Wij bevestigen vandaag opnieuw een plechtige belofte tegenover de Europese Unie. Bent u een klant uit de commerciële of openbare sector in de EU, dan overtreffen we onze bestaande engagementen inzake gegevensopslag en krijgt u de mogelijkheid tot verwerking en opslag van al uw gegevens binnen de EU. Anders gezegd: wij zullen uw gegevens niet meer buiten de EU versluizen. Dit engagement geldt voor alle essentiële cloudservices van Microsoft: Azure, Microsoft 365 en Dynamics 365. We gaan onmiddellijk aan de slag voor deze extra stap en we zullen tegen het einde van volgend jaar klaar zijn met de implementering van alle engineering die vereist is voor de voltooiing hiervan. Dit plan krijgt de naam ‘EU Data Boundary for the Microsoft Cloud’.
Deze nieuwe stap sluit aan op onze reeds goed gestoffeerde portfolio van oplossingen en engagementen ter bescherming van de data van onze klanten. We hopen dan ook dat onze update van vandaag een volgende stap is om tegemoet te komen aan klanten die nog forsere engagementen wensen inzake gegevenslocatie. In de komende maanden zullen we met klanten en regulatoren blijven overleggen over dit plan en over vereiste aanpassingen in unieke omstandigheden zoals cybersecurity, en we zullen bij latere stappen rekening houden met hun feedback.
De cloudservices van Microsoft voldoen nu al aan de EU-richtlijnen of overtreffen deze zelfs, ook zonder het plan dat we vandaag aankondigen. We bieden klanten uit de commerciële en de openbare sector nu al de keuze om hun gegevens te laten opslaan binnen de EU, en vele Azure-cloudservices zijn nu al configureerbaar om ook de gegevensverwerking in de EU te doen plaatsvinden. Bovendien hanteren wij versleuteling van topklasse en uiterst betrouwbare Lockbox-oplossingen die voldoen aan de huidige richtlijnen vanuit de regelgeving. Vele van onze diensten geven de klant de controle over de versleuteling van hun gegevens, met behulp van door de klant beheerde sleutels. Verder verdedigen wij de gegevens van onze klanten tegen ongeoorloofde toegang door elke overheid ter wereld.
We zijn al gestart met het engineeringwerk zodat onze essentiële cloudservices alle persoonsgegevens van onze klanten in de commerciële en de openbare sector binnen de EU – voor zover zij hiervoor kiezen – kunnen opslaan én verwerken binnen de EU. Dit plan omvat alle persoonsgegevens in diagnostische en via de service gegenereerde gegevens, evenals persoonsgegevens die we gebruiken om technische ondersteuning te kunnen leveren. We zullen ook een uitbreiding doorvoeren in de technische controles zoals Lockbox en door de klant beheerde versleuteling voor klantgegevens in alle essentiële cloudservices van Microsoft. We zullen deze EU Data Boundary Solutions inbouwen in onze essentiële cloudservices ter verbetering van ons huidige aanbod voor de klanten. Komend najaar organiseren we voorts een EU Cloud Customer Summit waar we meer uitleg geven over deze activiteiten.
Onze update van vandaag maakt deel uit van ons engagement tegenover de EU-visie inzake “Een Europa dat klaar is voor het digitale tijdperk” en is ook een erkenning van de rol die de technologische sector moet spelen om Europa te helpen zijn digitale ambities waar te maken. Niet alleen verwerken we de persoonsgegevens van onze klanten uit de commerciële en openbare sector in Europa: we richten in Dublin ook een ‘Privacy Engineering Center of Excellence’ op dat onze Europese klanten moet helpen de juiste oplossingen te kiezen om een degelijke gegevensbescherming op te bouwen in de workloads in hun cloud, en daarbij te voldoen aan de regelgevende vereisten. Wij engageren ons om ‘Tech Fit 4 Europe‘ te helpen realiseren.
Onze EU Data Boundary for the Microsoft Cloud zal worden aangedreven door onze aanzienlijke en gestage investeringen in een expansieve Europese datacenter-infrastructuur. Ons eerste Europese datacenter dateert al van 2009, en onze aankondiging van vandaag werkt als hefboom voor datacenters die we hebben aangekondigd of die nu al actief zijn in 13 landen: Oostenrijk, Denemarken, Frankrijk, Duitsland, Griekenland, Ierland, Italië, Nederland, Noorwegen, Polen, Spanje, Zweden en Zwitserland. Deze datacenters voeden de cloudservices die onze Europese klanten helpen hun ambities in digitale transformatie hard te maken en hun concurrentiekracht te verhogen, met de garantie dat ze conform alle toepasselijke wetten en regels opereren. Naast klanten in de EU-lidstaten, hebben ook klanten in Noorwegen en Zwitserland toegang tot de EU Data Boundary.
Microsoft bewijst dit engagement al langer door te voldoen aan de vereisten van de EU-wetten voor gegevensbescherming en deze zelfs te overtreffen. Wij hebben bijvoorbeeld als eerste belangrijke technologiebedrijf onze AVG-compliantie bevestigd en de essentiële AVG-rechten en -beschermingen zelfs verruimd tot onze consumerklanten in de hele wereld, niet alleen in de EU. Verder hebben we in navolging van het ontwerp van EDPB-aanbevelingen (European Data Protection Board) voor maatregelen die bedrijven zouden moeten implementeren in het kader van de Schrems II-beslissing, ons Defending Your Data-initiatief aangekondigd dat verder reikt dan deze EDPB-aanbevelingen. Wij zullen overheidsverzoeken inzake persoonsgegevens van klanten in de openbare of commerciële sector in de EU (van welke regering ook) betwisten indien wij hiervoor een wettige basis hebben. En we voorzien een financiële compensatie voor gebruikers van onze klanten indien wij in strijd met de AVG schade veroorzaken door gegevens vrij te geven.
Microsoft zal al het mogelijke blijven doen om regeringsleiders aan weerszijden van de Atlantische Oceaan en elders aan te moedigen om snel werk te maken van problemen inzake wettige toegang. Wij doen dit wegens het aanslepende overleg tussen de Europese Commissie en de regering van de Verenigde Staten voor de uitbouw van een nieuw raamwerk voor persoonsgegevens van Europeanen die naar de Verenigde Staten worden getransfereerd. Wij zijn optimistisch over een nakende oplossing.
Klanten kunnen hier meer info vinden.