หากมีสองสิ่งที่ไม่ควรผสมกัน นั่นคือการปฏิบัติตามข้อกำหนดด้านความปลอดภัยทางไซเบอร์/ความเป็นส่วนตัว และนโยบายบริษัท และยังเป็นจุดศูนย์กลางของการต่อสู้เพื่อปฏิบัติตามข้อกำหนดระหว่าง Microsoft และเจ้าหน้าที่ของเยอรมันซึ่งอาจลงเอยด้วยการลงโทษลูกค้าของบริษัท
Datenschutzkonferenz ของเยอรมนี ซึ่งเป็นหน่วยงานกำกับดูแลที่รับผิดชอบในการจัดการกฎระเบียบคุ้มครองข้อมูลทั่วไป (GDPR) ของสหภาพยุโรป เวอร์ชันภาษาเยอรมัน ได้ระบุต่อสาธารณะว่า "ไม่สามารถใช้ Microsoft Office 365 ที่สอดคล้องกับการปกป้องข้อมูลได้"
นั่นเป็นถ้อยแถลงที่ชัดเจนและชัดเจนที่สุดที่ฉันเคยเห็นจากหน่วยงานกำกับดูแล
กล่าวโดยเจาะจง หน่วยงานกำกับดูแลไม่พบการละเมิดกฎการปฏิบัติตามอย่างชัดเจนมากเท่ากับที่พวกเขาพบเส้นทางข้อมูลที่ Microsoft อธิบายไม่เพียงพอ เส้นทางเหล่านี้ดูเหมือนจะถ่ายโอนข้อมูลบนเซิร์ฟเวอร์ที่ควบคุมโดย Microsoft ในสหรัฐอเมริกา
“คำถามหลักและคำถามประจำของชุดการอภิปรายคือ ในกรณีใด Microsoft ทำหน้าที่เป็นผู้ประมวลผล และในกรณีใดเป็นผู้ควบคุม สิ่งนี้ไม่สามารถสรุปได้อย่างชัดเจน ผู้ควบคุมจะต้องสามารถแสดงความรับผิดชอบของตนได้ตลอดเวลาตามศิลปะ 5 คู่ 2 GDPR” รายงานระบุก่อนที่จะเสริมว่า “คาดว่าจะเกิดความยุ่งยากต่อไป เนื่องจาก Microsoft ไม่ได้เปิดเผยอย่างครบถ้วนว่าการประมวลผลกำลังเกิดขึ้นโดยละเอียด นอกจากนี้ Microsoft ไม่ได้อธิบายอย่างครบถ้วนว่าการประมวลผลใดดำเนินการในนามของลูกค้าหรือดำเนินการเพื่อวัตถุประสงค์ของตนเอง เอกสารสัญญาไม่ได้มีความเฉพาะเจาะจงในเรื่องนี้ ดังนั้นจึงอนุญาตให้มีการประมวลผลที่ไม่สามารถสรุปผลการประเมินหรือแม้แต่ขยายเพื่อวัตถุประสงค์ของคุณเองได้
ไม่น่าแปลกใจที่ Microsoft ไม่เห็นด้วย โดยอ้างว่าผลิตภัณฑ์ของตนเป็นซอฟต์แวร์ที่สมบูรณ์แบบ
“วันนี้ Datenschutzkonferenz (DSK) ของเยอรมนีแสดงความกังวลเกี่ยวกับการปฏิบัติตามกฎหมายความเป็นส่วนตัวของข้อมูลของเยอรมนีและยุโรปของ Microsoft 365 (M365)” Microsoft กล่าวในแถลงการณ์ "เราไม่เห็นด้วยด้วยความเคารพต่อจุดยืนของ DSK เนื่องจากเรารับประกันว่าผลิตภัณฑ์ M365 ของเราไม่เป็นไปตาม (แต่มักจะเกินกว่ากฎหมายความเป็นส่วนตัวของข้อมูลที่เข้มงวดของสหภาพยุโรป) ลูกค้าของเราในเยอรมนีและทั่วทั้งสหภาพยุโรป พวกเขาสามารถใช้ผลิตภัณฑ์ M365 ได้อย่างมั่นใจในการปฏิบัติตามกฎหมาย ลักษณะเพื่อให้พวกเขาทำมากขึ้นโดยใช้น้อยลง
Microsoft ยังสัญญาว่าจะพยายามแบ่งปันข้อมูลเพิ่มเติมเกี่ยวกับกระบวนการของตน (เช่น ความโปร่งใสมากขึ้น)
“เราให้ความสำคัญกับความพยายามของ DSK ไปสู่ความโปร่งใสที่มากขึ้นอย่างจริงจัง และในขณะที่การจัดทำเอกสารและแนวปฏิบัติด้านความโปร่งใสของเราเหนือกว่าแนวปฏิบัติอื่นๆ ส่วนใหญ่ในพื้นที่ของเรา เราก็มุ่งมั่นที่จะทำให้ดียิ่งขึ้นไปอีก” บริษัทกล่าว “โดยเฉพาะอย่างยิ่ง เราจะจัดทำเอกสารความโปร่งใสเพิ่มเติมเกี่ยวกับโฟลว์ข้อมูลลูกค้าและวัตถุประสงค์ในการประมวลผล ซึ่งเป็นส่วนหนึ่งของข้อผูกพันด้านข้อมูลสูงสุดในสหภาพยุโรป นอกจากนี้ เรายังจัดเตรียมเอกสารที่โปร่งใสมากขึ้นเกี่ยวกับการประมวลผลและการติดตามโดยผู้ประมวลผลย่อยและพนักงานของ Microsoft นอกสหภาพยุโรป
ยังไม่ชัดเจนว่า Microsoft จะมีความโปร่งใสเพียงพอหรือไม่ในการอธิบายว่าแหล่งข้อมูลของตนทำงานอย่างไรและเพราะเหตุใด และบริษัทยินดีที่จะเปลี่ยนแปลงหรือไม่
สิ่งนี้มีความหมายอย่างไรสำหรับ Microsoft และที่สำคัญกว่านั้น สำหรับลูกค้าที่ใช้คอมพิวเตอร์ระดับองค์กรของ Microsoft
เรามาเริ่มกันที่การแยกย่อยของ Microsoft เมื่อเปรียบเทียบกับสหรัฐอเมริกาแล้ว ยุโรปให้ความสำคัญกับความเป็นส่วนตัวและความปลอดภัยในโลกไซเบอร์เป็นอย่างมาก และพูดได้อย่างปลอดภัยว่าเยอรมนีมีชื่อเสียงด้านการปฏิบัติตามกฎระเบียบอย่างจริงจังมากกว่าใครในสหภาพยุโรปหรือสหราชอาณาจักร
ตามทฤษฎีแล้ว สิ่งนี้ควรส่งผลร้ายแรงต่อบริษัท แต่จากข้อมูลของ Peter Dorce ผู้เชี่ยวชาญด้านความเป็นส่วนตัวในเยอรมนีซึ่งมักทำงานร่วมกับหน่วยงานกำกับดูแล เป็นไปได้ยากที่ Microsoft จะถูกบังคับให้ทำการเปลี่ยนแปลงหรือตอบคำถามเฉพาะเจาะจงอีกต่อไป ซอฟต์แวร์ของพวกเขาถูกเผยแพร่อย่างกว้างขวางจนไม่น่าสนใจทางการเมืองที่จะบังคับประเด็นนี้
หน่วยงานบังคับใช้ของเยอรมนี "สามารถอยู่กับสถานการณ์ที่ Microsoft แสร้งทำทุกอย่างถูกต้อง และเจ้าหน้าที่อ้างว่าได้ทำทุกอย่างเท่าที่ทำได้เพื่อบังคับให้ Microsoft ปฏิบัติตาม" เขากล่าวในการให้สัมภาษณ์กับ Computerworld Microsoft “ไม่ตรงตามข้อกำหนด GDPR ขั้นพื้นฐานที่สุด พวกเขาขาดความโปร่งใสขั้นพื้นฐาน เราไม่สามารถประเมินสิ่งที่พวกเขาทำเพราะพวกเขาไม่บอกเรา
นี่คือที่มาของการเมืองซึ่งกองกำลังภาคปฏิบัติสามารถมีอิทธิพลต่อการดำเนินการบังคับใช้ของรัฐบาล หน่วยงานกำกับดูแลของเยอรมัน “กลัวการตอบโต้ (ด้วยความคิดของหน่วยงานกำกับดูแล) เราจะไม่ได้รับงบประมาณเพิ่มขึ้นหากเราบอกว่าคุณใช้ Office ไม่ได้อีกต่อไป หรือแม้กระทั่ง Google Analytics และอื่น ๆ” Dorenvant กล่าว “สิ่งเหล่านี้เป็นปัญหาทางการเมือง ไม่มีใครอยากเป็นคนเลว
ดังนั้น Microsoft มีแนวโน้มที่จะเล่นสเก็ตในประเด็นนี้ อย่างน้อยก็ในตอนนี้ แล้วผู้ดูแลระบบไอทีขององค์กรล่ะ? บริษัทต่างๆ ที่ใช้ผลิตภัณฑ์ของ Microsoft รอดพ้นจากการลงโทษตามข้อกำหนดหรือไม่ ไม่จำเป็น. อาจดูเหมือนไม่ยุติธรรมที่จะปล่อย Microsoft ออกจากเบ็ดและลงโทษลูกค้า แต่ด้วยเหตุนี้ข้อโต้แย้งจึงเป็นไปได้มาก และไม่ใช่เฉพาะในเยอรมนีเท่านั้น
“ในเบลเยียม เนเธอร์แลนด์ เยอรมนี และที่อื่นๆ มีการฟ้องร้องลูกค้าผลิตภัณฑ์ของ Microsoft อย่างต่อเนื่อง” เขากล่าว
สิ่งนี้นำเราไปสู่ปัญหาการปฏิบัติตามข้อกำหนดด้านไอทีขององค์กรที่ใหญ่ขึ้น ไม่นานมานี้ มีสุภาษิตเกี่ยวกับคอมพิวเตอร์ที่ได้รับความนิยมคือไม่มีใครถูกไล่ออกจากการซื้อ IBM ซึ่งหมายความว่าการยึดติดกับผู้ให้บริการเทคโนโลยีรายใหญ่ที่สุดโดยทั่วไปจะปกป้องการตัดสินใจซื้อของพวกเขาในระดับที่ดี
ในการปฏิบัติตามข้อกำหนด แนวคิดเดียวกันนี้ชี้ให้เห็นว่าเมื่อบริษัทต่างๆ ใช้ Microsoft, SAP, Oracle, Google หรือผู้เล่นรายใหญ่รายอื่นๆ ฝ่ายไอทีสามารถสันนิษฐานได้ว่าพื้นฐาน ความปลอดภัยทางไซเบอร์ขั้นพื้นฐานที่สุด และการปฏิบัติตามข้อกำหนดได้รับการสนับสนุน (โดยเฉพาะอย่างยิ่งเมื่อเกี่ยวกับ บางอย่างเช่น GDPR)
มันไม่เคยเป็นกลยุทธ์ที่ชาญฉลาด แต่แน่นอนว่าไม่ใช่วันนี้ หาก Microsoft ยังมีช่องโหว่ในปัญหาการปฏิบัติตามข้อกำหนดขั้นต่ำ โอกาสที่ผู้เล่นหลักรายอื่นจะทำเช่นกัน
พูดตามตรง ความสมหวังของคุณก็คือความสมหวังของคุณ การใช้ผู้ให้บริการที่มีชื่อเสียงจะไม่ปกป้องคุณจากฝันร้ายด้านกฎระเบียบ เจ้าหน้าที่อาจไม่มีความกล้าที่จะต่อต้านผู้ให้บริการเหล่านี้ แต่การยกตัวอย่างบริษัทที่ติดอันดับ Fortune 1000 บางแห่งเป็นคนละเรื่องกันโดยสิ้นเชิง
ลิขสิทธิ์ © 2022 IDG Communications, Inc.