Datasoevereiniteit en veilige Microsoft-ondersteuning: een realiteitscheck.

Als u vertrouwt op Microsoft Unified Support, stelt u zich waarschijnlijk een eenvoudige vraag: kunnen we snelle, deskundige hulp krijgen zonder onze gegevens in gevaar te brengen? Recente rapportages geven aan dat het antwoord op die vraag niet langer vanzelfsprekend is, vooral voor de publieke sector en gereguleerde workloads.

Leidinggevenden zijn niet alleen bang voor downtime, er kunnen ook gevaren ontstaan op het gebied van ondersteuning: wie heeft toegang tot tickets, logboeken en live sessies, en onder welke nationale wetgeving valt dit? ProPublica ontdekte dat Microsoft in meerdere Amerikaanse instanties gebruikmaakte van in China gevestigde technici (met 'digitale begeleiders'). Hoewel Microsoft hiermee is gestopt voor systemen van het Amerikaanse ministerie van Defensie, blijven er vragen bestaan over andere omgevingen.

US Cloud volgt deze ontwikkelingen voor CIO's/CISO's en vat samen waarom jurisdictie en ondersteunende artefacten (tickets, dumps, sessie-opnames) in uw risicomodel thuishoren – en niet alleen productiegegevens. Dit bericht is bedoeld voor organisaties die op zoek zijn naar veilige Microsoft-ondersteuning zonder onduidelijkheid over personeelslocaties, subverwerkers of grensoverschrijdende toegang.

Iedereen die ooit om 2 uur 's nachts een logboek in een Sev-A-ticket heeft geplakt, weet dat ondersteuning een kwetsbaar punt is waar geheimen of vertrouwelijke informatie kunnen uitlekken. We laten zien hoe u helpdesks nuttig en soeverein kunt houden: wat u uw leverancier moet vragen en wat u vandaag nog moet beveiligen.

• Uit onderzoek in 2025 bleek dat Microsoft ingenieurs uit China had ingezet om gevoelige systemen van de Amerikaanse overheid te onderhouden, onder toezicht van lagerbetaalde 'digitale begeleiders' op afstand.
• Na de rapportage verklaarde Microsoft dat het geen gebruik meer zou maken van in China gevestigde ingenieurs voor ondersteuning van het Amerikaanse ministerie van Defensie (DoD), maar er blijven vragen bestaan over andere federale en commerciële werkzaamheden.
• Het risico betreft jurisdictieblootstelling: de wetgeving van welk land zou toegang tot uw ondersteuningsartefacten en -sessies kunnen afdwingen, ongeacht de nationaliteit van de ondersteunde organisatie.
• De Chinese nationale inlichtingenwet (artikel 7) en aanverwante maatregelen verhogen het risico op gedwongen toegang wanneer ondersteuning vanuit China wordt geleverd, waardoor gegevenssoevereiniteit en de locatie van ondersteunend personeel een belangrijke kwestie op het gebied van naleving worden.
• Ondersteuning genereert van nature gevoelige artefacten die geheimen of gereguleerde gegevens kunnen bevatten. Veel programma's gaan zorgvuldig om met productiegegevens, maar zien deze ondersteunende gegevensstromen over het hoofd.
• Onderneem nu actie: vraag uw leveranciers om veiligheidsgegevens. In de branche wordt al gesproken over deze alternatieven.

Wanneer u een Sev A-ticket opent, logbestanden deelt of een hotfix escaleert, moet u vaak het volgende aanmaken of openbaar maken:

• Ticket- en chatinhoud die configuraties, IP-adressen of inloggegevens kan bevatten die onder tijdsdruk zijn geplakt.
• Diagnostische uploads (logbestanden, geheugendumps, traces) die sleutels, tokens of PII kunnen bevatten.
• Sessies op afstand (scherm delen/JIT-beheer) die verhoogde toegang verlenen voor probleemoplossing.
• Telemetrie- en crashrapporten die systeemstatussen en soms ook stukjes data weergeven.

Als deze artefacten of bevoorrechte sessies worden behandeld door personeel dat zich fysiek in een ander rechtsgebied bevindt, kunnen uw verplichtingen uit hoofde van contracten en wetgeving (wetgeving voor de publieke sector, sectorale regels of intern beleid) in werking treden.

Het afgelopen jaar heeft ProPublica verslag gedaan van de herkomst van het ondersteunend personeel van Microsoft. Hier volgt een tijdlijn met wat we weten over wie de Unified-tickets in deze scenario's oplost:

• 15 juli 2025: ProPublica meldde dat Microsoft ingenieurs in China inzette om te helpen bij het onderhoud van Pentagon-systemen, onder toezicht van 'digitale begeleiders' die vaak niet over de technische expertise beschikten om effectief toezicht te houden.
• 18 juli 2025: Naar aanleiding van het rapport verklaarde Microsoft dat het geen gebruik meer zou maken van in China gevestigde ingenieurs voor de cloudsystemen van het Amerikaanse ministerie van Defensie (DoD).
• 18-20 juli 2025: Meerdere media hebben melding gemaakt van de verandering en de federale herzieningsactiviteiten.
• 1 augustus 2025: ProPublica bracht deze praktijk in verband met SharePoint en wees op de betrokkenheid van Chinese ingenieurs in een periode waarin de veiligheid een groot punt van zorg was.
• 25 juli 2025: ProPublica meldde ook dat China ondersteuning bood aan andere federale klanten (bijvoorbeeld het ministerie van Justitie en het ministerie van Financiën), waarmee werd benadrukt dat de aankondiging van het ministerie van Defensie niet noodzakelijkerwijs alle instanties omvatte.
• Reactie van de sector: De analyse van US Cloud vatte de reactie van de federale overheid samen en benadrukte de belangstelling voor in de VS gevestigde alternatieven van derden voor gevoelige workloads. US Cloud
• Marktsignalen: Commentaar van leidinggevenden op LinkedIn heeft de bezorgdheid vergroot en de aandacht gevestigd op het SharePoint-aspect voor leidinggevenden.

Conclusie: De specifieke verschuiving van Microsoft ten aanzien van het Amerikaanse ministerie van Defensie is opmerkelijk, maar klanten uit de publieke sector en commerciële klanten buiten het ministerie van Defensie mogen niet uitgaan van identieke bescherming zonder schriftelijke garanties.

De oorzaak van dit probleem ligt niet alleen bij de mensen en de plaats van waaruit zij ondersteuning bieden. Het gaat ook om de wetten waaraan deze ondersteuningsdeskundigen onderworpen zijn. Als de ondersteuning vanuit China wordt verleend, zijn het personeel en de bedrijven onderworpen aan de Chinese wetgeving inzake nationale veiligheid en inlichtingen. Artikel 7 van de nationale inlichtingenwet bepaalt dat organisaties en burgers het inlichtingenwerk moeten "ondersteunen, bijstaan en eraan meewerken". Juridische experts en beleidsanalisten merken op dat dit kan leiden tot gedwongen hulp, waaronder toegang tot gegevens en systemen.

Voor een CISO betekent dit dat grensoverschrijdende ondersteuning uw aanvals- en dwangoppervlak kan vergroten. Datasoevereiniteit is de praktijk waarbij u ervoor zorgt dat uw gegevens (en artefacten over uw gegevens) onder de door u gekozen jurisdictie en controle blijven, inclusief de ondersteuningslaag.

• Publieke sector: ProPublica documenteerde steun vanuit China aan het ministerie van Defensie (nu gewijzigd), het ministerie van Justitie en het ministerie van Financiën, wat duidt op blootstelling buiten defensietaken om.
• Gereguleerde sectoren: Financiële dienstverlening, gezondheidszorg en kritieke infrastructuur maken vaak gebruik van ondersteuning en verzenden regelmatig diagnostische gegevens die gereguleerd of vertrouwelijk materiaal kunnen bevatten (bijv. PHI, authenticatielogboeken, geheimen in dumps). Zelfs wanneer productiegegevens worden gescheiden, kunnen ondersteuningsartefacten opnieuw risico's met zich meebrengen.

Veilige Microsoft-ondersteuning en onveilige Microsoft-ondersteuning kunnen er hetzelfde uitzien, afhankelijk van wie die service levert. De volgende scenario's zijn niet riskant als u te maken hebt met gerenommeerde ondersteuning, maar ze kunnen ernstige veiligheidsrisico's opleveren wanneer u te maken hebt met onveilige ondersteuningssituaties.

• Ticketverspilling: ingenieurs vragen om 'volledige logbestanden' of schermafbeeldingen; geheimen sluipen in artefacten die buiten uw primaire regio worden opgeslagen.
• Crash dumps & traces: geheugenshots kunnen API-sleutels of PII bevatten; waar worden deze verwerkt en door wie?
• Beheersessies op afstand: "Break-glass"-toegang verhoogt de privileges; de inhoud van de sessie kan worden bekeken, opgenomen of op grond van lokale wetgeving worden opgelegd.
• Hotfix/bronbeoordelingen: Bij ernstige escalaties kunnen leveranciers om code of configuraties vragen, waardoor IP/geheime informatie openbaar wordt gemaakt.

Dit zijn routinehandelingen in complexe Microsoft-omgevingen; in veel gevallen zijn ze noodzakelijk voor het oplossen van ingewikkelde IT-problemen. Het verschil zit hem echter in de locatie waar de mensen die deze handelingen uitvoeren, zich bevinden.

Er is een manier om de onzekere ondersteuning van Microsoft te omzeilen. Uw eerste stap is om uw beveiligingsproblemen met uw leverancier te bespreken. Hieronder vindt u enkele onderwerpen die u met uw contactpersoon bij uw leverancier kunt bespreken. Als zij uw vragen niet kunnen beantwoorden, moet u uw problemen wellicht escaleren of alternatieve ondersteuningsoplossingen gaan overwegen.

Als u denkt dat uw Microsoft-ondersteuning misschien niet zo veilig is als u eerder dacht, dan zijn er strategieën die u kunt gebruiken om uw team te helpen uw Microsoft-ondersteuning weer veilig te maken.

De wijziging van Microsoft die alleen voor het Amerikaanse ministerie van Defensie geldt, is een begin, maar andere overheidsinstanties en bedrijven zouden om schriftelijke gelijkwaardigheid of strengere voorwaarden moeten vragen, vooral wanneer wettelijke geheimhouding of PII/PHI in het geding is. Uit rapportages blijkt dat personeel in China in het verleden ook andere federale klanten heeft ondersteund. Stel de ongemakkelijke vragen en leg de antwoorden vast in uw contracten.

Compliance in IT-ondersteuning is meer dan alleen SLA's en responstijden. Het gaat ook om waar uw helpers zich bevinden, welke wetten voor hen gelden en waar uw artefacten zich bevinden. Stem ondersteuning af op data-soevereiniteit door ontwerp, sta op duidelijkheid over jurisdictie en versterk het ondersteuningspad met technische en contractuele controles. De feiten die in 2025 naar voren komen, laten zien wat er op het spel staat – en welke weg we moeten inslaan.

Maak vandaag nog een afspraak met US Cloud om te kijken naar veilige alternatieven voor Microsoft-ondersteuning als je Unified CSAM of vertegenwoordigers je geen bevredigende antwoorden kunnen geven.