Microsoft kan niet garanderen dat data van de Britse politie die is opgeslagen in Azure-omgevingen binnen het Verenigd Koninkrijk blijft, ook al maakt nationale wetgeving dat verplicht. Dat blijkt uit correspondentie tussen het bedrijf en de Schotse politie.
De politiediensten in Schotland testen momenteel een nieuw systeem, de Digital Evidence Sharing Capability (DESC), wat het delen van informatie en bewijsmateriaal tussen verschillende diensten moet vereenvoudigen. Die data wordt in Azure opgeslagen en moet binnen de grenzen van het VK blijven.
Microsoft verstuurt data die is opgeslagen op zijn publieke hyperscaler-platform echter geregeld heen en weer tussen verschillende datacenters, ook buiten het Verenigd Koninkrijk (VK). Dit zou zelfs ‘inherent’ zijn aan de architectuur van Azure, meldt Microsoft in de correspondentie met de politie van Schotland. De info kwam boven water naar aanleiding van een beroep op de Freedom of Information Act, de Britse variant van een woo-verzoek. Het Britse IT-magazine Computer Weekly berichtte er vervolgens over.
Politie hield zich niet aan de wet
Doordat de data ook naar andere plekken buiten het VK ‘reist’, voldoen de politiediensten niet aan een onderdeel van de zogeheten Data Protection Act aldaar die stelt dat data van wetshandhavers soeverein moet blijven. Overigens heeft Microsoft wel aanpassingen gemaakt die ervoor zorgen dat de DESC-data het land niet verlaat, maar heeft het dit volgens de berichten niet voor andere diensten gedaan omdat het bedrijf ‘hier niet om was gevraagd’. Ook zou het bedrijf hiertoe contractueel niet verplicht zijn.
Tip: Microsoft Cloud houdt persoonsgegevens binnen de EU: is het genoeg?
De indiener van het verzoek om de correspondentie openbaar te maken is de Britse securityspecialist Owen Sayers, die al meer dan 20 jaar IT-diensten levert aan de politie van zijn land. Tegen Computer Weekly zegt hij dat nu 100 procent duidelijk is dat Microsoft niet voldoet aan wetgeving voor dataprotectie in het VK. Dit geldt overigens niet alleen voor de politie, maar ook voor andere overheidsdiensten die gebruik maken van Azure, wat veelvuldig gebeurt.
Behalve de Data Protection Act waar het in dit specifieke geval over gaat, zijn er ook andere soorten wetgeving die vergelijkbare eisen stellen aan de datasoevereniteit van Britse overheidsdiensten. Er is geen reden om aan te nemen dat de zaken in die gevallen anders zijn geregeld.
‘Soevereiniteit geldt niet voor actief verwerkte data’
Volgens Sayers tonen de berichten tussen Microsoft en de politie aan dat datasoevereiniteit alleen geldt voor data in ruste en niet voor data die actief wordt verwerkt. Volgens de IT-specialist hebben overheidsdiensten ervoor gekozen domweg aan te nemen dat de soevereniteitsgarantie zich uitstrekte tot alle typen data, maar dat in de praktijk blijkt dat het ‘follow the sun’-model geldt. Ofwel: data houdt geen rekening met locatie en gaat daarheen waar het kan.
In een reactie stelt Microsoft dat het de vereisten voor data residency en -bescherming serieus neemt, maar geen contractuele toezeggingen heeft gedaan die veranderen hoe Azure-services al werken. Het bedrijf zegt min of meer dat het de politiedienst heeft uitgelegd hoe Azure werkt en dat de politie op basis van die uitleg kan bepalen of ze het platform kan blijven gebruiken om aan wetgeving te voldoen.