Microsoft gaat toegang tot data op Europese servers van buiten EU loggen

Microsoft gaat voortaan alle verzoeken voor toegang tot data op Europese servers registreren als die verzoeken van buiten de Europese Unie komen. Dat is onderdeel van een set maatregelen die Europese bedrijven en organisaties gerust moet stellen dat data veilig is op Microsoft-servers.

Het initiatief heet Sovereign Cloud, zegt Microsoft. Daarvan zijn er twee varianten. Voor de Public Sovereign Cloud komt er een Data Guardian. Europese medewerkers van Microsoft moeten verzoeken van buiten de EU om op Europese servers te komen goedkeuren en loggen. Dat moet het vertrouwen geven dat Amerikaanse medewerkers en inlichtingendiensten niet zomaar toegang krijgen.

Daarnaast komt er Microsoft 365 Local, waarbij bepaalde bedrijven en overheden de diensten van Microsoft kunnen draaien in een eigen datacenter. Ook heeft Microsoft samenwerkingen gesloten met Duitse en Franse bedrijven voor National Partner Clouds die onder beheer zijn van externe Europese bedrijven. De stappen zijn nodig vanwege de instabiliteit in de relatie tussen landen, zo zegt Microsoft. "In een tijd van geopolitieke onrust zetten we ons in voor digitale stabiliteit."

Reacties (64)

HKLM_

Microsoft 365

16 juni 2025 18:32

Jammer dat het artikel zo beperkt is, het is namelijk veel meer dan loggen. Hierbij de blog van Microsoft zelf https://blogs.microsoft.c...g-european-organizations/

In deze blog kondigen ze aan:

- Data Guardian for European operations
- External Key Management for customer-controlled encryption
- Microsoft 365 Local Regulated Environment Management for simplified configuration and Microsoft 365 Local for critical productivity services in private cloud environments.

Tevens worden er voor de Sovereign Private Cloud samen gewerkt met europese partners:

In France and Germany, our National Partner Clouds offer comprehensive capabilities of Microsoft 365 and Microsoft Azure in an independently owned and operated environment.

[Reactie gewijzigd door HKLM_ op 16 juni 2025 18:32]

Sebazzz

@HKLM_ • 16 juni 2025 19:39

Tevens worden er voor de Sovereign Private Cloud samen gewerkt met europese partners:

In France and Germany, our National Partner Clouds offer comprehensive capabilities of Microsoft 365 and Microsoft Azure in an independently owned and operated environment.

Is dit dan net zo krachtig en onafhankelijk als bijvoorbeeld de Azure China cloud, die ook door een partner wordt onderhouden?

Superstoned @Sebazzz • 16 juni 2025 20:08

Het is geen van alle onafhankelijk, he. De Europese medewerkers werken nog steeds voor Microsoft, en als die een opdracht krijgen moeten ze het uitvoeren - of ze worden ontslagen. Dit is allemaal 'sovereignty washing'. Met partners is het niet heel veel anders. Als je sancties op je dak krijgt ga je plat, als er data moet worden overhandigd gebeurt dat etcetera. De beschermingen zijn allemaal contracten - waar een Amerikaanse rechter zonder enige moeite een streep door zet. Die kan dan een Frans bedrijf niet direct dwingen data te overhandigen, maar wel Microsoft vertellen dat ze OF die data leveren, OF de service plat leggen (en dat kunnen ze wel, gewoon geen updates meer leveren).

Al deze beloften - we zien in China wat het waard is. Want je denkt toch niet dat die markt niet belangrijk voor hen is? Dat ze daar geen lokale wetten moeten volgen? In China moeten ze data ook lokaal houden, in Chinese data centers. En toch leggen ze bedrijven daar plat. Dus als Trump dat eist dan doen ze dat hier ook.

Voor een individu of bedrijf of een gewone gemeente ofzo maakt het allemaal niet uit. Gewoon de normale Azure en MS 365 gebruiken - goedkoper en net zo goed (of slecht, wat je maar wilt vinden).

Voor een overheid is het allemaal even dom - je bent volledig afhankelijk van een enkele partij en dat moet je niet willen. Of ze er nu een soeverein sausje over doen of niet.

Maar het is wel logisch dat MS zich in al deze bochten wringt natuurlijk.

michelr @Superstoned • 16 juni 2025 21:08

"De Europese medewerkers werken nog steeds voor Microsoft, en als die een opdracht krijgen moeten ze het uitvoeren". Ik krijg de indruk dat je maar de helft of selectief hebt gelezen. Net als dat T-Mobile in verleden ook als lokale Europese partij optrad als uitbater (data trustee) van BlackForest, wordt het nu soortgelijke constructie voor EU-breed.

Glashelder

@michelr • 17 juni 2025 09:58

Het hele punt is dat het allemaal niet uitmaakt wat voor maatregelen Microsoft op papier neemt. Zolang de Azure datacenters in de EU eigendom zijn van Microsoft (wat een Amerikaans bedrijf is), kan de regering en/of rechtelijke macht van de VS alles eisen van Microsoft, en die kan daar gewoon niets tegen doen. De CLOUD act is heel duidelijk.

Het enige wat Microsoft zou kunnen doen is een bedrijf oprichten in de EU en die eigenaar maken van de datacenters in Azure. Daarbij moet het Microsoft in de VS actief onmogelijk gemaakt worden hier bij data of resources te kunnen komen en het bedrijf hier moet volledig ontkoppeld zijn van het bedrijf in de VS. Het kan geen dochteronderneming zijn, want dan valt het nog steeds onder het moederbedrijf en dus jurisdictie van de VS.

Zie je hoe lastig dit is?

dmantione

Europa

@michelr • 16 juni 2025 21:49

Amerikaanse bedrijven moeten de Amerikaanse wet volgen, maar dat geldt ook voor Amerikaanse staatsburgers. Ik lees nergens dat er geen Amerikaanse staatsburgers zullen werken. Een Amerikaan kan nog steeds een National Security Letter ontvangen en dan zonder dat de rest van het bedrijf er iets vanaf weet gegevens moeten doorsturen. Of, als hij Europeanen onder zich heeft, die Europeanen opdrachten geven.

metalmania_666

@Superstoned • 17 juni 2025 11:31

Naar mijn weten is een gemeente ,óók een overheid. En gemeenten werken ook met heel veel data die interessant kán zijn voor Amerika.

De overheid zou inderdaad niet in de Amerikaanse cloud moeten werken, maar echt alles in Europa bewaren.
Is het lastig? zeker, want je komt dan zeer waarschijnlijk toch op OSS uit

Halfscherp @Superstoned • 17 juni 2025 12:35

De beschermingen zijn allemaal contracten - waar een Amerikaanse rechter zonder enige moeite een streep door zet.

Redelijk wat jaren terug werd Microsoft Ierland door de Amerikanen verplicht data uit te leveren, maar was dit volgens Europese (of Ierse?) regels verboden. Microsoft heeft toen niks gedaan en dus niks uitgeleverd.

Superstoned @Halfscherp • 18 juni 2025 23:31

Er staat een pagina live met wat statistieken over de duizenden verzoeken om data door de overheid die Microsoft inwilligt - ook data van Europeanen. Dat ze data van Europeanen overhandigen is totaal niet geheim ofzo.

Er was een geval van wat jaren terug waar ze een data verzoek aanvochten maar nadat trump de cloud act tekende lieten ze de rechtszaal vallen. En toen hebben ze de data overhandigd…

Kajel @HKLM_ • 16 juni 2025 22:20

InSpark is vandaag bij de Microsoft AI Tour in Amsterdam aangekondigd als National Partner Cloud voor Nederland. Van wat ik begreep van de presentatie, werken die partners voor de Sovereign Private Cloud onafhankelijk van Microsoft. Microsoft levert het platform, maar MS medewerkers kunnen niet daadwerkelijk bij de servers waar het op draait.

Microsoft belooft dat ze die partners zullen ondersteunen op het platform up-to-date te houden, maar daar zie ik wel een mogelijke valkuil.

Het lijkt er in ieder geval op dat Microsoft de behoefte van de EU om onafhankelijk te zijn van de VS op cloud-gebied, serieus neemt.

FirstStop @HKLM_ • 17 juni 2025 11:21

Ik ben vooral benieuwd naar het External Key Management. Als dat werkelijk wordt toegepast kan dit betekenen dat de encryptie van data en verbindingen daadwerkelijk versleuteld kan worden met sleutels die je zelf in je HSM hebt zitten. En daardoor kan een andere partij ook echt alleen nog maar bij je data als ze deze sleutels uit je HSM weten te halen. Of als de andere partij een quantum computer heeft liggen.
Als de enrollment van identities en credentials dan ook nog op dezelfde manier bij de klant kan worden neergelegd zou dit echt een stap naar een soevereine oplossing kunnen zijn. En ja, ik weet dat er nogal veel mitsen en maren aan zitten. Het is wel goed dat Microsoft hier op inzet. Ik kan me voorstellen dat ook in andere landen buiten de EU hier interesse voor is.

Superstoned @FirstStop • 18 juni 2025 23:33

Maar zodra een medewerker via de web interface bij een bestand moet, moet de sleutel naar mi fosfor zodat office etc erbij kan. Ofwel ms heeft de keys constant in gebruik. Dus levert het nu echt wat op of is dit “security theater”?

edpannelap 16 juni 2025 18:11

proest

Als het een dochterbedrijf van MS is dan kan en zal de overheid in de VS er bij kunnen indien gewenst. maakt geen ene moer uit waar de server staat.

J_van_Ekris @edpannelap • 16 juni 2025 18:47

Zie https://blog.iusmentis.co...-de-almachtige-cloud-act/

Dus ja, het helpt als het een Europese dochter is met alleen financiele banden.

Llopigat

Microsoft

@J_van_Ekris • 16 juni 2025 19:53

In een land waar de president niet constant zijn reet afveegt met gerechtelijke uitspraken dan ja, dan had je wel een punt gehad. Maar de letter van de wet is daar niet meer wat het geweest is.

Bovendien, Ook in de W Bush tijd werd er al met de pet naar gegooid. Alleen toen maakten ze de wet en de rechtbank gewoon geheim.

Verder zijn er zat andere trucjes die ze hebben gebruikt als omzeiling zoals het stuivertje wisselen met bevriende buitenlandse diensten om te omzeilen dat ze geen eigen burgers mochten bespioneren.

De vraag is wel of een puur Europese cloud dit zou tegenhouden natuurlijk. De kans is groot dat ze toch wel binnenkomen.

[Reactie gewijzigd door Llopigat op 16 juni 2025 20:01]

InsanelyHack @J_van_Ekris • 17 juni 2025 00:46

je eigen gelinkte informatie bevat wel een behoorlijke kanttekening.

Ik maak me zelf meer zorgen over de techniek. Hoe weet die Amazon-dochter dat er geen achterdeurtje voor Seattle in zit, zodat de Amerikanen de data gewoon kunnen grijpen als ze dat naar Amerikaans recht moeten geven?

Dus waar helpt het dan precies tegen als er een achterdeurtje aanwezig is?

Ik ben sceptisch, zolang Amerikaanse wetten, zoals de CLOUD Act, extraterritoriale bevoegdheid claimen over data die door Amerikaanse bedrijven wereldwijd wordt beheerd, blijft er een fundamenteel spanningsveld met Europese soevereiniteitsclaims. De maatregelen van Microsoft zijn stappen in de goede richting om transparantie en controle te vergroten, maar ze kunnen de juridische verplichting tot naleving van Amerikaanse wetgeving gewoon niet volledig wegnemen door de CLOUD Act. Daarbij komt dat we het nu nog over democratisch vastgestelde wetten hebben maar er wordt ook steeds meer ondemocratisch en onwettig gehandeld. Het is onduidelijk waar die kant opgaat. Je weet nu totaal niet wat Amerikaanse beloftes waard zijn.

[Reactie gewijzigd door InsanelyHack op 17 juni 2025 01:07]

latka @J_van_Ekris • 16 juni 2025 20:22

Sure. Was met de patriot act ook het geval. Ze sanctioneren gewoon de amerikaanse moeder omdat de USA het ziet als obstructie van haar eigen wetgeving. Kan geen EU wet of regel iets tegen doen. Met dat in het achterhoofd zal men in de USA naarstig op zoek gaan naar een wijze om de data/toegang toch te regelen zonder tussenkomst van een EU partij.

Henk1827 @edpannelap • 16 juni 2025 18:31

Helemaal juist. Dat ze het gaan loggen heeft geen enkele betekenis. Het is niet te controleren. Ze kunnen zonder veel moeite de logs even uitzetten als Trump inlogt, om zich vervolgens te verschuilen achter hun “logs”.

Raymond Deen @Henk1827 • 16 juni 2025 18:57

Dat gaat uitkomen vroeger of later en dan zijn de rapen gaar voor Microsoft. Die gaan bedolven worden onder zoveel rechtszaken dat zelfs een bedrijf zo groot als zij daaraan ten onder gaat.

TweakTwitch @Raymond Deen • 16 juni 2025 19:54

Naahh, ik denk dat weinig mensen nog weten wat PRISM was. En wie Edward Snowden ook alweer was

hier op Tweakers vast wel, maar onder de rest van de bevolking betwijfel het.

Begrijp ook de moeilijke keuzes die je moet maken om nationale, en internationale veiligheid te kunnen garanderen hoor, en voor mij is het niet zwart-wit. En Snowden had voorzichtiger moeten zijn met de documenten die zijn gelekt.

Maar het was een behoorlijk schandaal, en daar denken we niet eens meer aan. En van dezelfde bedrijven maken we massaal nog steeds dagelijks gebruik van.

En dit is puur mijn speculatieve/ongefundeerde onderbuiklening: je gaat mij echt niet wijsmaken dat nadat dat is "stopgezet" er geen PRISM 2.0 is ontwikkeld.

[Reactie gewijzigd door TweakTwitch op 16 juni 2025 20:03]

Llopigat

Microsoft

@Raymond Deen • 16 juni 2025 19:58

Er is zoveel uitgekomen en dat heeft niets veranderd. Zie de Snowden onthullingen. Wij zijn Amerika's spullen niet minder gaan gebruiken sindsdien.

Henk1827 @Raymond Deen • 16 juni 2025 20:00

Ik ben het met je eens dat de kans dat het gebeurt klein is. Microsofts waarde is grotendeels bepaald door het vertrouwen dan klanten in hun hebben. Als Microsoft dat vertrouwen beschaamt, gaat ze dat veel kosten.

Dat wil niet zeggen dat het niet gebeurt. Onder de Patriot act mag de US gewoon data opvragen, zelfs in het buitenland. Als dit in het geheim moet, dan gebeurt dat echt wel in het geheim. Daar heeft MS niets over te zeggen: nieuws: Hoofdaanklager van ICC heeft geen toegang meer tot Microsoft-mail na ....

Punt is dat deze logs helemaal niets toevoegen, het is een wassen neus. Het is niet te bewijzen dat er niet in de data wordt gekeken.

latka @Raymond Deen • 16 juni 2025 20:23

Waarom? Geven ze een garantie dat alles gelogged wordt? Ze krijgen ook een flinke duw van de USA als ze niet voldoen. Gebeten door de hond of de kat zeggen we dan.

bzuidgeest

Europa

@edpannelap • 16 juni 2025 18:17

Dan is het maar goed dat de bekende voorbeelden in bijvoorbeeld frankrijk geen dochters van microsoft zijn.

Of dat het probleem werkelijk verhelpt weet ik zo net niet. Je moet er maar op vertrouwen dat er niets stiekums in de stack zit en zo. Maar ja er zijn nu al souvereign clouds die niet een microsoft dochter zijn.

rko4u @edpannelap • 16 juni 2025 18:19

Dat weet ik niet, maar inderdaad als ze toestemming krijgen vanuit Europa is de veiligheid weg.

jmvdkolk 16 juni 2025 20:09

Zolang Karim Khan van het internationaal gerechtshof geen volledige toegang heeft tot zijn e-mail en Microsoft producten, zou het heel stom zijn als iemand in het Europese bedrijfsleven dit serieus neemt.

walteij @jmvdkolk • 16 juni 2025 21:21

Karim Khan's mailbox/account is door het internationaal gerechtshof zelf uitgeschakeld. Niet door Microsoft.
nieuws: Microsoft zette diensten aan Internationaal Strafhof niet stop

jmvdkolk @walteij • 16 juni 2025 22:23

Microsoft praat hier met dubbele tong. Lees deze zin: "Dit heeft uiteindelijk geleid tot het loskoppelen van een gesanctioneerde functionaris van Microsoft-diensten".

Gesanctioneerde functionaris betekent een bestrafte functionaris. Microsoft heeft wel iets gedaan met het account van Karim Khan, ze hadden hem nl. gesanctioneerd. Maar vervolgens zeggen ze dat hij uit eigen beweging naar een ander systeem is overgestapt.

Superstoned @jmvdkolk • 19 juni 2025 08:42

Ja, het strafhof zal wel een keuze hebben gekregen: we leggen alles plat of je sluit hem af…

michelr @jmvdkolk • 16 juni 2025 21:11

Menig media is er als de kippen bij om te roeptoeteren obv aannames en speculatie, maar die vork zat anders in de steel. Verder is Khan niet van onbesproken gedrag; als jij illegale praktijken erop nahoudt met een (prive) hotmail account en bv OneDrive, kun je je ook niet beroepen op een overeenkomst met werkgever.

jmvdkolk @michelr • 16 juni 2025 22:24

Als de werkgever van Karim Khan hier actie had ondernomen dan klopte wat jij zegt. Maar het is niet de werkgever maar één van de tech leveranciers die actie onderneemt. Dat kan absoluut niet.

Simon Weel 16 juni 2025 18:13

Wat is de definitie van buiten de EU?

CivLord

@Simon Weel • 17 juni 2025 10:29

Verzoeken van overheidsorganisaties die niet tot een land behoren dat deel uit maakt van de EU.

Ruuddie 16 juni 2025 18:19

Ik vraag me af waarom ze niet gewoon een EU-only cloud kunnen ontwikkelen, zoals ze ook een China-only cloud hebben. Je zou zeggen dat de markt groot genoeg ervoor is.

comrade @Ruuddie • 16 juni 2025 18:44

Omdat VS lobby niet wil dat er een EU-only cloud komt.

BobJung

@comrade • 16 juni 2025 19:00

Die komt er heus wel, alleen heet die niet Microsoft.

Llopigat

Microsoft

@comrade • 16 juni 2025 20:00

Dat kan best een factor geweest zijn in het verleden (al denk ik meer dat het ligt aan de soort investering die men in Europa wil) maar ik denk dat hun wensen nu niet meer op de kaart staan omdat ze nu zelf het conflict met de EU opzoeken.

willieverhoef @Ruuddie • 16 juni 2025 20:14

Als ik het goed lees doen ze dat ook, maar dan met Europese bedrijven. Als ze hetzelf doen, dan valt het onder Patriot act.

Maar er was in het verleden al een Duitse, met hulp van T-Mobile maar deze is gestopt omdat hij een stuk duurder was, en te weinig belangstelling.

Verder was deze wel werkelijk gescheiden en ook niet alles was aanwezig. Ook het management stond zelfs los.

InsanelyHack @willieverhoef • 17 juni 2025 01:16

Het is gestopt in een tijd dat de geopolitieke spanningen anders waren. Ik weet zeker dat ze het nu graag als optie hadden gewild. De Duitsers waren ook verslaafd aan Russisch gas nu weten ze wel beter. Misschien dat ze ook tot Cloud besef komen net zoals wij en dan misschien mooi in Europees verband. Dan niet gerelateerd aan Microsoft maar aan een puur Europees non-profit alternatief.

Niemand_Anders @InsanelyHack • 17 juni 2025 10:50

Je kunt niet een non-profit cloud provider opzetten. Klinkt mooi in theorie, maar werkt niet in de praktijk.
Het is namelijk extreem duur om een goede cloud omgeving neer te zetten en in de lucht te houden. Echter geld verdienen in Europa is fout en daarom komt er vrijwel niets meer op het van IT uit Europa. Europa wordt links en rechts ingehaald door de VS en China. Europees personeel is extreem duur, dus ik zie ook geen commerciele partij opstaan welke in staat is om een antwoord te bouwen op Microsoft, AWS en Google.

Maar is het echt nodig dat iedereen alles maar in de cloud hangt? Als de load van een service voorspelbaar is, dan kan een eenvoudige VPS natuurlijk een oplossing bieden. Er moet niet een Europese hoster komen, maar de EU afdeling welke overheden en semi-publieke bedrijven van IT advies voorziet. Het gaat juist fout als EU dingen ineens gezamelijk/centraal willen gaan doen. Niet nodig, want dat maakt zaken vaak onnodig complex en daarmee duur.

Als voorbeeld de mailserver van het IOC is geen rocket science en kan ook prima draaien op een on-premise Exchange server. Maar is er wel echt een Exchange server nodig? Of wordt dat toevoelig gebruikt omdat het al bij het Microsoft 365 subscription zat? Waarom zou het IOC niet PostFix kunnen gebruiken? Via Hetzner is het bijvoorbeeld kinderlijk eenvoudig om VPS-en in meerdere landen neer te zetten en met elkaar te verbinden. Een andere instantie heeft misschien meer behoefte aan een private kubernetes cluster en als het om een simpele website gaat, is misscien zelfs al een simpele docker instantie voldoende.

Op het gebied van hosting zou KISS altijd het voornaamste principe moeten zijn.

InsanelyHack @Niemand_Anders • 17 juni 2025 11:45

Sorry, inderdaad. Ik had in mijn vorige reactie explicieter moeten zijn: een non-profit cloudvoorziening zie ik niet als alternatief voor de commerciële markt, maar specifiek voor overheden en publieke instellingen. Het gaat hier om digitale soevereiniteit en het beperken van geopolitieke risico’s. Dat is een strategisch belang, vergelijkbaar met defensie, en zou dus ook uit die 5%-norm gefinancierd kunnen worden – bijvoorbeeld 1,5% voor ondersteunende infrastructuur zoals veilige cloud. Tegelijkertijd geldt voor veel organisaties dat de cloud niet altijd nodig is. Als je alleen een “bloembak”-functionaliteit nodig hebt, voldoet een eenvoudige VPS of on-prem oplossing (Duplo) prima. Daarvoor hoef je geen hyperscaler met alle toeters en bellen (Technisch Lego) in te zetten. Keep it simple. Cloud is een middel, geen doel op zich.

dmantione

Europa

@Ruuddie • 16 juni 2025 21:51

Het is net als bij je e-mail: E-mailen zonder Microsoft kan prima, maar als je Outlook wil... Cloud zonder Microsoft kan prima, maar alleen Microsoft levert Azure.

Ruuddie @dmantione • 16 juni 2025 23:24

Ik bedoelde met 'ze' ook echt Microsoft zelf. Het is inderdaad bijna onmogelijk om nog een nieuw bedrijf op te richten die hetzelfde portfolio als Microsoft aanbiedt.

kodak 16 juni 2025 18:48

All remote access by Microsoft engineers to the systems that store and process your data in Europe is approved and monitored by European resident personnel in real time and will be logged in a tamper-evident ledger.

Afgezien dat het wettelijk onverantwoord is dat dit jaren lang zonder expliciet loggen door bedrijven en organisaties in Europa kennelijk maar goed werd bevonden. Het stelt ook niet gerust, aangezien goedkeuren en loggen absoluut niet hetzelfde is als behoorlijk toezien en controle hebben over wat Microsoft doet. Het uitbesteden vatten veel bedrijven en organisaties op als besparing en afschuiven van eigen verantwoordelijkheid. Dat wijzigt dit niet. Microsoft (net als veel andere dienstverleners) kan in de praktijk zo veel doen als ze wil zolang er nauwelijks op tijd controle over is. De toezichthouders lijken daarbij ook nauwelijks te controleren wat bedrijven en organisaties afgelopen jaren nagelaten hebben. En een harde verplichting om wel behoorlijk op tijd te controleren wat leveranciers precies uitvreten en daarop in te grijpen lijkt er ook niet te verwachten bij dit toezicht.

-MD-

16 juni 2025 21:17

Dat klinkt natuurlijk positief. Klinkt. Ik kan me niet onttrekken aan het idee dat er vast wel in Amerika een wet is waarin is vastgelegd dat sommige informatieverzoeken geheim moeten blijven. In tegenstelling tot de president van dat land, moeten bedrijven zich natuurlijk wel aan de wet houden en rechterlijke uitspraken accepteren.

Welke garanties geeft dit nu echt?

Octopuz @-MD- • 17 juni 2025 11:39

Alleen toegangsverzoeken afkomstig van Microsoft engineers vallen onder de logging policy. Hier staat niet dat toegang door overheidsorganisaties onder de logging policy valt.

FrostyPeet 17 juni 2025 11:25

Dit lijkt mij marketing strategie, om flinke rookwolken te maken om onwetende beleidsmakers en klanten het gevoel te geven dat hun EU data alleen van de EU is.

Als een FISA-achtige organisatie toestemming geeft tot het inzien van EU data van een Amerikaans bedrijf is MS verplicht om daaraan mee te werken. Of ze nu wel of niet loggen. Of ze nu wel of niet de echte log data afgeven. Of ze nu wel of niet een omleiding creëren dat een USA zoekopdracht via een vpn achtige constructie uit de EU lijkt te komen. In het verleden bleek de USA nogal ruim om te gaan met buitenlandse data exfiltratie.

Aschtra 16 juni 2025 18:09

Dat had er al moeten zijn

Slavy 16 juni 2025 18:11

Hoe zit dat dan met mensen die via een VPN naar een Europese omgeving gaan? Stel je werkgever is in Nederland gestationeerd met eigen VPN verbinding en je voert werk uit vanuit Mexico, wordt dit dan ook gelogd zoals bovengenoemde of niet gezien het via VPN gaat?

Prince @Slavy • 16 juni 2025 18:34

Ze kunnen enkel loggen waarvan ze weten dat het van het buitenland (edit: buiten EU dus) komt hé.
Dus als het een VPN concentrator is die bij de werkgever zelf staat, dan zullen ze dit niet weten en niet loggen.
Is het een VPN concentrator die bij MS draait, dan zal de link tussen Mexico en MS gelogd worden, maar niet waar de link nadien naartoe gaat.

Elk land die een VPC huurt (die niet van MS is) in de EU kan dit als relaypunt gebruiken en er wordt niets gelogd.

Een andere vraag is wat er gelogd wordt. Bron en doel IP? een url? Zo ja, wat als een url persoonsgegevens bevat? (denk aan zoekopdrachten die via een GET request uitgevoerd worden ipv een POST request - dit kan immers ook over backend-communicatie gaan nadat je ingelogd bent.)

[Reactie gewijzigd door Prince op 16 juni 2025 18:36]

Raymond Deen @Prince • 16 juni 2025 19:01

Wat betreft vpc ben ik het helemaal met je eens. Bij de uitleg van get ga je toch de mist in, want die kun je ook prima van parameters voorzien in de body.

Prince @Raymond Deen • 16 juni 2025 19:33

Mijn comment gaat ook niet over dat er cases zijn waar er bij een get request in de body of header informatie meegestuurd wordt; mijn comment gaat over de cases waar dit niet het geval is.

MS doet een actie die wellicht niet GDPR/AVG proof is.

CivLord

@Slavy • 17 juni 2025 10:28

Ik denk dat dit niet voor reguliere gebruikers geldt, die met hun eigen gegevens (of met gegevens van het bedrijf waarvoor ze werken en waarvoor ze een account hebben) bewerken. Dit gaat om verzoeken om toegang tot data op Europese servers van overheidsorganisaties.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (64)

Sorteer op:

Weergave: