Mange virksomheter bruker Microsoft 365 hver dag til e-post, dokumenter, møter og samarbeid. Men et spørsmål dukker ofte opp når man begynner å se nærmere på datasikkerhet: Hvor lagres egentlig dataene?
Svaret er mer sammensatt enn mange tror. Selv om data ofte lagres i europeiske datasentre, betyr ikke det nødvendigvis at dataene kun er under europeisk kontroll.
Microsofts datasentre
Microsoft driver et stort globalt nettverk av datasentre. Når en virksomhet i Norge bruker Microsoft 365, vil data normalt lagres i Microsofts europeiske regioner. Disse kan blant annet være lokasjoner i Norge, Nederland, Irland, Tyskland eller andre europeiske datasentre.
Dette gjelder for tjenester som:
- Exchange Online (e-post)
- SharePoint og OneDrive (filer og dokumenter)
- Microsoft Teams
Microsoft forsøker i stor grad å lagre data i samme geografiske region som kunden tilhører. For norske virksomheter betyr dette som regel Europa.
Men dette er bare én del av bildet.
Regionlagring betyr ikke nødvendigvis europeisk kontroll
Selv om data fysisk ligger i et datasenter i Europa, er det ikke nødvendigvis europeisk jurisdiksjon som gjelder.
Microsoft er et amerikansk selskap. Dermed omfattes selskapet av amerikansk lovgivning, uansett hvor serverne fysisk befinner seg.
Dette er en av grunnene til at temaet datasuverenitet har fått mer oppmerksomhet de siste årene.
I artikkelen hvem kontrollerer egentlig dataene dine forklares dette nærmere, men kort fortalt handler det om hvem som faktisk kan kreve tilgang til data.
CLOUD Act og tilgang til data
Et sentralt begrep i denne diskusjonen er den amerikanske loven CLOUD Act.
Denne loven åpner for at amerikanske myndigheter kan kreve tilgang til data fra amerikanske selskaper – også når dataene er lagret utenfor USA.
Det betyr at et selskap som Microsoft i enkelte situasjoner kan være juridisk forpliktet til å utlevere data, selv om de ligger på en server i Europa.
Dette er bakgrunnen for støtteartikkelen CLOUD Act forklart – hvorfor amerikanske skyløsninger skaper debatt.
Schrems II og overføring av data
Et annet viktig punkt i denne diskusjonen er EU-dommen kjent som Schrems II.
Denne dommen satte i praksis en stopper for Privacy Shield-avtalen mellom EU og USA. Begrunnelsen var nettopp bekymringer rundt amerikansk overvåkingslovgivning.
Konsekvensen er at overføring av persondata til amerikanske leverandører har blitt et mer komplisert juridisk spørsmål.
Du kan lese mer om dette i artikkelen Hva betyr Schrems II for skylagring.
Speiling, backup og global infrastruktur
En annen ting som ofte overses, er hvordan moderne skyløsninger faktisk lagrer data.
Data lagres sjelden kun ett sted. For å sikre stabil drift speiles informasjon ofte mellom flere datasentre. I tillegg tas det jevnlig backup.
Dette gjør systemene svært robuste mot feil og nedetid.
Samtidig betyr det også at data kan være distribuert på flere lokasjoner innenfor samme region.
Microsoft publiserer ikke alltid detaljert informasjon om nøyaktig hvilke datasentre som brukes for hver kunde til enhver tid, nettopp fordi infrastrukturen er dynamisk.
Hva betyr dette i praksis for norske virksomheter?
For mange virksomheter fungerer Microsoft 365 svært godt i praksis. Plattformen gir høy stabilitet, god integrasjon mellom tjenester og minimal teknisk drift.
Det er derfor ikke overraskende at svært mange organisasjoner bruker den.
Men virksomheter som arbeider med sensitiv informasjon bør likevel stille noen grunnleggende spørsmål:
- Hvem kontrollerer infrastrukturen dataene ligger på?
- Hvilket lands lovgivning gjelder for leverandøren?
- Hvem kan i ytterste konsekvens kreve tilgang til data?
Dette er ikke nødvendigvis et teknisk spørsmål – det er i stor grad et juridisk og strategisk spørsmål.
Alternativer: mer kontroll over data
For virksomheter som ønsker større kontroll over hvor data lagres, finnes det også andre modeller.
En løsning kan være såkalt self-hosted skylagring, der virksomheten selv kontrollerer infrastrukturen eller bruker en lokal leverandør.
Dette betyr ikke nødvendigvis at slike løsninger alltid er bedre. Men de gir ofte mer kontroll over både lagringssted, tilgang og jurisdiksjon.
Dette diskuteres nærmere i artikkelen [Self-hosted skylagring – hva betyr det egentlig].
Det viktigste spørsmålet
Når man diskuterer hvor data lagres i Microsoft 365, er det lett å fokusere kun på fysisk plassering.
Men det mest avgjørende spørsmålet er ofte ikke hvor serveren står.
Det viktigste spørsmålet er hvem som kontrollerer infrastrukturen – og hvilket lovverk leverandøren er underlagt.
For mange virksomheter blir dette først et tema når man begynner å stille et enkelt spørsmål:
Hvem kontrollerer egentlig dataene dine?
