Det handlar inte om vart datat hamnar utan vem kan hantera/processera datat. Vem har kontrollen över datat.
Exempel på problem som man får fundera på?
Kan Microsoft i USA bygga om programvaran för att skicka datat någonstans?
Kan en tekniker på Microsoft i USA komma åt datat?
Kan myndigheter i USA be Microsoft att lämna ut datat?
Kör du Azure/MS365 måste du köra auth genom Microsofts IdP.
Alltså kan microsoft själv ställa ut auth-tokens till dina tjänster utan att du ens märker det.
Microsoft är väl as we speak hackade av ryssland och har inte kontroll på situationen.
https://www.theregister.com/2024/03/08/microsoft_confirms_rus...
"In the last year, Microsoft has been breached by China and Russia, the latter incident was enabled by sensitive Microsoft key material exfiltrated from within Microsoft sensitive systems.
This latest disclosure introduces doubt that they have been able to evict Cozy Bear and it’s a reminder of the much deeper issues seemingly plaguing Azure’s authentication and security mechanisms."
Har då ryssen teoretisk access till din data?
Tveksamt, minns jag rätt så rör det sig om att man lärt sig hur man drar ut tokens från en enhet och sedan kan kringgå lösenord/mfa för användare från en annan plats under giltighetstiden utav denna token.
Microsoft själva borde väl teoretiskt kunna komma åt allt utan att det syns.
Oj, men den tankebanan så borde man aldrig använda Windows enn. För de kan bygga in vilken bakdörr de vill. O använd för guds skull inte en amerikansk CPU utan välj en helt europeisk.
Gdpr handlar inte om att data ska vara 100% isolerat i ett bankvalv under jord. Gdpr vill styra upp processen kring data så att företag får bättre rutiner.
Det behöver vara avtalat om vilken data som delas, vart det sparas, hur länge det sparas, vilka som har access osv. Det låter som att EU-kommissionen alltså inte har följt processen. Om den andra parten inte följer avtalet så är det istället de som kan ligga pyrt till.