Geschiedenis
Microsoft heeft jaren terug samen met Deutsche Telekom een manier gevonden om Duitse data in een Amerikaanse cloud te stoppen zonder dat de Amerikaanse overheid daar bij kon. Die constructie was nodig omdat de Duitse wensen en eisen met betrekking tot Datenschutz (“privacy”) hoger en vooral complexer zijn dan in Nederland. De stap die rond 2016 werd genomen, dus voor de AVG van kracht werd was ook complex. Er kwam een eigen Microsoft cloud datacenter in Duitsland (eigenlijk waren het er zelfs twee). Het gebouw, de infra, het beheer, alles was onder controle van Deutsche Telekom. Microsoft medewerkers hadden zelfs geen toegang tot dat gebouw.
Op die basis was het voor veel overheidsinstellingen in Duitsland mogelijk van Microsoft Office 365 gebruik te maken. De data bleef in Duitsland en vreemde mogendheden konden er niet bij komen. Niet alleen overheden werden bediend, ook het bedrijfsleven en onderwijsinstellingen konden van deze constructie gebruik maken.
Einde Duitse oplossing
In 2018 maakte Microsoft bekend dat het de stekker uit de “Deutschland Cloud” zou halen. Te weinig vraag en te weinig business werd als reden opgegeven. Het is dat besluit dat de belangrijkste reden is voor de HBDI nu te reageren. De situatie bij de aanbieder (Microsoft, niet Deutsche Telekom!) is dusdanig veranderd dat de eerder afgeven verklaring van de HBDI moet worden ingetrokken. In die melding stond te lezen dat de Deutschland Cloud aan de eisen voldeed dus kon worden gebruikt.
Verwarring
Nu zijn de rapen gaar en verwarring is troef. Er is geen groen licht van de HBDI en de Deutschland Cloud bestaat niet meer. Iedereen (hoewel de melding zich beperkt tot de scholen) die gebruik maakt van de Microsoft Office 365 omgeving die in Duitsland wordt aangeboden doet dat terwijl nu bekend moet zijn dat daarvoor de basis ontbreekt.
Het persbericht van de HBDI is als een lopend vuurtje verspreid en deels slecht vertaald. “Banned” (verboden) is een term die veel wordt gebruikt, elders duitk ook “afgeraden” op . Beide vertalingen of interpretaties kloppen niet, het gebruik is namelijk niet toegestaan. Het verschil tussen is te belangrijk om te worden genegeerd (trefwoord: “compliance”).
Opslag in Duitsland
Wat ook niet overal duidelijk naar voren komt, is dat de HBDI geen probleem heeft vanwege de feitelijke opslag van data in een cloud op Amerikaans grondgebied. Het bezwaar van de HBDI geldt namelijk voor elke dataopslag, ook die in de EU. Anders gezegd de data van scholieren moet gewoon in Duitsland blijven.
Het is die laatste eis die ook terug komt in het laatste punt van het Duitse persbericht. De HBDI merkt daar op dat het bezwaar niet alleen Microsoft Office 365 treft. Ook de Apple cloud en de Google diensten voldoen niet aan de regels. Het gebruik daarvan door onderwijsinstellingen en scholieren plus studenten in Hessen is eveneens niet toegestaan.
Voor Google is in die slotzinnen genoemd worden extra vervelend. De HBDI melding geeft namelijk aan het gebruik van programma’s waarbij de data onpremise wordt opgeslagen wel aan de regels voldoet. Microsoft Office kan lokaal wegschrijven. Apple waarschijnlijk ook, maar Google?
