”Kun yhdistetään tietosuojaongelmat, riippuvuusriskit, kustannukset ja Microsoftin tahallaan korjaamatta jättämä kriittinen tietoturva-aukko, eurooppalaisilla käyttäjillä on vahvat perusteet harkita vaihtoehtoisia ratkaisuja amerikkalaisjätille”, sanoo tietoturva-asiantuntija Jarmo Laakso 3NFocus-yhtiöstä.

”Avoimen lähdekoodin vaihtoehdot kuten Nextcloud, LibreOffice ja Linux-pohjaiset käyttöjärjestelmät tarjoavat sekä läpinäkyvyyttä, tietosuvereniteettia että mahdollisuuden todelliseen kontrolliin omista järjestelmistä ja tiedoista”, Laakso listaa.

Itävallassa toimittiin jo

Laakso korostaa, että yhdysvaltalaisen yrityksen käsitellessä dataa Yhdysvaltain lakien mukaisesti syntyy väistämättä ristiriitoja EU:n tiukkojen tietosuojasäädösten kanssa.

”Cloud Act antaa USA:n viranomaisille pääsyn tietoihin tietyissä tilanteissa, mikä on suorassa konfliktissa GDPR:n kanssa”, hän täsmentää.

Esimerkiksi Itävallan tietosuojaviranomainen päätti, että Microsoft oli seurannut oppilaita laittomasti Microsoft 365 Education -palvelun kautta ja rikkonut useita GDPR-määräyksiä. Viranomaisen päätös tuli sen jälkeen, kun yksityisyydensuojajärjestö Noyb oli tehnyt valituksen vuonna 2024 erään opiskelijan puolesta.

Laakson mukaan eurooppalaiset organisaatiot ja hallitukset haluavat yhä useammin pitää datan EU:n alueella. Tietosuvereniteetti ei olekaan enää vain teoreettinen kysymys, vaan strateginen välttämättömyys.

”EU pyrkii aktiivisesti vähentämään riippuvuutta yhdysvaltalaisista teknologiayrityksistä eurooppalaisten vaihtoehtojen tukiessa tätä tavoitetta. Se vahvistaa myös EU-maiden taloutta.”

Laakso huomauttaa myös, että Microsoft 365 -lisenssit voivat olla kustannuksiltaan raskaita, erityisesti suurille organisaatioille. Avoimen lähdekoodin vaihtoehdot kuten esim. LibreOffice ja Linux tarjoavat hänen mukaansa merkittäviä säästöjä ilman toimittajasidonnaisuutta.

Huolestuttava haavoittuvuus CVE-2025-9491

Laakso pitää huolestuttavimpana Windows-haavoittuvuutta CVE-2025-9491,  jota valtioiden tukemat hakkerit Pohjois-Koreasta, Iranista, Venäjältä ja Kiinasta ovat hyödyntäneet jo vuodesta 2017 lähtien.

”Vaikka Microsoft lopulta korjasi haavoittuvuuden, se tapahtui vasta kahdeksan vuoden luvattoman hyödyntämisen jälkeen ja vasta kun julkinen paine kasvoi liian suureksi”, Laakso kuvaa. ”Se osoittaa huolestuttavaa ylimielisyyttä kriittisten tietoturvaongelmien käsittelyssä – erityisesti kun kyseessä on haavoittuvuus, josta Microsoft oli tietoinen ja jonka se alun perin päätti jättää korjaamatta.”