De Europese Unie heeft zijn privacyregels vastgelegd in de zogeheten Data Protection Directive. Daaraan zijn contractuele clausules verbonden die bedrijven moeten tekenen als zij data opslaan en verwerken van Europese burgers. Indien een bedrijf een dergelijk contract niet kan of wil tekenen, loopt die het risico dat de Europese privacywaakhonden ingrijpen en (tijdelijk) de clouddienst laten stilleggen.

Microsoft claimt leiding

Microsoft wil onder meer met zijn clouddienst Office365 de Europese markt bewerken en zegt nu als eerste belangrijke cloudplatform aan de Europese regels voor privacy en databescherming te voldoen. Het gaat dan vooral over het verplaatsen van data van Europeanen naar locaties buiten Europa.

“De clausule verzekert klanten dat de benodigde stappen zijn genomen om persoonlijke data te beschermen, zelfs als die opgeslagen is in een cloudgebaseerde service center buiten de Europese Economische Zone", schrijft Microsoft in een verklaring.

Per land een overeenkomst

Microsoft zegt daarnaast met klantovereenkomsten te willen werken op het gebied van dataverwerking. Sommige van de 27 EU-landen immers hebben wetgeving die nog verder gaat dan de Data Protection Directive en daar wil Microsoft de vingers niet aan branden.

In de overeenkomst worden specifieker details vermeld die aansluiten bij de diverse landenwetgeving. Het bedrijf zegt verder dat het jaarlijks een onafhankelijke expert wil inschakelen die een audit moet doen op het informatiebeveiligingsbeleid van Microsoft.

Maar wat dan met de Patriot Act?

Onduidelijk is nog hoe Microsoft aan de Europese regelgeving wil voldoen terwijl het bedrijf zelf eerder dit jaar gezegd heeft dat het onder de Amerikaanse wet niet kan garanderen dat data van Europeanen niet zal overhandigen aan Amerikaanse autoriteiten. Onder de zo geheten Patriot Act is Microsof, net als Google en elk ander bedrijf, verplicht die data af te staan aan Amerikaanse overheidsdiensten als die daarom vragen. Zelfs als de data staat op een server in een datacenter in Europa.

Eerder werd bekend dat juist die verplichting vanwege de Patriot Act het Britse defensiebedrijf BAE besloten heeft niet in zee te gaan met Microsoft en geen overstap te maken naar Office365, de clouddienst voor kantoorapplicaties. De data van BAE zou in een datacenter in Ierland worden opgeslagen, maar Microsoft kon geen garanties geven dat de data niet in handen zou komen van Amerikaanse overheidsdiensten.

Woordvoerder Jesse Verstraete van Microsoft Europa zegt dat de Patriot Act onveranderd zijn invloed blijft houden. "De facto zijn de twee niet gerelateerd", zegt hij. "Microsoft verbindt zich contractueel met betrekking tot standaarden zoals de EU model clauses en dataverwerkings-overeenkomsten. Dit gaat dus over het behandelen en transfereren van data." Dat heeft volgens hem geen invloed op de reikwijdte van de Patriot Act