Britiske politidata opbevaret i Microsofts Azure-miljøer forlader Storbritannien, på trods af at national lovgivning kræver, at disse data bliver inden for landets grænser.
Dette fremgår af korrespondance mellem skotsk politi og Microsoft, hvor sidstnævnte ikke kan garantere, at data forbliver i Storbritannien.
Det er kommet frem som følge af en anmodning om aktindsigt, som det britiske it-magasin Computer Weekly rapporterer om.
Baggrund
Skotsk politi tester i øjeblikket et nyt system kaldet Digital Evidence Sharing Capability (DESC), som skal gøre det lettere at dele information og beviser mellem forskellige afdelinger.
Disse data opbevares i Azure-miljøer og skal ifølge loven forblive inden for Storbritanniens grænser.
Microsoft overfører dog regelmæssigt data, der er lagret på sin offentlige hyperscaler-platform, mellem forskellige datacentre, herunder dem uden for Storbritannien.
I korrespondance med skotsk politi forklarede Microsoft, at sådanne praksisser er 'inherente' – altså 'iboende' - i Azures arkitektur.
Politiet overholder ikke loven
Da data sendes til andre steder uden for Storbritannien, har politiet ikke overholdt en del af Storbritanniens Data Protection Act, som kræver, at politiets data skal forblive suveræne.
Selvom Microsoft har foretaget justeringer, der sikrer, at DESC-data ikke forlader landet, har de angiveligt ikke gjort det samme for andre tjenester, da 'ingen andre har bedt om det', lyder det.
Samtidig lyder det, at der ikke er nogen kontraktlig forpligtelse for Microsoft til at gøre det.
Den oprindelige aktindsigtsanmodning kom fra den britiske sikkerhedsspecialist Owen Sayers, der har leveret it-tjenester til politiet i over 20 år.
Han fortæller til mediet, at det nu er 100 procent sikkert, at Microsoft ikke overholder databeskyttelseslovgivningen i Storbritannien.
Dette gælder ikke kun politiets data, men også data fra andre myndigheder, der bruger Azure, lyder det fra Owen Sawyers.
Suverænitet gælder ikke alle former for data
Ifølge Owen Sayers viser korrespondancen mellem skotsk politi og Microsoft, at datasuverænitet kun gælder for data ”i hvile” og ikke omfatter aktivt behandlede data.
Han forklarer, at regeringsorganer har antaget, at suverænitetsgarantien omfattede alle datatyper.
I stedet gælder der ifølge ham en såkaldt "follow the sun"-model, hvilket betyder, at data ikke tager hensyn til lokation og bevæger sig hen, hvor det er muligt.
Microsoft udtaler i forbindelse med sagen, at man tager kravene om dataopbevaring og beskyttelse alvorligt.
Dog, lyder det fra virksomheden, at man ikke har været forpligtet kontraktligt til at ændre måden, hvorpå Azure-tjenester fungerer.
Ifølge virksomheden har man informeret politiafdelingerne om, hvordan Azure fungerer, hvorefter politiet selv kan afgøre, om politiafdelingerne kan fortsætte med at bruge Azure og samtidig overholde britisk lovgivning.