ترفض Microsoft إخبار هيئات الشرطة الاسكتلندية أين وكيف سيتم معالجة بيانات إنفاذ القانون الحساسة التي تم تحميلها على خدماتها السحابية ، مشيرة إلى “السرية التجارية”.
كجزء من جهد على مستوى المملكة المتحدة لنقل قوات الشرطة إلى البنية التحتية الرقمية التي تدعم السحابة ، يتم تنفيذ الشرطة اسكتلندا وسلطة الشرطة الاسكتلندية (SPA) بشكل مشترك”https://www.techtarget.com/searchenterprisedesktop/definition/Microsoft-Office-365-suite”> Microsoft Office 365 (O365) لتخزين ومعالجة مجموعة من البيانات الشخصية وإنفاذ القانون.
ومع ذلك ، وفقًا للوثائق التي نشرتها SPA بموجب قواعد Freedom of Information (FOI) ، ترفض Microsoft تسليم المعلومات المهمة حول تدفقات بياناتها الدولية إلى المنتجع الصحي والشرطة اسكتلندا.
بدون هذه المعلومات ، لا تستطيع هيئات الشرطة تلبية قواعد حماية البيانات الخاصة بإنفاذ القانون الموضوعة في الجزء 3 من”https://www.techtarget.com/searchdatabackup/definition/Data-Protection-Act-2018-DPA-2018″> قانون حماية البيانات 2018 (DPA18) ، الذي يضع حدودًا صارمة على نقل بيانات الشرطة خارج المملكة المتحدة.
وقالت SPA في تقييم تفصيلي لتأثير حماية البيانات (DPIA) التي تم إنشاؤها لاستخدامها O365: “MS غير قادر على تحديد البيانات الناشئة من SPA ستتم معالجتها خارج المملكة المتحدة لوظائف الدعم”. “لمحاولة التخفيف من هذا الخطر ، طلب سبا أن يرى … [the transfer risk assessments] للبلدان المستخدمة من قبل MS حيث لا يوجد [data] كفاية. ورفض MS تقديم التقييمات. “
تؤكد SPA DPIA أيضًا أنه علاوة على رفض تقديم معلومات رئيسية ، أخبرت Microsoft نفسها مراقبة الشرطة أنها غير قادرة على ضمان سيادة بيانات الشرطة المحتفظ بها ومعالجتها في البنية التحتية O365.
وقالت DPIA: “تنص شركة Microsoft في عوامل الخطر الخاصة بها على أن O365 غير مصممة لمعالجة البيانات التي سيتم تناولها بواسطة SPA” ، مضيفًا أنه على الرغم من أنه يمكن تكوين النظام بطرق تسمح بمعالجة بيانات الشرطة “عالية القيمة” ، “هذا الشريط مرتفع”.
وأضاف كذلك أنه على الرغم من أن Microsoft وافقت سابقًا على إجراء عدد من التغييرات على إضافة معالجة البيانات (DPADD) التي يتم استخدامها في إمكانية مشاركة الأدلة الرقمية القائمة على Azure في Police Scotland (DESC)-“https://www.computerweekly.com/news/366589152/Microsoft-admits-no-guarantee-of-sovereignty-for-UK-policing-data#:~:text=ComputerWeeklyaskedbothMicrosoftandPoliceScotlandwhatchangeshavebeenmadetoensuretheDESC%E2%80%99scompliancewithPart3%2Cbutreceivednospecificresponsetothispointfromeitherorganisation.”> طبيعة ما زالت غير واضحة – نصحت Microsoft أن “O365 تعمل بطريقة مختلفة تمامًا ولا توجد حاليًا وسيلة لضمان سيادة البيانات”.
ولاحظت كذلك أنه على الرغم من أن “وثيقة مساعدة متشابهة ، مثل تلك المقدمة … من خلال مشروع DESC” يمكن أن تحمل “مستوى من التأكيد” للنقل الدولي بشكل عام ، فإنه لا يزال أقل من متطلبات الجزء 3 لتحديد أنواع البيانات التي تتم معالجتها بالضبط وكيف.
إن رفض Microsoft لتقديم معلومات حول ممارسات معالجة البيانات الدولية الخاصة بها يعني بيانات إنفاذ القانون الحساسة التي تحتفظ بها الشرطة اسكتلندا – بما في ذلك معلومات حول الشهود وضحايا الجريمة – في البلدان “المعادية” ، أو أولئك الذين ليس لديهم اتفاقات كفاية البيانات.
وقال DPIA هذا يشمل الصين وصربيا والهند والإمارات العربية المتحدة والبرازيل ومصر وجنوب إفريقيا وشيلي وهونج كونج وماليزيا.
وقالت: “لقد رفضت مرض التصلب العصبي المتعدد ، بسبب السرية ، تزويد SPA بالتأكيدات التي يحتاجها لتلك التحويلات ، بما في ذلك اتفاقيات نقل البيانات الدولية”. “MS غير قادر على إعطاء تأكيدات بأن البيانات لن تتم معالجتها في تلك البلدان ، بالنظر إلى نموذج دعم المتابعة الخاص بهم … وبالتالي ، لا يمكن ضمان أن هذه التقييمات شملت الجزء 2 [GDPR] والجزء 3 [law enforcement] يعالج.”
وفقًا لـ “DPIA المختصرة” تم إصدارها أيضًا بموجب FOI: “إذا رفضت أي شركة أخرى إخبارنا بمن يعالج بياناتنا وأين ورفضت تقديم الأدلة … فسنقوم ، على الأرجح ، بعدم التقدم في عرض العطاء”.
كل هذا يؤكد كذلك – في الواقع دليل قاطع – الضرورة المطلقة للقدرة السحابة في المملكة المتحدة ، خاصة بالنسبة لخدماتنا العامة التي أهملت الحكومات المتعاقبة تمامًا تيم كليمنت جونز ، نظير الديمقراطي الليبرالي
بخلاف أن ترفض Microsoft تقديم معلومات حول عمليات النقل “لأسباب سرية” ، حددت DPIA مجموعة من القضايا الأخرى ، بما في ذلك ذلك”https://www.computerweekly.com/news/366617285/Axon-still-in-possession-of-Police-Scotland-encryption-keys”> Microsoft في حوزة مفاتيح التشفير (بمعنى أنه سيكون قادرًا على الوصول إلى جميع البيانات المحتجزة وتسليمها إلى حكومة الولايات المتحدة إذا لزم الأمر”https://www.computerweekly.com/news/252500940/Microsoft-EU-data-boundary-dubbed-smoke-and-mirrors#:~:text=Hanffaddedthatit,toaccessEuropeans%E2%80%99data.”> بموجب القوانين الغازية للبلاد) ، ويرفض السماح لشرطة المملكة المتحدة بفحص موظفي Microsoft الذين يمكنهم الوصول إلى البيانات من الخارج.
اتصلت الكمبيوتر الأسبوعي بـ Microsoft حول محتويات مستندات FOI ورفضها تقديم معلومات إلى Police Scotland. وقال متحدث باسم الشركة “تتوافق مع جميع القوانين واللوائح المطبقة على توفير منتجاتنا وخدماتنا”.
وقال متحدث باسم الشرطة في اسكتلندا: “رداً على الأسئلة الإضافية من Computer Weekly حول سبب تقدمها في نشر O365 على الرغم من سلوك Microsoft وقضايا حماية البيانات الواضحة التي تم تحديدها.[The force] يستمر في العمل مع هيئة الشرطة الاسكتلندية على خطط لتنفيذ Microsoft 365 المشترك مع وكالات إنفاذ القانون الأخرى في المملكة المتحدة.
“نحن نعمل عن كثب مع الشركاء لضمان وجود جميع أمن البيانات المطلوبة وضوابط الحماية والحوكمة. ويشمل ذلك مع مكتب مفوض المعلومات ومفوض القياسات الحيوية الاسكتلندية على النحو المطلوب.”
وتعليقًا على رفض Microsoft الكشف عن المعلومات الرئيسية واعترافها بالشرطة الاسكتلندية بأنها لا تستطيع أن تضمن سيادة بياناتها ، فإن الأقران الديمقراطي الليبرالي تيم كليمنت جونز-“https://www.computerweekly.com/news/366621774/UK-law-enforcement-data-adequacy-at-risk#:~:text=Commentingonthe,it%2Cnotlawful.%E2%80%9D”> من سبق أن أبرز عدم وجود فرط في الامتثال للجزء 3 في اللوردات – أخبر Computer Weekly إنه يوضح الحاجة إلى أن يكون لدى المملكة المتحدة قدراتها السحابية السيادية.
وقال “كل هذا يؤكد كذلك – في الواقع دليل قاطع – الضرورة المطلقة للقدرة السحابية في المملكة المتحدة ، خاصة بالنسبة لخدماتنا العامة التي أهملت الحكومات المتعاقبة تمامًا”. “ال”https://www.computerweekly.com/feature/The-CMA-anti-trust-investigation-into-AWS-and-Microsoft-explained-Everything-you-need-to-know”> سلطة المنافسة والأسواق تقوم بسحب أعقابها على Big Tech Cloud Services Supoly، وينبغي أن تكون هذه مكالمة عاجلة للاستيقاظ. “
رفض المعلومات الرئيسية
في حين أن DPIA تعرض كيف أن Police Scotland والمنتجع الصحي غير قادرين على الوفاء بالتزاماتهما القانونية نتيجة لتصوير Microsoft على تدفقات البيانات ، فإن الوثائق الأخرى التي تم الكشف عنها بموجب استجابات FOI تبرز أنها تحاول الحصول على إجابات لأسئلتهم لعدة أشهر.
وفقًا لمراسلات البريد الإلكتروني بين الشرطة اسكتلندا ومايكروسوفت ، لاحظ أحد ممثلي القوة في فبراير 2025: “هناك مسؤولية ثقيلة على الشرطة في اسكتلندا/سبا لإظهار فهم محبب للمكان الذي يعبر فيه بياناتنا ، وأمنها ، وأن هناك ضمانات كافية لحماية البيانات الشخصية في حالة نقلها/الوصول إليها خارج المملكة المتحدة.”
وأضافوا أن الجزء 3 يضع أيضًا مسؤوليات على المعالج – في هذه الحالة ، Microsoft – لتقديم أدلة حول عمليات نقل البيانات الدولية.
على الرغم من أن المراسلات السابقة تُظهر القوة المطلوبة في البداية توضيحًا على جوانب مختلفة من عمليات النقل الدولية للشركة-بما في ذلك كيفية الامتثال لمتطلبات الجزء 3 المختلفة ، وقائمة من العمليات الفرعية ، والوثائق حول تدفقات البيانات الخاصة بها-في 7 أكتوبر 2024 ، استغرقت Microsoft شهرًا للرد.
عندما استجاب ، في 13 نوفمبر ، شعرت الشرطة اسكتلندا بأن المعلومات المقدمة كانت غير كافية. في متابعة في اليوم التالي ، أشار موظف في الشرطة في اسكتلندا إلى أن الفريق الذي يراجع الوثائق المقدمة “يشعر بالفعل أنه لا يجيب على الأسئلة بالتفاصيل التي نطلبها” لأنهم “لا يمكنهم العثور على إجابات للأسئلة” التي يتم طرحها.
يشير رسالة بريد إلكتروني أخرى من Microsoft من 30 نوفمبر إلى أنه ، في وقت ما بين الاتصال الأولي من الشرطة اسكتلندا ، وبعد ذلك ، تم تنبيه الفرق القانونية والتجارية للشركة إلى طلبات القوة للحصول على توضيح بشأن حماية البيانات الرئيسية.
وفقًا لرسائل البريد الإلكتروني اللاحقة ، في حين طلبت القوة المزيد من التوضيح حول تدفقات البيانات والمواقع الفرعية في شبكة توصيل المحتوى في Microsoft (CDN) في 27 نوفمبر 2024 ، نصحت الشركة “هذا حساس تجاريًا” وفي النهاية رفضت “هذه المعلومات”.
على الرغم من وجود فجوة في المراسلات التي تم الكشف عنها ، إلا أن رسائل البريد الإلكتروني الأخرى من الشرطة اسكتلندا تظهر أنه في مرحلة ما بين ديسمبر 2024 وفبراير 2025 ، أخبرت Microsoft أيضًا القوة أنه لا يُطلب من “الكشف عن أي من الترتيبات التعاقدية السرية أو وثائق الامتثال” ، ورفض تقديم أي معلومات أخرى.
“إذا اعتبرت شرطة اسكتلندا أنه من الضروري تنفيذ TRA [transfer risk assessment] فيما يتعلق بنقل البيانات الشخصية فيما يتعلق بـ Microsoft 365 … لقد نشرنا معلومات مكثفة عبر الإنترنت في بوابة الخدمة الخاصة بنا للمساعدة في هذا التمرين “.
وأضافوا أنه على الرغم من أن M365 “غير مصمم لمعالجة فئات خاصة من البيانات الشخصية على نطاق واسع” ، بما في ذلك بيانات إنفاذ القانون ، فإن الأمر متروك لوحدات تحكم البيانات – Police Scotland والمنتجع الصحي في هذه الحالة – لتحديد أفضل تكوين للنظام لتلبية متطلباته القانونية المحلية: “معالج البيانات ، ليس لدى Microsoft أي سيطرة على هذا الاستخدام ولا يتمتع بها عادةً أو لا يمكن استخدامه إلى هذا الاستخدام”.
وفقًا لهيئة الشرطة الاسكتلندية DPIA ، “كان وضع Microsoft هو أن الضوابط المطلوبة لبيانات الجزء 3 ليست متأصلة في المنتج وسيكون للعميل التأكد من تنفيذ الضوابط المطلوبة”.
وأضاف أن Microsoft قد ذكرت أيضًا أنه لا يمكن أن تضمن المعالجات الفرعية التي قد تقوم بمعالجة البيانات في وقت معين ، نظرًا لنموذج دعم “متابعة” ، مشيرا إلى أن كل بلد في المنطقة الاقتصادية الأوروبية (EEA) يعتبر بيانات ملائمة للبيانات الجزء 3 ، لا توجد دولة في العالم خارج المنطقة لها هذه الوضع المكافئ.
يجب أن يذهب الائتمان إلى الشرطة اسكتلندا هنا للانضمام إلى العناية التي أجراها بالفعل من قبل المنتجع الصحي. على الرغم من أن Microsoft Cloud و M365 تستخدم بالفعل صعودًا وهبوطًا في المملكة المتحدة من قبل هيئات الشرطة وإنفاذ القانون ، إلا أن سبا حتى الآن – والآن الشرطة اسكتلندا – قد طرحوا حقًا أي من الأسئلة المهمة. لسوء الحظ ، تكون الإجابات أقل من بناء الثقة أوين سايرز ، مستشار أمن مستقل
وبالتالي فإن هذا من شأنه أن يمنعهم من تلقي بيانات الشرطة ، ما لم يتم الوفاء بظروف النقل الصارمة للجزء 3.
اتصلت Computer Week Microsoft بمكان إرسال ومعالجة البيانات التي تم تحميلها بواسطة الشرطة اسكتلندا ، لكنها لم تتلق أي رد على هذه النقطة.
وقال مصدر مقرب من القضية: “تم تحديد مخاطر كبيرة للغاية ، بما في ذلك رفض Microsoft المتغطرس الإعلان عن معالجتها الفرعية. هذا يختلف تمامًا عن Microsoft”https://www.forrester.com/blogs/microsoft-races-to-reassure-anxious-tech-execs-in-europe/”> حاولت طمأنة عملائها في الاتحاد الأوروبي من جدارة بالثقة قبل بضعة أسابيع فقط. “
ل”https://www.computerweekly.com/opinion/Microsofts-ICC-email-block-reignites-European-data-sovereignty-concerns”> أوين سايرز، مستشار أمن مستقل ومهندس معماري للمؤسسات يتمتع بخبرة تزيد عن 20 عامًا في تقديم أنظمة الشرطة الوطنية ، “طبيعة ومدة” المناقشات بين هيئات الشرطة الاسكتلندية و Microsoft “تنوير” ، حيث تقدم نظرة ثاقبة على “الصعوبة في الحصول على إجابات مستقيمة على الأسئلة التي لا تتوقع Microsoft بشكل روتيني” والفضاء الفقير للمسؤول عن الاستئصال بشكل عام.
وقال: “يتعين على الائتمان الذهاب إلى شرطة اسكتلندا هنا للانضمام إلى العناية التي أجراها بالفعل من قبل المنتجع الصحي”.
“على الرغم من أن Microsoft Cloud و M365 يتم استخدامها بالفعل لأعلى ولأسفل من قبل هيئات الشرطة وإنفاذ القانون ، حتى الآن فقط سبا – والآن الشرطة اسكتلندا – طرحت حقًا أيًا من الأسئلة المهمة: إلى أين تذهب بياناتنا؟ هل لديك خريطة أو نموذج لتدفق البيانات؟ ما هي التأكيدات التي يمكن أن تعطيناها حول احتياجات DPA 3 التنظيمية؟
“لسوء الحظ ، فإن الإجابات أقل من بناء الثقة.”
تقنين الممارسات غير القانونية
كما تم تضمينها في هيئة الشرطة الاسكتلندية ، وهي شكر وتقدير أنه على الرغم من أن قانون المملكة المتحدة قد تغير مؤخرًا لاستيعاب استخدام الشرطة لمقدمي الخدمات السحابية الفائقة ، فإن هذا هو في الأساس اعتراف بأن أجسام الشرطة كانت تخزين ومعالجة البيانات بشكل غير قانوني في بنيةهم لسنوات.
وأضاف التقييم أنه على الرغم من أن إصلاحات البيانات قد وفرت مزيدًا من اليقين القانوني ، إلا أنها لا تزال لا توضح المشكلات حول سيادة البيانات.
في مارس 2025 ، ذكرت Computer Week أن قانون استخدام البيانات والوصول إلى حكومة المملكة المتحدة (DUAA) -“https://www.computerweekly.com/news/366626126/UK-data-reforms-become-law”> التي تلقى الموافقة الملكية في يونيو 2025 – سوف يعدل الجزء 3 بواسطة”https://www.computerweekly.com/news/366621774/UK-law-enforcement-data-adequacy-at-risk”> ببساطة إزالة المتطلبات أن الخدمات السحابية الفائقة لم تكن قادرة في السابق على الامتثال.
على سبيل المثال ، على الرغم من أن DPA 2018 يسمح للنقل في الخارج بـ “مستلمي إنفاذ القانون”-أي مقدمي الخدمات السحابية-هذا مسموح فقطإذا تمكنت وحدة تحكم البيانات من إظهار أنها ضرورية تمامًا للقيام بذلك. هذا يعني أنه لا يمكن إرسال المعلومات إلا على أساس كل حالة على حدة لأغراض محددة ومحدودة عندما لا توجد وسيلة أخرى أقل تدخلاً لتحقيق نفس الهدف.
ومع ذلك ، في يونيو 2024 ،”https://www.computerweekly.com/news/366589152/Microsoft-admits-no-guarantee-of-sovereignty-for-UK-policing-data”> أكد الكمبيوتر أسبوعيًا أن بيانات الشرطة في المملكة المتحدة تم تحميلها إلى Microsoft Services يتم إرسالها بشكل روتيني إلى الخارج بالنسبة لبعض أشكال المعالجة ، بينما يتم توفير دعم تكنولوجيا المعلومات على نموذج متابع عالمي.
للتحايل على عدم الامتثال لمتطلبات النقل هذه ، أسقطت الحكومة ببساطة من Duaa ، مما يعني أن هيئات الشرطة لن تكون مطلوبة لتقييم مدى ملاءمة النقل أو الإبلاغ عن منظم البيانات.
هذه التغييرات وغيرها من التغييرات تعني أن بيانات الشرطة يمكن أن تكون مفيدة بشكل روتيني إلى الولايات القضائية ذات معايير حماية البيانات المنخفضة ، دون الالتزام بظروف DPA18 حول ضرورة صارمة.
وتعليقًا على إزالة متطلبات النقل الدولية الصارمة للجزء 3 عبر DUAA ، والتي كانت في هذه المرحلة لا تزال مشروع قانون ، لاحظت DPIA في المنتجع الصحي: “إذا كان من القانوني إجراء عمليات النقل في التشريع الحالي ، فمن غير الواضح لماذا تسعى DUAB إلى تغيير النص”.
في نسخته المختصرة المرسلة إلى ICO ، أضاف المنتجع الصحي أن هناك خطرًا على أن Duaa “سيعتبر أنه قد تم إدراج تدابير مضادة للمنافسة من خلال تغيير تشريع حماية البيانات في المملكة المتحدة في المقام الأول لاستيعاب مقدمي الخدمات السحابية الفائقة”.
وتابع: “إذا كان من المفترض أن يتم إلغاء مشروع القانون (أو الفعل) ، فإن الموقف سيعود إلى المعالجة غير المتوافقة. سيكون من الصعب القول على خلاف ذلك ، بالنظر إلى أن مشروع القانون يغير على وجه التحديد عناصر القلق التي أبرزها SPA خلال DESC.”
وأضاف أنه على الرغم من أن متطلبات النقل قد تغيرت نتيجة لهذا القانون الجديد ، فإنها ستقدم “مدونة قواعد السلوك” للشركات للتسجيل ، والتي من المحتمل أن تعكس شروط النقل السابقة. “بالنظر إلى أن Microsoft تعتقد حاليًا أن المتطلبات في S59 هي بالنسبة لنا للامتثال وليس لها ، فقد ترفض توقيع مدونة سلوك في هذا الصدد” ، قال المنتجع الصحي.
ولاحظ أيضًا: “إذا لم يتلق DUAB الموافقة الملكية قبل نشر O365 ، فلن تكون المعالجة قانونية (بالنظر إلى أن DUAB تقوم بإجراء تغييرات على الجزء 3 على وجه التحديد لهذا الغرض).”
على الرغم من أن البيانات الواردة في هذا السياق تتعلق بهيئات الشرطة ، فإن المشكلة أوسع بكثير ، حيث يعترف كبار ممثلي Microsoft علنًا لمجلس الشيوخ الفرنسي في يونيو 2025 بأنه لا يمكن أن يضمن حماية البيانات الأوروبية من الوصول من قبل السلطات الأمريكية بموجب قانون الاستخدام الخارجي للبيانات (Cloud).
يمنح هذا بشكل فعال وصول الحكومة الأمريكية إلى أي بيانات ، مخزنة في أي مكان ، من قبل الشركات الأمريكية في السحابة.
اعترف المنتجع الصحي في DPIA بأنه على الرغم من أن الإفصاحات بموجب قانون السحابة نادرة نسبيًا في الوقت الحالي ، لا توجد حماية ضده ، “”https://observer.co.uk/news/columnists/article/the-networker-microsoft-shutting-down-email-accounts-of-trumps-foes-should-be-worrying-to-us-all”> هناك أدلة أن الإدارة الأمريكية الحالية تقوم بتثبيتها من حيث حسابات Microsoft عن خصومها “.
بينما يقول SPA DPIA”https://www.computerweekly.com/news/366588859/ICO-police-cloud-guidance-released-under-FOI”> مكتب مفوض المعلومات اقترح (ICO) (“https://www.computerweekly.com/news/366588859/ICO-police-cloud-guidance-released-under-FOI”> في النصيحة السابقة التي تم الإبلاغ عنها بالفعل بواسطة Computer Weekly ، والتي سبقت Duaa) أن تستخدم الشرطة في المملكة المتحدة بيانات معالجة الخدمات السحابية في الخارج إذا كانت “الحماية المناسبة” معمول بها ، فقد أشار أيضًا إلى أن “الافتقار المستمر إلى التعاريف الواضحة لهذه الحماية يخلق عدم اليقين والثغرات القانونية المحتملة لوكالات إنفاذ القانون”.
أخبر سايرز Computer Weekly أنه “يثير القلق” أن تستمر الشرطة في اسكتلندا و Microsoft في الاعتماد على إرشادات من ICO أنه يمكن استخدام تدابير الناتج المحلي الإجمالي في المملكة المتحدة لمعالجة التزامات الجزء 3: “هذا غير صحيح تمامًا – لا يمكنك استبدال نظام بحماية البيانات لآخر في هذا الطريق ، وفي حين أن الناتج المحلي الإجمالي يتوقع نقل البيانات بشكل روتيني ، فإن الجزء 3 يقيد هذا الأمر”.
وفقًا للمصدر المجهول لـ Computer Week ، فإن المستندات التي تم الكشف عنها بموجب FOI “تغلف كل ما هو خاطئ في استخدام المملكة المتحدة للسحابة”.
وأضافوا: “إن إقرار المنتجع الصحي بأنه يمكن اعتبار Microsoft على أنه تلقي معاملة مواتية ، في انتهاك لقواعد المشتريات الخاصة بنا ، يشير إلى أن المنتجع الصحي يحافظ ببساطة على أصابعه على أمل ألا يواجه نهجه المضاد للمنافسة.
وأضاف المصدر كذلك: “إن الأمل غير المجدي في المنتجع الصحي في أن يوقع Microsoft مدونة قواعد سلوك … لجعل جميع المشكلات والمخاطر تختفي ببساطة ليست جيدة بما يكفي – لقد حان الوقت لأن يكون المنتجع الصحي قد استيقظ على حقيقة أن لديها خيارًا ، وأن ممارسة هذا الاختيار سيقلل من خانق Microsoft على إنفاذ القانون في المملكة المتحدة والمساعدة في الحد من الخلاصات الرقمية للمملكة المتحدة لصالح Vyperscale Dupoly”.
اتصلت الكمبيوتر الأسبوعي بكل من الشرطة اسكتلندا والمنتجع الصحي حول سبب ضغوطهم للمشروع ، على الرغم من سلوك Microsoft ومخاطر حماية البيانات الواضحة المحددة ، ولكن لم يتم الرد مباشرة على النقاط التي أثيرت.
وقال متحدث باسم المنتجع الصحي: “تعترف السلطة بالفوائد المحتملة لاستخدام Microsoft 365 للشرطة. نحن نعمل مع Police Scotland ومكتب مفوض المعلومات لفهم وتخفيف المخاطر المحتملة المرتبطة باستخدامها المحتمل.”
ومع ذلك ، أكد المنتجع الصحي أنه لا يستخدم حاليًا M365 في السحابة.
صخرة ومكان صعب
في حين أن المنتجع الصحي الذي لوحظ في الوثائق التي تم إصدارها أنها لن تتسامح عادةً مع هذه العتامة من الموردين الآخرين ، إلا أنه قال أيضًا إن تخليص Microsoft ليس عملية نظيفة.
تسليط الضوء على إعداد البرنامج الوطني للتمكين (NEP)-وهي مبادرة تم إنشاؤها بشكل مشترك في عام 2017 من قبل مجلس رؤساء الشرطة الوطنيين (NPCC) ورابطة مفوضي الشرطة والجريمة (APCC) لقيادة تسليم طرق جديدة من سحابة العمل في جميع أنحاء الولايات المتحدة.
“من خلال عدم استخدام Microsoft ، لن يتبع SPA نهج NEP ، مما يؤدي إلى انحراف كبير عن البرنامج ومشاكل PSOs [Police Scotland] التبني بالنظر إلى البنية التحتية لتكنولوجيا المعلومات المشتركة لدينا.
“إن إمكانية العثور على موردين آخرين يمكنهم تقديم خدمة مماثلة هي عن بُعد ، مما يعني إنشاء وانعطاف لموردين متعددين بتكاليف لمرة واحدة. الإدارة المستمرة للعقود المتعددة ستكون تستغرق وقتًا طويلاً وتزيد من خطر فقدان الخدمة المحتملة.”
لاحظت DPIA أيضًا أنها ستكون أكثر تكلفة ، مثل”https://www.computerweekly.com/feature/Police-Digital-Service-staff-arrests-Everything-you-need-to-know”> الخدمة الرقمية للشرطة (PDS) ، الذي يتم تكليفه بالإشراف على تطوير ونشر الجوانب المتعددة”https://www.computerweekly.com/news/252477804/Digital-strategy-for-2020-2030-sets-out-police-technology-plans”> الإستراتيجية الرقمية للشرطة الوطنيةتمكنت من الاتفاق على التسعير المشترك وخصومات قوات الشرطة باستخدام Microsoft.
“هذا يعني أن مصطلحات الخدمة عبر الإنترنت من Microsoft وإضافة معالجة البيانات تنطبق مباشرة بين كل قوة كوحدة تحكم و Microsoft كمعالج”. “من تلقاء أنفسهم ، لن يتمكن PSOS/SPA من تأمين هذه الخصومات.”
من بين قوات الشرطة الثلاثين المشاركة في برنامج M365 الأولي ، استجاب 29 إلى FOIs لـ Computer Week بأنهم لم يكملوا DPIAs الخاصة بهم في وقت النشر ، وأنهم يحملون “أي معلومات” على العقد أو الشروط والأحكام المعمول بها مع Microsoft.
لاحظت المنتجع الصحي في DPIA أن “NEP غير مفوض لجعل قوات الشرطة في المملكة المتحدة متوافقة مع تشريعات حماية البيانات” ، مضيفًا أنه على الرغم من أنها وفرت مخططًا لمتابعة القوات ، فإن المسؤولية على القوى الفردية لضمان الامتثال وفهم كيفية عمل الهندسة المعمارية.
وقالت DPIA المختصرة: “سبا هو المتبني المتأخر لـ Office 365. والسبب في ذلك هو العناية الواجبة التي قمنا بها”.
“نحن على دراية بالمخاطر والقضايا ، وفي رأيي ، نحن في وضع أفضل من معظم المؤسسات التي تستخدم O365 من حيث أننا قد تم تنفيذنا من خلال وثائق MS لفهم المنتج بشكل أفضل والتشاور مع كل من Microsoft و ICO لفهم المشهد والمخاطر/الفوائد. نحن لا نتطلع ببساطة إلى نشر المنتج لأن الآخر قد قام بذلك.”
