Microsoft haalt eerste internationale cloudstandaard

De belangrijkste clouddiensten van Microsoft krijgen een ISO-label. Dat moet het aanbod interessanter maken voor grote bedrijven.

Het gaat om ISO/IEC 27018 die een uniforme en internationaal erkende aanpak oplegt over hoe data in de cloud wordt bewaard en beschermd. ISO-standaarden zijn in dat opzicht belangrijk omdat ze wereldwijd identiek zijn. Zeker voor bedrijven die in meerdere regio’s actief zijn, zorgt dat voor meer efficiëntie en duidelijkheid.

De standaard werd uitgereikt door BSI, the British Standards Institute en dit voor Azure, Office 365 en Dynamics CRM Online. Zij hanteren één beleid voor de bescherming van persoonlijke informatie. Ook Intune krijgt het label, al was hier een ander bureau bij betrokken. Vorig jaar haalde het bedrijf nog van Europese autoriteiten te horen dat hun cloudcontracten binnen de modelclausules van de Europese privacywetten ligt.

Brad Smith, General Clounsel & Executive Vice President voor Legal & Corporate Affairs bij Microsoft legt in een blogpost uit hoe ISO 27018 de privacy van zakelijke klanten beschermt. Maar ook wat de uitzondering is:

• Volledig zeggenschap over je data.
• Weten wat er gebeurt met je data: Microsoft belooft een transparant beleid over het overdragen en verwijderen van persoonlijke informatie in hun datacenters. Ook als Microsoft met andere bedrijven samenwerkt, of data via hun netwerken verstuurt, wil het daarover helder communiceren.
• Data van enterprise-klanten wordt niet gebruikt voor advertentiedoeleinden.
• Waarschuwing als de overheid data opvraagt. Microsoft hanteert deze aanpak al langer. Al sluit Microsoft niet uit dat er situaties zijn waarbij het wettelijk de eigenaar niet mag waarschuwen.

Tegenstrijdig

Microsoft wil met de ISO-norm aan grote klanten tonen dat het een leidende, volwassen cloudprovider is. Al bevat de standaard wel enkele tegenstrijdigheden. Net zoals andere cloudproviders moet het immers wetgevingen naleven waar het niet noodzakelijk zelf een voorstander van is.

Zo is volledig zeggenschap over je data relatief als lokale of buitenlandse overheden toegang kunnen eisen. Microsoft wil zijn klanten hier goed over informeren, maar zegt tegelijk dat er situaties zijn waarbij het bedrijf zijn klanten niet mag inlichten over een overheidsinterventie, wat vloekt met ‘weten wat er gebeurt met je data’. In dat opzicht belooft Microsoft open te zijn, behalve wanneer het niet open mag zijn.