Microsoft Azure en beveiliging in de zorg (NEN7510 cert)

Heb je hier al eens een kijkje genomen?
https://azure.microsoft.com/nl-nl/support/trust-center
Zou je alle certificeringen van de Azure datacenters moeten kunnen vinden

regilioo schreef op dinsdag 19 januari 2016 @ 16:44:
Het is een cloud die niet per se met Nederlandse servers verbinding maakt.

Komen er wel persoonsgegevens of zelfs medische gegevens in terecht van bijvoorbeeld NL of Europese burgers?

Let er even op dat vooralsnog de Patriot Act geldt voor Azure. MS vecht hard terug (nieuws: Microsoft weigert vooralsnog in Europa opgeslagen e-mails aan VS te g...), maar dat kan (helaas?) vooralsnog voor de NL/EUR rechter vast niet genoeg zijn.

Sinds nieuws: EU-Hof acht VS geen veilige 'datahaven' is het lastig(er) om aan de WBP te voldoen terwijl je host bij een partij die enige Amerikaanse band heeft (zelf Amerikaan, moeder Amerikaans, veel business in de VS, whatever).

F_J_K schreef op dinsdag 19 januari 2016 @ 17:39:
[...]

Komen er wel persoonsgegevens of zelfs medische gegevens in terecht van bijvoorbeeld NL of Europese burgers?

Let er even op dat vooralsnog de Patriot Act geldt voor Azure. MS vecht hard terug (nieuws: Microsoft weigert vooralsnog in Europa opgeslagen e-mails aan VS te g...), maar dat kan (helaas?) vooralsnog voor de NL/EUR rechter vast niet genoeg zijn.

Sinds nieuws: EU-Hof acht VS geen veilige 'datahaven' is het lastig(er) om aan de WBP te voldoen terwijl je host bij een partij die enige Amerikaanse band heeft (zelf Amerikaan, moeder Amerikaans, veel business in de VS, whatever).

Echter als over een paar maanden de nieuwe Azure DC's in Duitsland beschikbaar komen zou het wel mogen. Aangezien die niet door Microsoft gehost worden. Het is gewoon een Datacenter van bedrijf Deutsche Telekom dat volgens de standaarden van het Azure team werkt.

edit: geen NDA is gewoon Deutsche Telekom staat ook op de microsoft site.

[ Voor 4% gewijzigd door Meekoh op 19-01-2016 17:46 ]

Hopelijk wordt nieuws: Microsoft wil Europeanen tegen meerprijs opslag in Duitse datacentra ... inderdaad iets. Maar:

Meekoh schreef op dinsdag 19 januari 2016 @ 17:18:
Heb je hier al eens een kijkje genomen?
https://azure.microsoft.com/nl-nl/support/trust-center
Zou je alle certificeringen van de Azure datacenters moeten kunnen vinden

Hoewel MS volgens mij prima werk doet, kunnen ze denk ik vooralsnog niet verklaren dat op geen enkele manier Amerikaanse of andere niet-Europese wetgeving van toepassing is op gegevens op Azure. Door formeel helemaal niets te maken te hebben met de zegmaar Azure.de (geen hardware, geen mensen, geen eigenaarschap van MS, alleen licenties etc.?) zou het hopelijk goed moeten komen.

Ik zou dus heel expliciet aan niet alleen de interne jurist de vraag stellen of ze verklaren dat het voldoet aan alle privacy-wetgeving, maar ook aan de https://autoriteitpersoonsgegevens.nl/ en / of andere vergelijkbare overheidsdiensten. En daarvoor liefst "even" wachten tot de Duitse tak in de lucht is.

F_J_K schreef op dinsdag 19 januari 2016 @ 17:46:
Hoewel MS volgens mij prima werk doet, kunnen ze denk ik vooralsnog niet verklaren dat op geen enkele manier Amerikaanse of andere niet-Europese wetgeving van toepassing is op gegevens op Azure.

Nou, ik was dus vorige week in een workshop met wat Azure volk van Microsoft en ze beweren dat ze dit getackeled hebben door de combo:
- US-EU Safe harbour agreement
- EU Model Clauses voor Enterprise klanten.

Of dit echt waterdicht is zou je met een jurist of je interne juridische afdeling moeten checken.

Die bewering staat dus op losse schroeven sinds 15 oktober.

https://www.security.nl/p...r-verdrag+met+VS+ongeldig

Ergens in de reakties staat nog een mailtje Irt nen

Kssst, dat linkte ik ook al (maar dan via een Tnet-artikel). Op security.nl wordt het idd uit monde van NEN.nl (wat overigens geen overheidsinstelling oid is, maar toch) beaamt.

Safe Harbour is niet meer geldig. Ik hoop wel dat MS' twee paden (via rechter in de VS en via een onafhankelijke partij maar o.b.v. hun techniek) beide gaan lukken. Maar vooralsnog zou ik geen contract durven sluiten waar hosting plaatsvindt door een partij die handelt in de VS, laat staan een Amerikaanse partij. Hoe mooi de prijs/kwaliteitsverhouding ook is.

Pssst... had ik gezien hoor, dat jij er ook al naar verwees. Maar ja, toen die veilige haven toch weer in zicht kwam leek het me goed de kardinaalton nog eens in het water te leggen.