Microsoft kan niet garanderen dat data van de Britse politie die is opgeslagen in Azure-omgevingen binnen het Verenigd Koninkrijk blijft, ook al maakt nationale wetgeving dat verplicht. Dat blijkt uit correspondentie tussen het bedrijf en de Schotse politie.

De politiediensten in Schotland testen momenteel een nieuw systeem, de Digital Evidence Sharing Capability (DESC), wat het delen van informatie en bewijsmateriaal tussen verschillende diensten moet vereenvoudigen. Die data wordt in Azure opgeslagen en moet binnen de grenzen van het VK blijven.

Microsoft verstuurt data die is opgeslagen op zijn publieke hyperscaler-platform echter geregeld heen en weer tussen verschillende datacenters, ook buiten het Verenigd Koninkrijk (VK). Dit zou zelfs ‘inherent’ zijn aan de architectuur van Azure, meldt Microsoft in de correspondentie met de politie van Schotland.

De info kwam boven water naar aanleiding van een beroep op de Freedom of Information Act, de Britse variant van een woo-verzoek. Het Britse IT-magazine Computer Weekly berichtte er vervolgens over.

Doordat de data ook naar andere plekken buiten het VK ‘reist’, voldoen de politiediensten niet aan een onderdeel van de zogeheten Data Protection Act aldaar die stelt dat data van wetshandhavers soeverein moet blijven. Overigens heeft Microsoft wel aanpassingen gemaakt die ervoor zorgen dat de DESC-data het land niet verlaat, maar heeft het dit volgens de berichten niet voor andere diensten gedaan omdat het bedrijf ‘hier niet om was gevraagd’. Ook zou het bedrijf hiertoe contractueel niet verplicht zijn.

In een reactie stelt Microsoft dat het de vereisten voor data residency en -bescherming serieus neemt, maar geen contractuele toezeggingen heeft gedaan die veranderen hoe Azure-services al werken. Het bedrijf zegt min of meer dat het de politiedienst heeft uitgelegd hoe Azure werkt en dat het op basis van die uitleg kan bepalen of ze het platform kunnen blijven gebruiken om aan wetgeving te voldoen.

Alles bij de bron; TechZine