Er wordt veel gesteld dat het helemaal niet mogelijk is om soevereine clouddiensten af te nemen bij een hyperscaler. Het zijn in veel gevallen lokale cloudaanbieders en burgerrechtenorganisaties die dat stellen. In het Verenigd Koninkrijk zijn nu dankzij een Woo-verzoek documenten boven water gekomen, waaruit blijkt dat advocaten van Microsoft bevestigen dat dit het geval is, meldt ComputerWeekly.
Het niet kunnen garanderen van cloud soevereiniteit gaat ook nog eens om een nogal delicate kwestie. Het is namelijk om de data die door de Schotse politie wordt verwerkt op een systeem dat draait in de Microsoft Azure cloud. Het gaat daarbij om data die is geüpload naar de Digital Evidence Sharing Capability (DESC) van de Schotse politie.
In de door de Schotse politie openbaar gemaakte documenten staat onder meer te lezen:
There was also a tacit admission that data can go outside the UK. They advised that this is the very nature of Cloud Computing and that their support is on a ‘follow the sun model’.
Het komt er dus klip en klaar op neer, dat Microsoft cloud soevereiniteit niet kan garanderen. Daarmee zou dan de wetgeving die geldt in het Verenigd Koninkrijk worden geschonden. Uit het artikel van ComputerWeekly blijkt dat er wel enkele (contractuele) maatregelen zijn genomen om daar iets aan te doen. Echter wordt daarbij ook meteen twijfel uitgesproken of het überhaupt wel feitelijk mogelijk is voor Microsoft aan de geldende wetgeving te voldoen.
Hoe dan ook moet deze kwestie te denken geven. Als bij één van de meest gevoelige soorten overheidsdata, namelijk die wordt verzameld in het kader van opsporing door de (Schotse) politie, cloud soevereiniteit niet kan worden gegarandeerd. Dan zal dat ook voor elke andere soort data gelden. Dat is wel iets dat te denken geeft.