPIA uitkomt, specifiek over dit onderwerp. Het grote voordeel hiervan is het niveau van detail en de aanbevelingen binnen een DPIA van SLM Rijk. Wordt vervolgd!
Meer weten?
Onze consultants van InSpark informeren u graag verder over deze richting van Microsoft. Ook voor andere aspecten rondom wet- en regelgeving en de Microsoft cloud zijn onze consultants beschikbaar. Bijvoorbeeld voor een inspiratie workshop of een proof of concept traject.
