Om det finns två saker som aldrig bör blandas så är det cybersäkerhet/integritetsefterlevnad och företagspolicy. Och ändå är det i centrum för en efterlevnadskamp mellan Microsoft och tyska myndigheter som kan sluta med att företagets kunder straffas.
Tyska Datenschutzkonferenz, det tillsynsorgan som ansvarar för att administrera den tyska versionen av Europeiska unionens allmänna dataskyddsförordning (GDPR), har offentligt uttalat att "ingen dataskyddskompatibel användning av Microsoft Office 365 var möjlig."
Det är det mest absoluta och djärva uttalande jag någonsin sett från en efterlevnadsbyrå.
För att vara specifik, tillsynsmyndigheter har inte uttryckligen hittat överträdelser av efterlevnadsregler så mycket som de har hittat datavägar som Microsoft inte skulle förklara tillräckligt. Dessa rutter verkade dumpa data på servrar som kontrolleras av USA-baserade Microsoft.
“La pregunta central y recurrente de la serie de discusiones fue en qué casos Microsoft actúa como procesador y en qué casos como controlador. Esto no pudo ser aclarado de manera concluyente. Los controladores deben poder demostrar en todo momento su responsabilidad de conformidad con el art. 5 par. 2 GDPR”, afirma el informe, antes de agregar que “siguen esperando dificultades ya que Microsoft no revela completamente qué procesamiento está teniendo lugar en detalle. Además, Microsoft no explica completamente qué procesamiento se realiza en nombre del cliente o cuál se realiza para sus propios fines. Los documentos contractuales no son específicos a este respecto y, por lo tanto, permiten un procesamiento que no puede evaluarse de manera concluyente o incluso extenderse para sus propios fines.
Föga överraskande håller Microsoft inte med och hävdar att dess produkter är perfektion för mjukvara.
"I dag tog Tysklands Datenschutzkonferenz (DSK) upp farhågor om Microsoft 365 (M365) efterlevnad av tyska och europeiska dataskyddslagar", sa Microsoft i ett uttalande. "Vi håller inte respektfullt med DSK:s ståndpunkt, eftersom vi säkerställer att våra M365-produkter inte uppfyller, utan ofta överskrider, de strikta dataskyddslagarna i Europeiska unionen. Våra kunder i Tyskland och i hela EU kan tryggt använda M365-produkter på ett lagligt sätt. för att göra det möjligt för dem att göra mer med mindre.
Microsoft lovade också att de skulle försöka dela mer information om sina processer (dvs. mer transparens).
"Vi tar DSK:s ansträngningar för större transparens på största allvar, och även om vår transparens- och dokumentationspraxis överstiger de flesta andra i vårt utrymme, är vi fast beslutna att göra ännu bättre", sa företaget. "Som en del av våra EU-åtaganden om datatak kommer vi att tillhandahålla ytterligare transparensdokumentation om kunddataflöden och behandlingsändamål. Vi kommer också att tillhandahålla mer transparent dokumentation av bearbetning och spårning av underbehandlare och Microsoft-anställda utanför EU.
Det är oklart om Microsoft kommer att vara tillräckligt transparenta när det gäller att förklara exakt hur dess datakällor fungerar och varför, och om företaget är villigt att ändra dem.
Så vad betyder detta för Microsoft och, ännu viktigare, för Microsofts datorkunder?
Låt oss börja med Microsofts spin-offs. Jämfört med USA tar Europa integritet och cybersäkerhet på största allvar. Och det är säkert att säga att Tyskland har ett rykte om att ta efterlevnad på större allvar än någon annan i EU eller Storbritannien.
I teorin borde detta innebära allvarliga konsekvenser för företaget. Men enligt Peter Dorce, en integritetsspecialist i Tyskland som ofta arbetar med tillsynsmyndigheter, är det osannolikt att Microsoft kommer att tvingas göra fler ändringar eller svara på specifika frågor. Deras mjukvara är helt enkelt så spridd att det skulle vara politiskt oattraktivt att tvinga fram frågan.
Tyska efterlevnadsmyndigheter "kan leva med situationen där Microsoft låtsas göra allt rätt och myndigheterna påstår sig ha gjort allt för att tvinga Microsoft att följa", sa han i en intervju med Computerworld. Microsoft "uppfyller inte de mest grundläggande kraven i GDPR. De saknar grundläggande transparens. Vi kan inte utvärdera vad de gör eftersom de inte berättar för oss.
Det är här politiken kommer in, där praktiska krafter kan påverka statliga verkställighetsåtgärder. Tyska tillsynsmyndigheter "fruktar repressalier. (Med tanke på tillsynsmyndigheterna) kommer vi inte att få mer budget om vi säger att du inte kan använda Office längre. Eller till och med Google Analytics, plus", sa Dorenvant. "Det här är politiska frågor. Ingen vill vara den onde.
Så Microsoft kommer sannolikt att gå på skridskor i frågan, åtminstone för nu. Men hur är det med företagens IT-administratörer? Är företag som använder Microsoft-produkter immuna mot efterlevnadspåföljder? Inte nödvändigtvis. Det kan tyckas orättvist att släppa Microsoft från kroken och straffa sina kunder, men därav argumentet att det är mycket troligt. Och inte bara i Tyskland.
"I Belgien, Nederländerna, Tyskland och på andra håll pågår stämningar mot kunder av Microsoft-produkter", sa han.
Detta för oss till ett ännu större IT-efterlevnadsproblem. För inte så länge sedan var ett populärt ordspråk för datorer att ingen kunde få sparken för att ha köpt IBM. Detta innebar att det att hålla fast vid de största teknikleverantörerna i allmänhet skyddade deras köpbeslut i stor utsträckning.
När det gäller efterlevnad antyder samma tankesätt att när företag använder Microsoft, SAP, Oracle, Google eller någon av de andra stora aktörerna kan IT anta att grunderna, de mest grundläggande frågorna om cybersäkerhet och efterlevnad, har stöds (särskilt när det handlar om något som GDPR).
Det var aldrig en klok strategi, men det är den absolut inte idag. Om Microsoft fortfarande har kryphål i frågor om efterlevnad av minimikrav, är chansen stor att de andra stora aktörerna också gör det.
För att vara rakt på sak, din uppfyllelse är din uppfyllelse. Att använda seriösa leverantörer kommer inte att skydda dig från regulatoriska mardrömmar. Myndigheterna kanske inte har modet att gå emot dessa leverantörer, men att ge exemplet med några Fortune 1000-företag är en helt annan historia.
Copyright © 2022 IDG Communications, Inc.
