Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 62 reacties

Microsoft is het eerste bedrijf dat een internationale standaard ondersteunt die privacybescherming voor persoonlijke gegevens bij clouddiensten moet garanderen. De ISO 27018-standaard moet onder andere garanderen dat bedrijven persoonsgegevens niet verkopen aan adverteerders.

De ISO/IEC 27018-standaard van de International Organization for Standardization bevat richtlijnen voor organisaties die clouddiensten aanbieden. De organisaties kunnen de richtlijnen gebruiken om maatregelen door te voeren om persoonsgegevens te beschermen. Externe bureaus kunnen vervolgens verifiëren of dit correct gebeurd is.

Volgens Microsoft is het British Standards Institute bij controles tot de conclusie gekomen dat Azure, Office 365 en Dynamics CRM Online voldoen aan de standaard en Bureau Veritas zou hetzelfde gedaan hebben voor Microsoft Intune.

De standaard zorgt volgens Microsoft voor garanties op het gebied van het beheer van de gebruikers zelf over hun persoonlijke gegevens, transparantie over wat er met de data gebeurt en de beveiliging van de gegevens. Ook moeten bedrijven die de standaard ondersteunen ervoor zorgden dat de data niet gebruikt wordt voor advertenties en moeten ze gebruikers inlichten als overheden toegang tot de gegevens hebben gevorderd.

Moderatie-faq Wijzig weergave

Reacties (62)

Kijk nu zijn de eerste stappen gezet, niet dat mijn documenten zo belangrijk zijn op onedrive, maar zou dit dan ook gelden voor mijn outlook mails?
Neen, Outlook valt niet onder Office 365, inTune, Dynamics of Azure.
Van Outlook.com wordt er wel statistieken gebruikt, en wordt de data wel gebruikt.

In het geval van Office365/CRM/Azure/inTune is dat niet het geval :
As a customer of Office 365, you own and control your data. We do not use your data for anything other than providing you with the service that you have subscribed for. As a service provider, we do not scan your email or documents for advertising purposes.
https://products.office.c...loud-security-and-privacy

Ik vindt het een mooie uitbreiding op de reeds gehaalde certificaten en commitments van MS:
HIPAA, DPAs, FISMAn, ISO 27001, EU Model Clauses, US-EU Safe Harbor, FERPA, PEPDA, GLBA

Op dit moment is dan ook enkel Microsoft die deze zaken garandeerd en publiceert.

[Reactie gewijzigd door tc982 op 16 februari 2015 19:34]

Jawel, als je office 365 en exchange online gebruikt wordt je data opgeslagen op Azure. Dat valt dan dus ook onder de ISO standaard.

Het zelfde geldt voor alle andere online diensten van Microsoft.
Exchange Online is onderdeel van Office 365, net zoals alle andere "online" diensten ( Sharepoint, Lync, Yammer enz. ). Office 365 is maar een bundel van services. Niet een product.

Outlook.com valt niet onder hun Azure platform. Enkel de onderste service laag is gedeeld. De rest is niet gedeeld. Vandaar ook geen ondersteuning daarvoor.

[Reactie gewijzigd door tc982 op 17 februari 2015 18:20]

Als het goed is wel aangezien deze dan weer op de cloud van Microsoft zit
Zowel hier als in het artikel van Microsoft worden alleen zakelijke diensten (zoals Office 365 en Azure) genoemd. Ik neem dan ook aan dat het niet geldt voor consumenten diensten.
Verhaal lijkt bedacht te zijn om mensen zand in de ogen te strooien. Je data is bij Microsoft (/ander Amerikaans bedrijf) nooit veilig aangezien je overgeleverd bent aan de Patriot Act die 0,0 bescherming biedt voor informatie van niet-Amerikaanse staatsburgers. Daarnaast laten de Snowden slides zien dat de NSA een flinke greep op Microsoft heeft. Aan beide zaken daar gaat deze ISO standaard echt niets aan veranderen.
De ISO 27018-standaard moet onder andere garanderen dat bedrijven persoonsgegevens niet verkopen aan adverteerders.
Google verkoopt je gegevens ook niet. Ze verkopen advertenties. Ook dit helpt niet veel.
Ook moeten bedrijven die de standaard ondersteunen ervoor zorgden dat de data niet gebruikt wordt voor advertenties en moeten ze gebruikers inlichten als overheden toegang tot de gegevens hebben gevorderd.
Denk je het zelf? MS mag helemaal niets zeggen tegen gebruikers, dit wordt ze opgelegd door de autoriteiten of de rechter.

[Reactie gewijzigd door ChicaneBT op 16 februari 2015 19:31]

Gelukkig staat je data als Europeaan in Europa en zit je dus aan Europese wetgeving. Verder weigert Microsoft nog steeds mails van Europeanen te overhandigen aan de Amerikaanse overheid.
Dat is dus niet zo.

De patriot act zegt dat het totaal niet relevant is waar de data staat, het is een Amerikaans bedrijf of verwant er aan dus gewoon inleveren op verzoek.. Wat overigens tegenstrijdig is met de europese wetgeving erover.
En dus weigert Microsoft ook.
Ik zou daar niet van uit gaan, wat naar buiten komt is wat naar buiten mag komen.

Informatie en opvragingen onder de patriot act mag niet naar buiten gebracht worden.
Niet kort door de bocht gaan, Microsoft is de enigste die daar open tegen in gaat. Ze steunen ook actief klanten met een rechtzaak daaromtrent:

We also will take new steps to reinforce legal protections for our customers’ data. For example, we are committed to notifying business and government customers if we receive legal orders related to their data. Where a gag order attempts to prohibit us from doing this, we will challenge it in court. We’ve done this successfully in the past, and we will continue to do so in the future to preserve our ability to alert customers when governments seek to obtain their data. And we’ll assert available jurisdictional objections to legal demands when governments seek this type of customer content that is stored in another country.
http://blogs.microsoft.co...from-government-snooping/
Ik denk dat Microsoft hier inderdaad wel tegen wil vechten. Ik dacht dat Microsoft (samen met nog een bedrijf waar ik naam van ben vergeten) er voor aan het vechten is om Europese date te verzamelen in hun datacenter in Ierland ipv ergens in US juist voor die patriot act.

De grote bedrijven (MS, Google, Apple) gaan soms laks om met onze privacy en dan staat de EU rap te roepen op deze bedrijven maar als MS zelf vraagt om data in Ierland te kunnen verzamelen zwijgt de EU. Ik denk dat dit niet enkel van bedrijven afhankelijk is maar dat de politiek hier zich, helaas, ook in zal moeten moeien.
De Cloud diensten zijn zo ingesteld dat er enkel data in het continent van oorsprong wordt opgeslagen. In Amerika is dat West en East Coast. In Europa Dublin en Amsterdam.

[Reactie gewijzigd door tc982 op 16 februari 2015 20:44]

Zover ik weet kan je bij het aanmaken van je resources nog steeds zelf kiezen waar je die wilt hosten. Die optie geeft de Azure Management Portal mij in ieder geval. Dat betekent dus dat je data wel degelijk in de US gehost kan staan, zowel een SQL database als eventuele Blob Storage.
Dat lijkt me ook vrij logisch aangezien de mogelijkheid om global services te creŽren anders vroegtijdig om zeep geholpen wordt. In dat geval wil je vaak de resources zo dicht mogelijk bij de eindgebruiker hebben, maar dat is vaak niet bepaald dicht bij je eigen voordeur.

Wat ik me voor kan stellen is dat er onder water automatisch zal worden overgeschakeld naar een datacenter dat dichter bij huis is als hier resources zijn aangemaakt ťn toegewezen aan de betreffende applicatie. Maar om te zeggen dat de data altijd alleen op het continent van herkomst wordt opgeslagen is zover ik weet niet waar.

Edit: Zowel de Azure 'Full' Portal als de 'Preview' Portal bieden mij automatisch aan om een nieuwe SQL Database, SQL Server, Blob Storage of Website in 'North US' te hosten... Ik verwacht dan ook niet dat er Łberhaupt bij het opslaan van data wordt gekeken naar het continent van herkomst, je moet zelf, bewust en handmatig aangeven dat je het toch echt niet in de US wilt hosten.

[Reactie gewijzigd door Raventhorn op 16 februari 2015 22:10]

Was dat niet NADAT bekend gemaakt werd dat Microsoft er in het verleden totaal niet tegen protesteerde?

Wellicht ben ik te cynisch, maar ik denk dat het toch echt een PR move is.
Misschien ben ik nu cynisch, maar volgens mij is alles bij commerciŽle bedrijven gebaseerd op PR moves. Zeker de grote bedrijven die vooral voor de aandeelhouders werken.
Waarbij je ook niet naÔef moet zijn om Microsoft te verheffen tot burgerrechten-activistisch bedrijf.

De reden dat ze zo actief zich inspannen, en als je miljarden op de bank hebt kun je een boel economische en politieke druk uitvoeren en heel dure advocaten teams inzetten, is natuurlijk om klanten tegemoet te komen, gerust te stellen en om daardoor meer klanten te verwerven, te binden en zo rendement te behalen voor de aandeelhouders.

Wij belanghebbenden, die van privacy houden laten zodoende een commercieel bedrijf met middelen voor ons vechten, we gebruiken hen genadeloos in die zin. En we weten dat Microsoft ons ondankbare klanten wel tegemoet moet komen, anders hebben we kritiek. Rare wereld, dat het summum van kapitalisme onze stok is tegen de te ver gaande overheid. Onze linkerhand grijpt de ballen van Microsoft, onze rechter die van de overheid. De overheid grijpt de ballen van Microsoft en van de burger en Microsoft heeft ook twee grijpende handen, raad maar waar die zitten.
Daarom zetten bedrijven ook een regel of alinea in hun privacybeleid waarmee wordt gezegd dat ze 'hier nog niet aan hebben moeten voldoen', welke ze verwijderen zodra dat wel gebeurt. Zo is dit een half jaar geleden bij Apple gebeurd.
Dat kan best zijn, maar MS heeft de data uit het data center in Ierland niet aan de autoriteiten
Waarop baseer je die informatie?
Ze mogen namelijk niet bekend maken wat ze aan informatie doorgeven, het zou ook imago schade zijn dat bekend te maken.
Omdat er een rechtzaak loopt in de VS over het feit dat MS weigert de data vrij te geven.
http://blogs.microsoft.co...tion-foreign-data-demand/
Die Patriot Act is niet zo heel relevant hier. Het is een soort soundbite geworden. De Amerikaanse overheid vindt dat ze gegevens kan opvragen bij Microsoft USA ongeacht waar data opgeslagen zit. Dat valt niet eens specifiek onder de Patriot Act.

Nederland is niet anders. Die vindt ook dat ze data kan opvragen bij Microsoft NL ongeacht waar die data opgeslagen is. Om die reden is het erbij halen van de Patriot Act dus ook al niet zo relevant, want alle landen vinden dit namelijk.

Het is dus tijd dat er afspraken komen onder welke wet data valt onder welke omstandigheden. Echter geen enkele overheid, ook de Nederlandse, zal graag afscheid nemen van de zichzelf toegwezen rechten.

Merk overigens op dat Microsoft bij bedrijfspakketen ook toestaat eigen servers te gebruiken, of serverbeheer bij een 3rd party te zetten. Je kunt dus de Microsoft cloud gebruiken en toch zorgen dat de data opgeslagen is in de EU bij een niet-Amerikaans bedrijf.
Dan hoef je je dus helemaal niet druk te maken om de Patriot Act. Enkel om de bij wijze van spreke 'Holland Act' of een van de talloze EU richtlijnen die data opvragen in de EU legaal maken voor Europese overheden _/-\o_
Zoals je zelf al zegt, dit gaat in tegen de Europese wetgeving, en Microsoft (en nog een paar andere) is daardoor nu in een rechtszaak verwikkeld met de VS omdat ze die mails (en alle andere data) niet willen overhandigen.

Daarbij, je kan de "Microsoft Cloud" net zo goed stand alone, weg van een organisatie die iets met Amerika te maken heeft, draaien.

[Reactie gewijzigd door Loller1 op 16 februari 2015 21:30]

Niet helemaal waar, in het geval van Office365 is het zo dat twe datacenters dicht bij huis krijgt (Amerika, Europa of Azie). Een primaire en secundaire, maar je krijgt ook een derde als extra fail safe en jij mag raden waar die altijd staat. ;)
Ik vind persoonlijk dat er een groot verschil zit in data gebruiken voor advertenties en het doorverkopen dan het uitleveren van data aan de overheid. Natuurlijk heb je beide liever niet, maar voor mij zit hier toch wel degelijk een verschil tussen. De ISO standaard is naar wat ik begrijp ook gericht op het commercieel gebruik van de data en gaat niet over het uitleveren aan overheden.
Niet te snel oordelen, Microsoft lijkt bijzonder stug te zijn in het overhandigen van data. Zie hier nog een nieuwsbericht van afgelopen jaar:
nieuws: Rechter berispt Microsoft om weigering e-mails te overhandigen

Ze zullen ook wel moeten. Microsoft zet maximaal in op abonnementsdiensten en cloudopslag, dus als ze hiermee negatief in het nieuws komen door te gemakkelijk gegevens te verstrekken kan ze dat duur komen te staan.

Dropbox daarentegen lijkt weer een geheel andere houding te hebben wat betreft het verstrekken van persoonlijke informatie:
nieuws: Dropbox gaf in halfjaar bestanden van 149 accounts aan de politie
Microsoft kan nog zo stug zijn en nog zulke goede intenties hebben, als de NSA backdoors in/tussen hun servers inbouwt, de NSA data opeist volgens (geheime) wetten en/of simpelweg ALLE communicatie afluisterd, sja...

Wat betekend die goede intentie dan nog?

Ik zou in elk geval nooit van m'n leven noch mijn persoonlijke data noch mijn bedrijfsdata op een server in Amerika zetten. Of die nou van Google is of van Microsoft of van een ander bedrijf.
Geen Facebook?
[sarcasm]
Heb jij soms iets te verbergen? :+
[/sarcasm]
Verhaal lijkt bedacht te zijn om mensen zand in de ogen te strooien. Je data is bij Microsoft (/ander Amerikaans bedrijf) nooit veilig aangezien je overgeleverd bent aan de Patriot Act die 0,0 bescherming biedt voor informatie van niet-Amerikaanse staatsburgers.
Tja. Dat komt omdat al deze bedrijven Amerikaans zijn. Eigen schuld Europa, eigen schuld.
Moet zeggen dat Microsoft altijd (de afgelopen zes jaar :) ) al het gevoel heeft gegeven dat ze echt iets om mijn privacy geven. In bijvoorbeeld outlook.com zie ik geen reclames die aan mijn mail zijn te linken. OneDrive heeft een degelijk deel systeem en als je terms of usage leest kom ik er in ieder geval niks raars in tegen.
Maar als het niet gratis is. Hoe verdient Microsoft dan aan jou met betrekking tot de mail en OneDrive? Leg eens hun verdien model hierover uit aan mij. Want ik weet het niet. :)
Je kunt betalen voor meer OneDrive opslag, je kunt betalen om de rechterbalk met advertenties in outlook.com te verwijderen. Door Office 365 verdienen ze ook aan OneDrive...
Heb ik even geluk. Ik open mijn gmail en mijn adblocker zegt: 0 Advertenties gevonden.
En outlook heeft advertenties? Dank u zeer. :)
Voor het geval je het niet doorhebt; je mail scannen om gerichte advertenties te kunnen bieden verspreid over alle google diensten is heel iets anders dan fysieke ads blokkeren.

Verder heb je in mails zelf meer advertenties. Ik zou zeggen op een mail en kijken hoeveel ads worden geblokkeerd ;)
Microsoft is de eerste partij die zich in 2007 heeft aangesloten bij het NSA PRISM programma. Dat kun je actief noemen: http://en.wikipedia.org/w...nce_program%29#The_slides
Vind het nogal erg makkelijk uitgedrukt. Er mogen van mij bij dit soort dingen best wel vraagtekens worden geplaatst.

Het is eigenlijk pas in 2014 een 'trend' geworden dat er meer informatie word vrijgegeven. Ja natuurlijk weet je nooit of dit zoethoudertjes zijn, of dat het daadwerkelijk iets zegt, maar al met al is het wel zo dat er meer inzicht wordt gegeven.
In jaren zoals 2007 was dat toch behoorlijk anders, maw, wie zegt dat bedrijven als microsoft niet werden gechanteerd/geforceerd toe te treden tot deze programma's? Ik zie overheden daar echt niet zo snel van terug schrikken. Vooral niet als ze ook bereid zijn bepaalde 'advantages' te geven aan bedrijven die zich aansluiten ten kosten van andere bedrijven.

Als het simpel was geweest, was het allemaal zo naar buiten gekomen en zo bekend. Maar het zit een heel stuk ingewikkelder in elkaar dan zomaar 'ff iets zeggen'. Ik denk dat 90+% niet eens publiekelijk zal worden. Dan is het aan ons maar om te gissen of verhalen aan elkaar te knopen.
The problem here is that not only does Microsoft appear to be reading or looking at your private data (which is scary enough)
Helaas stappen ze wel erg gemakkelijk over het grootste probleem heen (hier geciteerd) door zich vervolgens te concentreren op een relatief onzinnig specifiek voorbeeld wat je in het artikel vindt ;). Het gaat er natuurlijk om dat Microsoft door al jouw data gaat om te bekijken of hetgeen geŁpload voldoet aan de voorwaarden. Weg privacy. In hoeverre MS hier transparant handelt weet ik niet, maar het lijkt me stug dat ze simpelweg neerzetten in de voorwaarden dat ze middels een geautomatiseerd proces alle content in SkyDrive scannen.
[...]
In hoeverre MS hier transparant handelt weet ik niet, maar het lijkt me stug dat ze simpelweg neerzetten in de voorwaarden dat ze middels een geautomatiseerd proces alle content in SkyDrive scannen.
Nou eigenlijk: "In many cases Microsoft is alerted to violations of the Code of Conduct through customer complaints,but we also deploy automated technologies to detect child pornography or abusive behavior that might harm the system, our customers, or others.. When investigating these matters, Microsoft or its agents will review Content in order to resolve the issue. This is in addition to the uses we describe in this Agreement and the Privacy Statements." Artikel 3.6. What type of Content or actions aren't permitted? http://windows.microsoft....rosoft-services-agreement
Goed gevonden :).
Een tegengeluid van 3 jaar geleden op iets wat nu gebeurt? Hoe diep moet je graven ;)
Volgens Microsoft is het British Standards Institute bij controles tot de conclusie gekomen dat Azure, Office 365 en Dynamics CRM Online voldoen aan de standaard en Bureau Veritas zou hetzelfde gedaan hebben voor Microsoft Intune.
Gaat het hier om office 365 in het algemeen, 365 voor zakelijk gebruik of voor 365 voor thuisgebruik.

Valt OneDrive, Office Online etc. hier ook onder?
Algemeen genomen gaat dat bijna altijd exclusief voor de bedrijven afdeling. Wel is het zo dat de gedeelde componenten zowizo dezelfde standaarden aanhouden.
Microsoft is lekker op weg de laatste tijd. Dit is ook een mooie standaard om te ondersteunen, hulde :)
Ook moeten bedrijven die de standaard ondersteunen ervoor zorgden dat de data niet gebruikt wordt voor advertenties en moeten ze gebruikers inlichten als overheden toegang tot de gegevens hebben gevorderd.
dit is gewoon een wassen neus, met een gag order mogen ze dat [inlichten] niet.

Dit is gewoon weer een verkoop praatje van Microsoft om de domme massa opnieuw te doen geloven dat hun info niet zomaar op straat ligt, toegegeven, het is bij Microsoft niet zo erg als Facebook.
Ook moeten bedrijven die de standaard ondersteunen ervoor zorgden dat de data niet gebruikt wordt voor advertenties en moeten ze gebruikers inlichten als overheden toegang tot de gegevens hebben gevorderd.
Ben zeer benieuwd hoeveel bedrijven dit daadwerkelijk gaan ondersteunen als aan deze voorwaarden moet worden voldaan.
Dit is dus de reden dat ik Microsoft producten gebruik. Mijn data voelt voor mij veiliger bij Microsoft dan bij bijvoorbeeld Google. Winst maken op basis van gebruikersgegevens of winst maken met echte producten als Windows, Office, ... Zeer goede ontwikkeling, en dan nu ook de bevestiging.
Mooi dat Microsoft een standaard ondersteund. Dat is in het verleden vaak anders geweest omdat ze zelf weer met een of andere variant op de proppen kwamen.
Proficiat Microsoft :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True