Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 77 reacties

Microsoft hoeft e-mails die opgeslagen zijn bij zijn datacenters in Ierland, niet over te dragen aan de Amerikaanse rechter. Dat heeft het hof van beroep donderdag gevonnist. Een Amerikaanse rechter kan bedrijven uit de VS niet dwingen in het buitenland opgeslagen data te verstrekken.

De uitspraak van het Court of Appeals for the Second Circuit van donderdag betekent dat een eerdere uitspraak van het District Court wordt teruggedraaid. De waarborgen van de Stored Communications Act of SCA om de privacyrechten van burgers te beschermen zijn niet bedoeld om buiten de landgrenzen te gelden, concludeert het beroepshof.

"Overeenkomstig verleent de SCA een Amerikaanse rechtbank geen bevoegdheid om een bevel tegen een aanbieder in de VS uit te vaardigen, voor de inhoud van communicatie van een klant die op servers buiten de Verenigde Staten is opgeslagen", schrijft het Court of Appeals in zijn vonnis.

De rechtbank stelde zich op het standpunt dat het niet uitmaakt waar opgevraagde gegevens zijn opgeslagen: zolang Microsoft ze in beheer heeft, moeten ze volgens de rechter worden overgedragen als daartoe een gerechtelijk bevel wordt uitgevaardigd. Die claim veegde het beroepshof van tafel.

De zaak begon in 2014 en Microsoft verweerde zich fel tegen het bevel tot overhandiging van e-mails van Europese klanten, opgeslagen in datacentra in Ierland. Diverse techbedrijven schaarden zich achter het standpunt van Microsoft, waaronder Apple, Amazon, HP en eBay.

Moderatie-faq Wijzig weergave

Reacties (77)

Heeft iemand een idee of Ierland hier in iets te zeggen kan hebben. Vb. Als het omgekeerde was gebeurt en Microsoft de data moest overdragen aan Amerika. Kan Ierland dan beroep aantekenen of zo om de Europese burgers te beschermen?
Uiteraard. Microsoft zou in een positie komen te zitten dat ze altijd fout zitten. Volgens Europees recht mag Microsoft niet deze data aan de Amerikaanse autoriteiten geven en volgens Amerikaans recht zijn ze dat verplicht. Let op dat dit gaat over een standaard rechtszaak gaat en dat de Patriot act nog steeds van toepassing is. Volgens de Patriot Act zijn bedrijven die gevestigd zijn in Amerika nog steeds verplicht om data te overhandigen aan de NSA als daar om gevraagd wordt. Microsoft mag in die gevallen niet eens bekend maken dat de NSA om de data heeft gevraagd en dus zullen ze daar over niet snel een boete krijgen vanuit de EU omdat de EU daar niet achter kan komen. Als de EU daar wel achter komt dan kan Microsoft alsnog een boete krijgen. Microsoft is dan dus in alle situaties strafbaar. Als ze niet aan het verzoek voldoen zijn ze strafbaar omdat ze dan de Amerikaanse wet overtreden en als ze wel aan het verzoek voldoen zijn ze strafbaar omdat ze dan de Europese wet overtreden.

Hier over wordt al jaren gesteggeld door de EU en de VS en uiteraard ook door de Tech bedrijven omdat die hier de dupe van zijn. Heel veel Europese bedrijven (vaak overheid of semi overheid) kunnen daarom niet hun data in handen geven van een Amerikaans bedrijf. Dit is ook een van de redenen dat heel veel tech bedrijven allerlei encryptie maatregelen toepassen zodat ze zelf niet weten welke data er op hun servers staat of over hun netwerk wordt getransporteerd. Ze zijn niet zo zeer bang dat hun eigen beveiliging te kort schiet maar ze zijn eerder bang dat ze door een overheid gedwongen worden om de data af te geven. Microsoft past bijvoorbeeld in Windows 2016 Server een techniek toe in hun virtualisatielaag die de data op de VM encrypt in een soortgelijke manier die gebruikt wordt op een fysieke machine met een TPM module (bitlocker). Alleen de gebruiker kan dan nog bij zijn eigen data en niet meer de service provider. We hebben daarnaast natuurlijk gezien dat veel berichten applicaties end to end encryptie zijn gaan toepassen.
Volgens Europees recht mag Microsoft niet deze data aan de Amerikaanse autoriteiten geven
Is dat zo?
Welke EU wet verbiedt dat dan?
Volgens mij is dat juist niet duidelijk vastgelegd in EU wetgeving.
Dat zou de Ierse versie van de Wet bescherming persoonsgegevens moeten zijn. Data exporteren naar de VS mag niet, bovendien is er de route van het rechtshulpverzoek waarmee de Amerikaanse Justitie dit netjes op kan vragen.
Dat je data niet mag exporteren staat toch nergens expliciet. Ook niet in onze WBP. Er staan wel uitzonderingen in voor politie/justitie/gerechtelijke bevelen en voor partijen voor wie de verwerking data van groter belang is dan de privacy van de persoon (voor bijvoorbeeld civiele zaken)
Omdat het er niet staat, mag het niet. De Wbp is default deny zeg maar.

Die uitzonderingen zijn voor ónze politie en justitie, niet voor Amerikaanse rechters. Die bestaan niet in het Nederlands recht en kunnen dus geen bevelen geven.

Civiel zit het ook dicht. Er is géén modelcontract tussen MS IE en MS US en de corporate rules zijn ongetwijfeld goed dichtgetimmers om dit tegen te houden. Dus ook civiel kom je er niet.

Er is daarmee geen grond voor MS Ierland om gehoor te geven aan een verzoek van haar moedermaatschappij om persoonsgegevens te exporteren naar de VS.
Microsoft hoeft e-mails die opgeslagen zijn bij zijn datacenters in Ierland niet over te dragen aan de Amerikaanse rechter
Dus zolang de data in Ierland is opgeslagen mogen ze niks overhandigen, maar als ze eerst de data verhuizen/kopiëren naar een US datacenter, dat mogen ze het gewoon overhandigen.
de Patriot Act is niet langer geldig. Ze is vervangen door de USA Freedom Act, die veel strikter is en veel minder mogelijkheden heeft aan de "spionnen"

[Reactie gewijzigd door bush op 14 juli 2016 18:50]

Het is een Amerikaans bedrijf, maar in Ierland zal het vast onder een ander BV vallen. Werknemers vallen daar ook niet onder het Amerikaanse wet voor Arbeid. Alles valt daar onder de locale rechten. In principe is het een Iers bedrijf waar de alle aandelen in handen zijn van een Amerikaans bedrijf.

Het blijft vreemd hoe bepaalde wetten tegenwoordig kunnen werken

[Reactie gewijzigd door sokolum01 op 14 juli 2016 19:29]

Ierland zou mogelijk als een bedrijf in Ierland persoonsgegevens zou afgeven aan de VS dat bedrijf voor de rechter kunnen dagen vanwege onrechtmatige verwerking van persoonsgegevens. Het is echter onduidelijk of de Ierse wetgeving daarin duidelijk genoeg voorziet.
Let vooral op het woordje exclusively

the Stored Communications Act does not authorize courts to issue and enforce against U.S.‐based service providers warrants for the seizure of customer e‐mail content that is stored exclusively on foreign servers

Is het zo bij de azure public cloud voor diensten als hotmail/CRM etc de gegevens niet geo-redundant worden opgeslagen ?

Je eigen data kan je dus best ook niet geo-redundant opslaan buiten de EU

[Reactie gewijzigd door klakkie.57th op 14 juli 2016 17:16]

Is het zo bij de azure public cloud voor diensten als hotmail/CRM etc de gegevens niet geo-redundant worden opgeslagen ?

Je eigen data kan je dus best ook niet geo-redundant opslaan buiten de EU
Er zijn nog meer opties dan alleen EU en VS.....

De data kan best georedundant opgeslagen worden en tóch niet in de VS staan.....
Als je niet weet waar ben je nog geen steek verder.

Wanneer het desbetreffende land een overeenkomst heeft met de US kan je data zo goed als vogelvrij zijn.


Oude wijsheid gaat over een sok met geld die je onder je bed bewaart,
als data belangrijk is sla je het op in je eigen bedrijf en/of ergens in Nederland. Als het moet trek je vervolgens je eigen rekken eruit.
Als je niet weet waar ben je nog geen steek verder.
Gegeven hoeveel tijd en moeite MS doet om dit aan te vechten:
Ik verwacht binnenkort een optie "Geo redundancy: Enabled (EU-only)".
Je kan in Azure (nieuwe interface) opgeven ik welke regio je redundancy wordt gehost. Je heb North en West Europe, je kan dus prima geo redundancy binnen Europa regelen, echter is Europa niet gelijk aan de EU.

Hoe meer gebruikers/datacenters hoe fijn korreliger de regios worden.

Je kan ook een vrij makkelijke afspraak maken waar je data wordt opgeslagen (in bv. Amsterdam), zou me niets verbazen als je ook je exacte georedundant locatie op kan geven.
En als je heel bang bent voor dit soort dingen kan je straks ook overstappen op het duurdere Duitsland, welke helemaal los staat van Microsoft.

https://news.microsoft.com/europe/2015/11/11/45283/
Precies mijn punt, je onderneming mag nog zo europees zijn als wat indien Australië een overeenkomst heeft met de VS, en je repliceert je data naar een datacenter down-under, ben je nog geen stap verder

[Reactie gewijzigd door klakkie.57th op 14 juli 2016 18:31]

Je kunt daarom met Microsoft afspreken dat de data alleen geo redundant wordt opgeslagen binnen de EU en niet daarbuiten.
Indien je wereldwijd opereert is het logisch dat je, je applicaties en data opslaat zo dicht mogelijk bij de eindgrbruiker als kan.
Maw er is geen ontkomen aan.
In dit geval gaat het erom dat de eindgebruiker in de EU beschermt is. Dus wat jij zegt, als een bedrijf zorgt dat voor EU klanten Ierland of Nederland wordt gebruikt in Azure is je data "veilig" voor de US.
Maw dan kies je er als bedrijf ZELF voor om je data buiten de EU te zetten. Dus is er wel degelijk ontkomen aan door er ZELF voor te kiezen om de data enkel in de EU te plaatsen en de iets hogere reactietijden van niet EU klanten erbij te nemen;
in het geval microsoft hier in het ongelijk had gesteld geweest hadden ze nog altijd een oplopssing achter de hand; een europese onafhankelijk dochteronderneming opstarten die over de europese dataopslag gaat.
Uiteraard kunnen ze wel aandelen hebben in die onderneming om de winsten eruit te halen hé... maar de onderneming valt dan sowieso onder het europese recht.

die grappige vs toch ... overal willen ze hun hand in draaien hé... nu dat ze op economisch vlak de macht aan het kwijtspelen zijn op wereldniveau willen ze alles hebben wat ze kunnen vastgrijpen, maar da's dan toch naast de waard gerekend...
een europese onafhankelijk dochteronderneming
Dat gaat niet.
Of het is onafhankelijk en geen dochteronderneming.
Of het is een dochteronderneming en daarmee per definitie niet onafhankelijk.
Of het is een dochteronderneming en daarmee per definitie niet onafhankelijk.
Zeker wel, mijn onderneming heeft in de US en Europa dochterondernemingen waarvan het moederbedrijf de eigenaar is maar die juridisch geheel onafhankelijk zijn. Volgens US, Nederlandse, Franse en Duitse wetgeving is dit geheel legaal.

Gaat dus zeker wel. Gelukkig maar.
Maar wanneer het dochterbedrijf juridisch onafhankelijk is, heb je daar als moederbedrijf dus ook geen zeggenschap over. Ik ken niet veel bedrijfstakken waarin dat een acceptabele constructie is.
Bedrijf waar ik voor werk is ook een dochter onderneming van een Amerikaans bedrijf. De 2 bedrijven zijn compleet gescheiden op elke niveau. Tussen de 2 bedrijven geldt er een contract dat wij exclusief diensten mogen leveren voor het moeder bedrijf.

De bazen zijn ook 'vriendjes' aangezien ze beide enkel baten als de andere het goed doet. Ze hebben dus niets en tegelijk heel veel te zeggen.
Dat gaat goed zolang de bazen vriendjes zijn en beide baas blijven van hun bedrijf.
Wanneer het contract heeft een bepaalde loopduur heeft staat het de partijen na afloop vrij een andere partij te zoeken die goedkoper is/ meer betaalt.
Wanneer het contract geen beperkte loopduur heeft, dan heeft het bij conflicten geen enkele waarde. Een eeuwigdurend exclusief contract is zodanig beperkend dat het door elke rechter als onredelijk bezwarend ter zijde geschoven wordt.
Het is heel goed mogelijk om een bedrijf op te richten met de statuten waar aandeelhouders niet voldoende zeggenschap hebben om (bv) te eisen om gegevens over te dragen, maar die macht bij de bestuurders neerleggen. Met een Europese bestuurder ben je dan klaar.

[Reactie gewijzigd door Dreamvoid op 15 juli 2016 14:15]

Ja, het is best mogelijk, dat is het probleem niet. Het probleem zit er in dat er dus ook op anderen punten geen zeggenschap is.
Microsoft US kan heel goed Microsoft Europe BV oprichten op een manier waarop ze er geen zeggenschap over hebben. Maar het probleem is dan dat er dus een Microsoft Europe is, die zich niets aan hoeft te trekken van wat Microsoft US zegt, vindt of denkt.
Dat kan je grotendeels afvangen door aandeelhouder MS US het recht te geven om de bestuurders te benoemen, ook al moeten die Europees zijn en zich aan de Europese wetten houden.

Als de huidige leiding van MS Europa er volgens MS US een potje van maakt, dan benoemen ze andere Europeanen, die (bv) de boel helemaal opdoeken, of een andere koers varen. Maar die moeten zich wel aan de Europese wetten houden, dus data wegsluizen mogen ze dan weer niet.
Dat kan. Maar een dochteronderneming op dermate grote afstand zetten zullen veel bedrijven erg eng vinden.
ik bedoelde dus men ricvht een europese dochterondeneming op die onafhankelijk is van de US-wetgeving
Die hebben ze toch al? Dat is de hele grap van deze zaak: Dat de moedermaatschappij data moet gaan halen bij de Europese dochter, terwijl er dus een dochter tussen zit.
oplossing zijn ze al aan het bouwen: Microsoft bouwt en beheerd het, is echter niet de eigenaar.
https://news.microsoft.co...5qxkjv38ge0ctd216vdjyg8my
Als ik het me goed herinner wordt er geprobeert geo-redundant op te slaan binnen het continent. Bijvoorbeeld West en Zuid Europa.
Als beheerder van een applicatie die op Azure draait kun je zelf de region kiezen waar alles draait en opgeslagen is.
Je eigen applicatie wel, maar wat met SAAS zoals bv hotmail , CRM etc etc

[Reactie gewijzigd door klakkie.57th op 14 juli 2016 18:36]

Bij Azure is met geo-redundantie de datacenters in Ierland en Amsterdam gekoppeld, je data zal dan ook niet ineens in Amerika belanden. Ik gok dat voor de andere diensten niet anders is, omdat dit vele malen goedkoper is.
Wat Azure/office 365 betreft staat de data in zogenaamde geo-poitieke regios. Voor Europa is dat Ierland met een replica in Amsterdam en vica versa.
Hoe het zit met de "consumer" diensten alla hotmail weet ik niet
Daar zat ik ook al aan te denken, maar het wordt volgens mij binnen een regio redundant opgeslagen. Zo zullen de e-mails bij ook een ander Iers data center van Microsoft opgeslagen worden of een data center in Duitsland of Nederland.
er zijn genoeg regio's/landen die bedrijven verplichten om data exclusief binnen hun grenzen op te slaan, net om dit soort situaties te vermijden. De grote spelers gaan daar ook in mee, want zij willen die markten niet verliezen als een concurrent het wel doet
En is dit ook zo in het geval van hotmail, gmail, exchange online, sharepoint online,lync online, dynamics,salesforce ... ?
Ik kan dit niet zo meteen tegugvinden.

[Reactie gewijzigd door klakkie.57th op 15 juli 2016 18:43]

op gmail en salesforce na zijn die allemaal van microsoft
Mooie overwinning voor Microsoft en ons als Europeanen
Zeer waarschijnlijk een schijnoverwinning van hier tot tokio, in de USA zullen ze nu wel denken : Ok, tijd voor plan B. Hallo Great Britain, jullie hebben toch nog 2 jaar de tijd om die data aan ons te geven, ja doe dat dan even...
Dit staat in Ierland, niet Noord Ierland ;)
Let op dit geldt voor gegevens van de klant die op servers van Microsoft zijn opgeslagen.
Gestructureerde gegevens uit het bedrijfsproces van Microsoft kunnen wel opgevraagd worden.
Dus de inhoud van een bestand of de inhoud van een email kan niet opgevraagd worden als die op een server in het buitenland staat maar wanneer en waar je inlogt op je mail account wel.
Net zoals Nederlandse rechters recentelijk ook inloggegevens van Facebook of Instagram konden opvragen ook als die buiten Nederland waren opgeslagen
Allemaal wassen neus.. de uiteindelijke storage mag dan wel in het buitenland zijn maar de verwerking kan nog steeds in de USA gebeuren en daar kunnen ze wel weer alles onderscheppen..
Sterer nog. Er is nu bepaald dat een rechter geen data mag opvragen die niet in de VS is beslist, maar als morgen de FBI met een bevel komt en er de Patriot Act bijhaalt dan moet de data ineens wel gegeven worden en mag MS daar niet eens publiek iets over bekend maken.

Dit is dus een kleine overwinning voor onze privacy in de VS, maar ik neem elke stap voorwaarts die we kunnen zetten.
de Patriot Act is niet langer geldig. Ze is vervangen door de USA Freedom Act,
Tot het als bewijsmateriaal in een rechtzaak moet dienen, en het alsnog uitkomt.
Wat bedoel je met "verwerking", de Azure/office 365 services verwerken data in Dublin en Amsterdam, niet in de VS.
Dat is gewoon bangmakerij, de office365 backend voor Europese klanten draait gewoon in Dublin en niet in de US. Waarom zouden ze dat uberhoupt doen? De latency zou een ernstige imptact hebben op de performance.

zie https://www.microsoft.com...e-in-control-of-your-data
Jawel. Door regio's te creëeren kun je kiezen waar je data is, blijft en verwerkt wordt.

Dat is precies hoe Netflix in Nederland een ander aanbid heeft dan in Duitsland. MS, en tal van andere diensten, doen dat ook. Juist vanwege latency doeleinden. Als jij Tweakers.net pingt vanaf je PC ga je toch ook niet via Rusland, China, Japan, Amerika, IJsland, Ierland en Engeland terug naar Nederland?
Dat is gewoon niet waar. Je kunt contracten aangaan met Microsoft als bedrijf zijnde waarbij de 100% beloven dat de data nooit de EU verlaat. Dus ook niet voor "verwerking" zoals jij dat noemt. Ook niet wanneer een server in onderhoudt gaat, dan gaat de data gewoon gegarandeerd naar een andere server binnen de EU. In het verleden was dit anders, maar toen gaf Microsoft die garantie ook niet. Tegenwoordig is dit allemaal ingeregeld.
Verkeerde thread

[Reactie gewijzigd door klakkie.57th op 15 juli 2016 18:52]

Ik kan je uit ervaring vertellen dat ze dat wel doen (werk in een bedrijf met 40 werknemers).
Je neemt een contract af voor Microsoft diensten met een bepaald serviceniveau .. Daar betaal je voor, dus is Microsoft eraan gebonden zich daaraan te houden.

Een SLA <> geldboete of uptime garantie. Je spreekt een serviceniveau af, responstijden. Zelfs oplostijden kun je niet garanderen, wel responstijden.
Maniak, heeft gewoon gelijk.
Je mag de datacenters niet auditen en de SLAs zijn bijzonder nadelig voor de klant niet voor Microsoft.
Door dat je niet mag auditen, kunnen ze beloven wat ze willen
En ik werk in een HEEL erg groot bedrijf, ook Amazon staat geen audits toe. Ze zijn in éénzelfde bedje ziek.
Er worden wel degelijk audits uitgevoerd door partijen. Dat moet wel anders krijg je bijvoorbeeld ook geen iso certificering als ISO27001. Ook zitten er in die iso certificering regels omtrent auditing van de omgevingen.
De auditors die van belang zijn mogen en doen dat wel degelijk. ISO certificeringen en SOx en dat soort zaken zijn beter geregeld dan datje dat zelf kan.
Euh wij willen zelf een audit uitvoeren, wij hebben daar ons eigen gekwalificeerd personeel voor. Laten we zeggen dat wij één van die partijen zijn waar bedrijven als Microsoft beroep op doen om hun bedrijfsprocessen te auditten.

[Reactie gewijzigd door klakkie.57th op 15 juli 2016 22:59]

Goede zaak dit.
Ja, begrijp ik het nou goed en zeggen Amerikanen over andere Amerikanen dat ze niet het recht hebben om data die niet in de VS opgeslagen is te vorderen?
ja ongelofelijk je zou bijna beginnen te denken dat er verstandige Amerikaanse rechters bestaan O-)
Het gaat om data die niet in de VS is opgeslagen maar wel door Amerikaanse bedrijven wordt gegenereerd. Het ging er dus om of de data onder Amerikaanse wetten viel omdat MS een Amerikaans bedrijf is. Niet (alleen) omdat de data in het buitenland staat.
Correctie: Opgeslagen door buitenlandse bedrijven waarvan het moederbedrijf (of de aandeelhouders of hoe ze het ook precies gemaakt hebben) zich in de VS bevindt. Dat er overal Microsoft op het pand staat wil niet zeggen dat je overal met dezelfde juridische entiteit te maken hebt.
Ja klopt, al had de FBI daar ook al lak aan volgens mij
"buiten de landgrenzezn"
Na alle kritiek op het Amerikaans rechtssysteem, zijn er dus (af en toe) ook positieve uitschieters
Goedzo, Amerika heeft al lang genoeg als data dictator van de wereld gespeeld... (De wet geld in Amerika alleen voor Amerikanen, en iedereen daarbuiten heeft geen enkel recht op vrijheid van hun dictatuur van een overheid)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True