Microsoft kan data soevereiniteit in Europa niet garanderen

Anton Carniaux, directeur publieke en juridische zaken van Microsoft Frankrijk, en Pierre Lagarde, technisch directeur publieke sector, werden op 18 juni ondervraagd tijdens een senaatsenquête over overheidsaanbestedingen en digitale soevereiniteit zo meldt The Register Carniaux gaf aan dat Microsoft contractueel heeft vastgelegd dergelijke verzoeken te weerstaan wanneer deze ongegrond zijn. Hij benadrukte dat het bedrijf een "zeer rigoureus systeem" heeft geïmplementeerd om de geldigheid van verzoeken te analyseren en deze af te wijzen indien ze ongefundeerd zijn.

Echter, op de vraag of Microsoft verplicht zou zijn om gegevens over te dragen bij een juridisch goed onderbouwd verzoek, antwoordde Carniaux bevestigend, maar voegde eraan toe dat dit nog nooit is voorgekomen bij Europese bedrijven of overheidsinstanties. Hij gaf aan dat Microsoft transparantierapporten publiceert over datavragen.

CLOUD Act

Toen hem specifiek werd gevraagd of hij onder ede kon garanderen dat gegevens van Franse burgers niet zonder expliciete toestemming van de Franse overheid aan de Amerikaanse regering zouden worden overgedragen, antwoordde Carniaux: "Nee, dat kan ik niet garanderen, maar nogmaals, het is nog nooit gebeurd."

Deze verklaring van Microsoft voedt de discussie over digitale onafhankelijkheid en de afhankelijkheid van Europese landen van Amerikaanse cloudproviders, zeker gezien de bestaande Amerikaanse wetgeving zoals de CLOUD Act. Europese politici en experts pleiten steeds vaker voor het ontwikkelen van eigen, soevereine digitale infrastructuren om dergelijke scenario's te voorkomen.

Reactie Microsoft

Annemarie Costeris. Government Affairs Director, meldt in een reactie op de LinkedIn account van Witold Kepinski van Dutch IT Channel & Duutch IT Leaders:: "Dit gaat niet over het waarborgen van 'datasoevereiniteit'. Het grootste misverstand is dat de US CLOUD Act er is voor de Amerikaanse overheid om dataverzoeken te doen, terwijl een verzoek ook van een Europese overheid kan komen (aantallen en van wie Microsoft verzoeken ontvangt zie je in link hieronder).

Korte explainer: ‘Lawfull access’ geeft overheden de mogelijkheid om een grensoverschrijdend verzoek om data in te dienen bij een andere overheid (bijv in geval van strafrechtelijk onderzoek). Als het gaat om data bij een Amerikaanse Cloud provider gaat dit via de US Cloud Act. Als het gaat om een cloud provider op Europese bodem, gaat dat via de EU e-evidence regulering. Franse (en Nederlandse) overheden doen dergelijke verzoeken dus ook via de US cloud act. Alle cijfers van hoe vaak dit gebeurt en welke overheden deze verzoeken doen vind je (igv Microsoft) hier :https://www.microsoft.com/en-us/corporate-responsibility/reports/government-requests/customer-data#tab-requests-for-enterprise-customer-data."