Microsoft bøjer sig for Schrems II: Data kan blive i EU
Microsoft har torsdag meddelt, at virksomheden vil tage et nyt skridt for at komme de nye strikse EU-regler om datatilgang i møde.
I et blogindlæg skriver firmaet:
»I dag annoncerer vi et nyt løfte til EU. Hvis du er kunde i den kommercielle eller offentlige sektor i EU, går vi ud over vores eksisterende forpligtelser om datalagring, og giver dig mulighed for at behandle og gemme alle dine data i EU. Med andre ord behøver vi ikke at flytte dine data uden for EU. Denne forpligtelse gælder på tværs af alle Microsofts kerne-skytjenester - Azure, Microsoft 365 og Dynamics 365. Vi begynder straks at arbejde på dette tilføjede trin, og vi vil gennemføre implementeringen af alt det tekniske arbejde, der er nødvendigt, ved udgangen af næste år. Vi kalder denne plan 'EU Data Boundary for Microsoft Cloud.'«
Det fremgår af en side med 'ofte stillede spørgsmål', at EU Data Boundary fra slutningen af 2022 vil tage yderligere skridt til at minimere overførsler af både kundedata og personoplysninger uden for EU.
»Vi mener, at vores nye initiativ vil opfylde lovgivningsmæssige krav og imødekomme behovene hos vores europæiske kunder, der søger endnu større tilsagn angående datalokalisering.«
Samme sted uddybes forholdet mellem EU Data Boundary og Schrems II-dommen:
»Vi implementerede supplerende foranstaltninger efter Schrems II-beslutningen, for yderligere at understøtte overholdelse af dataoverførsler, som vi mener opfylder og går ud over, hvad der kræves af Schrems II-beslutningen. Vi foretager disse yderligere investeringer for at behandle og gemme data i EU inden udgangen af 2022. Dette viser vores fortsatte engagement over for vores kunder i Europa og forenkler post-Schrems II-overholdelse ved at minimere dataoverførsler til uden for EU's grænser.«
Herhjemme satte det kommunale it-fællesskab Kombit i september sidste år en stopper for indgåelse af nye kontrakter med Microsoft, fordi tech-giganten ikke kunne stille de relevante garantier for, at kundernes data ikke sendes ud af Europa.
»Med den viden Kombit har om, at Microsoft ikke kan garantere, at der ikke sker overførsel til tredjelande, medfører det, at Kombit på nuværende tidspunkt ikke ønsker at indgå nye aftaler, hvor Microsoft anvendes som underdatabehandler,« lød det dengang.
Det samme mener Kombit dog ikke gælder Amazon AWS i forbindelse med skole-intranettet AULA:
»Det skal her bemærkes, at de data AWS teoretisk og teknisk ville kunne tilgå for AULA alle er krypterede. Derudover kan supporthenvendelser til AWS i teorien indeholde persondata f.eks. ved brug af screenshots, men Netcompany sikrer, at supporthenvendelser til AWS ikke indeholder persondata ved brug af screenshots i fejlrapporter, og at der i tilfælde af brug for support altid anvendes en AWS-supporter fra EU/EØS,« hedder det i et notat fra Kombit og leverandøren Netcompany.
Juridiske eksperter dumper dog AWS' generelle Schrems II-garanti overfor Version2:
»Det kan selvfølgelig ikke udelukkes, at den endelige udgave af vejledningen efterlader en dør på klem for en risikobaseret tilgang, men indtil da er meddelelsen fra AWS juridisk set ubrugelig,« har advokat Jesper Løffler tidligere udtalt.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.