DBA.nl

De Database Experts!

Kan Fabric omgaan met onze data soevereiniteits- en residency-eisen?

Ed Kisman ·
Serverruimte met stalen rack waarop de Nederlandse vlag weerspiegelt, hangslot op metalen kast, blauwe en zilveren tinten met amber verlichting.

Microsoft Fabric kan omgaan met data-soevereiniteits- en residency-eisen, maar alleen als je de juiste instellingen configureert en begrijpt waar de grenzen liggen. De mate waarin Fabric aan jouw specifieke eisen voldoet, hangt sterk af van de regio-instellingen binnen je tenant, de aard van je gegevens en de geldende wet- en regelgeving in jouw sector. Dit artikel beantwoordt de meest gestelde vragen over Fabric en data compliance, van de basisconcepten tot de praktische toetsing.

Wat zijn data soevereiniteit en data residency precies?

Data residency is de vereiste dat gegevens fysiek worden opgeslagen binnen een bepaald geografisch gebied, zoals de Europese Unie of Nederland. Data soevereiniteit gaat een stap verder: het betekent dat gegevens onderworpen zijn aan de wet- en regelgeving van het land of de regio waar ze zich bevinden, ongeacht wie de eigenaar is of waar het bedrijf is gevestigd.

Het onderscheid tussen beide begrippen is praktisch relevant. Een organisatie kan data residency hebben geregeld door opslag binnen de EU te garanderen, maar toch problemen ondervinden met data soevereiniteit als een buitenlandse cloudprovider onder een andere jurisdictie valt. Denk aan de Amerikaanse CLOUD Act, die Amerikaanse autoriteiten onder bepaalde omstandigheden toegang kan geven tot data die door Amerikaanse bedrijven wordt beheerd, ook als die data fysiek in Europa staat.

Voor Nederlandse organisaties, zeker overheidsinstellingen en bedrijven in gereguleerde sectoren, zijn beide dimensies van belang. De vraag is niet alleen waar data staat, maar ook wie er juridisch toegang toe kan krijgen en onder welk rechtsstelsel dat valt.

Hoe verwerkt Microsoft Fabric data geografisch?

Microsoft Fabric slaat data standaard op in de regio die is gekoppeld aan jouw Microsoft 365-tenant. Als jouw tenant is geconfigureerd voor de West-Europa- of Noord-Europa-regio, worden de meeste gegevens binnen de Europese Unie verwerkt en opgeslagen. Microsoft biedt echter geen garantie dat alle datastromen, inclusief metadata en telemetrie, binnen dezelfde regio blijven.

Fabric maakt gebruik van OneLake als centraal opslagmechanisme. OneLake is ontworpen als een uniforme datameer voor de hele organisatie, waarbij de opslaglocatie wordt bepaald door de capaciteitsregio die je instelt bij het aanmaken van een Fabric-werkruimte. Dit geeft je directe controle over waar de primaire opslag plaatsvindt.

Wat minder transparant is, zijn de achterliggende services die Fabric gebruikt voor verwerking, zoals Spark-clusters voor dataverwerking of AI-functies. Deze kunnen tijdelijk data verplaatsen naar andere regio’s voor verwerking, afhankelijk van beschikbaarheid en configuratie. Voor organisaties met strikte residency-eisen is het daarom essentieel om niet alleen de opslaglocatie, maar ook de verwerkingslocatie te controleren via de Microsoft Fabric instellingen.

Welke Fabric-instellingen beïnvloeden data residency?

Binnen Microsoft Fabric zijn er meerdere configuratie-opties die direct invloed hebben op waar jouw data wordt opgeslagen en verwerkt. De belangrijkste instelling is de capaciteitsregio: bij het aanmaken van een Fabric-capaciteit kies je een Azure-regio, en alle werkruimtes die aan die capaciteit zijn gekoppeld, gebruiken die regio als primaire opslaglocatie.

Andere relevante instellingen zijn:

  • Multi-Geo ondersteuning: Fabric biedt beperkte ondersteuning voor multi-geo configuraties, waarbij je data in specifieke regio’s kunt vastzetten. Dit is relevant als je teams in meerdere landen hebt, maar data toch regionaal wilt scheiden.
  • Tenant-instellingen voor data-export: Via het Fabric Admin Portal kun je instellen of data buiten de tenantregio mag worden verzonden, bijvoorbeeld voor AI-functies of externe integraties.
  • Privé-eindpunten en netwerkinstellingen: Door gebruik te maken van Azure Private Link kun je netwerkverkeer beperken tot jouw eigen infrastructuur, wat een extra laag van controle biedt.
  • Sensitivity labels en Microsoft Purview: Deze tools helpen bij het classificeren en monitoren van gevoelige data, zodat je inzicht hebt in welke gegevens waar worden verwerkt.

Het is verstandig om bij de inrichting van Fabric een expliciete compliance-checklist te doorlopen en de tenant-instellingen te documenteren. Wijzigingen in capaciteitsregio’s na de initiële setup zijn namelijk beperkt mogelijk en kunnen migraties vereisen.

Voldoet Microsoft Fabric aan de AVG en Europese wetgeving?

Microsoft Fabric voldoet aan de AVG (Algemene Verordening Gegevensbescherming), mits correct geconfigureerd. Microsoft is gecertificeerd voor een breed scala aan Europese en internationale compliance-standaarden, waaronder ISO 27001, ISO 27018 en SOC 2. Voor de AVG biedt Microsoft een verwerkersovereenkomst (Data Processing Agreement) die voldoet aan de vereisten van de Europese wetgeving.

De naleving van de AVG is echter een gedeelde verantwoordelijkheid. Microsoft zorgt voor de technische en organisatorische maatregelen aan de kant van het platform, maar de verwerkende organisatie blijft verantwoordelijk voor de juiste configuratie, de doeleinden van verwerking en het beheer van toegangsrechten.

Voor Nederlandse overheidsorganisaties gelden aanvullende eisen, zoals die voortvloeien uit de Baseline Informatiebeveiliging Overheid (BIO) en sectorspecifieke richtlijnen. Fabric biedt de technische basis om aan deze eisen te voldoen, maar de implementatie vereist gerichte keuzes op het gebied van regio-instellingen, toegangsbeheer en auditlogging. Meer specifiek over de inzet van Fabric in de publieke sector lees je via Microsoft Fabric voor de overheid.

Wanneer volstaat Fabric niet voor strikte soevereiniteitseisen?

Microsoft Fabric volstaat niet voor organisaties waarbij absolute data soevereiniteit vereist is, inclusief volledige uitsluiting van toegang door buitenlandse autoriteiten. Dit geldt met name voor instellingen die werken met staatsgeheimen, defensiegerelateerde informatie of persoonsgegevens van bijzondere categorieën waarbij nationale wetgeving geen gebruik van commerciële cloudoplossingen toestaat.

Concrete situaties waarbij Fabric mogelijk niet passend is:

  • Organisaties die verplicht zijn te werken met een gecertificeerde soevereine cloud of een on-premises omgeving zonder externe verbindingen.
  • Sectoren waarbij de toezichthouder expliciet vereist dat geen enkele buitenlandse partij juridisch of technisch toegang kan hebben tot de data.
  • Gevallen waarbij de CLOUD Act-risico’s als onaanvaardbaar worden beoordeeld door de juridische afdeling of een externe privacy-adviseur.
  • Omgevingen waarbij realtime controle over alle verwerkingslocaties, inclusief tijdelijke buffers en cacheopslag, is vereist.

In die gevallen zijn alternatieven zoals een volledig on-premises dataplatform of een gecertificeerde soevereine cloudoplossing meer geschikt. Fabric kan dan eventueel worden ingezet voor minder gevoelige workloads, terwijl kritieke data in een afgeschermde omgeving blijft.

Hoe toets je of Fabric past bij jouw compliance-eisen?

Om te beoordelen of Microsoft Fabric past bij jouw data residency- en soevereiniteitseisen, doorloop je een gestructureerde toetsing op basis van drie assen: juridische vereisten, technische configuratiemogelijkheden en organisatorische risicobereidheid.

Een praktische aanpak ziet er als volgt uit:

  1. Breng de wet- en regelgeving in kaart: Welke specifieke eisen gelden voor jouw sector en type data? Denk aan AVG, BIO, NIS2 of sectorspecifieke richtlijnen van toezichthouders.
  2. Identificeer de datatypes: Niet alle data heeft dezelfde gevoeligheid. Maak onderscheid tussen openbare data, bedrijfsgevoelige data en bijzondere persoonsgegevens, en bepaal per categorie welke eisen gelden.
  3. Toets de Fabric-configuratiemogelijkheden: Controleer of de gewenste capaciteitsregio beschikbaar is, welke services data buiten die regio kunnen verwerken en welke beheersinstellingen beschikbaar zijn.
  4. Voer een Data Protection Impact Assessment (DPIA) uit: Voor verwerkingen met hoog risico is een DPIA verplicht onder de AVG. Dit geeft ook inzicht in resterende risico’s na configuratie.
  5. Leg keuzes vast in documentatie: Zorg dat de gekozen instellingen, de verwerkersovereenkomst met Microsoft en de interne verwerkingsregisters op orde zijn.

Een onafhankelijke technische review door een databeheerspecialist kan helpen om blinde vlekken te identificeren, met name rondom de minder zichtbare verwerkingsstromen binnen Fabric.

Hoe DBA helpt met Microsoft Fabric en data compliance

Bij DBA helpen we organisaties om Microsoft Fabric verantwoord in te richten, met oog voor data soevereiniteit, residency-eisen en de geldende wet- en regelgeving in Nederland. Onze senior database administrators combineren diepgaande technische kennis van cloudplatforms met praktische ervaring bij zowel bedrijven als overheidsinstellingen.

Wat wij concreet voor je doen:

  • Analyse van jouw specifieke compliance-eisen op basis van AVG, BIO en sectorregulering
  • Technische inrichting van Fabric-capaciteiten met de juiste regio- en beveiligingsinstellingen
  • Uitvoering of begeleiding van een DPIA voor Fabric-gerelateerde verwerkingen
  • Opstellen en controleren van de verwerkersovereenkomst met Microsoft
  • Doorlopend beheer en monitoring van jouw Fabric-omgeving, inclusief toegangsbeheer en auditlogging
  • Advies over hybride scenario’s waarbij Fabric wordt gecombineerd met on-premises databasebeheer

Wil je weten of Microsoft Fabric past bij de compliance-eisen van jouw organisatie? Neem contact met ons op voor een vrijblijvend gesprek met een van onze specialisten.

Gerelateerde artikelen

Gerelateerde artikelen