Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google moet gebruikersgegevens in buitenlands datacentrum overhandigen aan VS

Door , 156 reacties, submitter: racnor2

Google moet van een Amerikaanse rechter gebruikersinformatie aan de overheid overhandigen die opgeslagen staat op een server op een ander continent. De uitspraak is opvallend, want Microsoft heeft een soortgelijke zaak tegen de Amerikaanse overheid juist gewonnen.

Google wilde het gerechtelijke bevel om de gegevens van enkele verdachte personen af te geven, laten aanpassen om een uitzondering te maken voor gegevens die niet in de VS opgeslagen waren, net als Microsoft dat eerder dit jaar met succes deed.

Volgens de rechter, die daar niet in mee gaat, is het verschil tussen de Microsoft-zaak en de Google-zaak dat het hier niet gaat om bewust in het buitenland opgeslagen data. De data van Microsoft was bewust in het buitenland opgeslagen omdat het ook ging om een gebruiker in het buitenland.

De Google-data waar het in deze zaak om gaat, is niet met een dergelijke reden in het buitenland opgeslagen. In plaats daarvan heeft Googles algoritme dit uit eigen beweging gedaan om de vraag naar opslagruimte, rekenkracht en bandbreedte uit te spreiden. De gebruikers in dezen zijn vermoedelijk gewoon Amerikaans. De rechter acht het verzoek van de overheid een legitieme toepassing van de Stored Communications Act.

De Amerikaanse overheid diende een gerechtelijk bevel in bij Google op 30 juni 2016. De Staat wilde informatie hebben over verschillende Google-accounts: berichten, bijlages, metadata en locatiedata. Google werkte grotendeels mee aan dit bevel, met een uitzondering voor vier accounts waarvan verschillende data niet in de VS opgeslagen zijn.

Door Mark Hendrikman

Freelancer

23-04-2017 • 13:00

156 Linkedin Google+

Submitter: racnor2

Reacties (156)

Wijzig sortering
Volgens de rechter, die daar niet in mee gaat, is het verschil tussen de Microsoft-zaak en de Google-zaak dat het hier niet gaat om bewust in het buitenland opgeslagen data. De data van Microsoft was bewust in het buitenland opgeslagen omdat het ook ging om een gebruiker in het buitenland.
En dat is nou precies de reden waarom ik niet meer gebruik maak van Gmail en andere diensten van Google. Je prive data is in een land zoals Amerika gewoon niet meer veilig. Ook is het tegenwoordig noodzakelijk om je adblocker zo in te stellen dat je aan geen enkele website privé gegevens weg te geven. Zelfs hier op tweakers zet ik mijn adblocker niet uit zolang ze aan tracing doen.

Ook zal het voor Google moeilijk zijn om toekomstige rechtszaken te winnen. Ze hebben gewoon een flinke design fout gemaakt toen ze begonnen met het bouwen van hun datacenters. Laat ook goed zien dat ze geen f*ck geven om privé gegevens van hun gebruikers. Als ze dat wel deden hadden ze het exact hetzelfde als Microsoft aangepakt. Het opslaan van data waar de gebruiker zich bevindt.

[Reactie gewijzigd door vali op 23 april 2017 13:18]

Yep, same here.

Voor Duitse klanten/bedrijven gaat Microsoft nog verder door zijn datacenter juridisch af te nemen van een Duits bedrijf. Om volgens de wet/privacy 100% onder Duitse wetgeving/privacy te vallen.
Volgens mij is dat door Duitsland opgelegd voor, geen vrije keuze van Microsoft.
Microsoft heeft daar op aangestuurd.
Zie bijvoorbeeld deze link: https://arstechnica.com/i...us-government-cant-touch/
This is, imo, a very good move by MS.

En dan nog. Van wie het komt maakt überhaupt niet uit. De mogelijkheid om in Duitsland je diensten volgens die wetgeving/privacy te gebruiken is er. Van die andere partijen, waaronder Google, niet.

Misschien beter wat credits geven dan een discussie over vrije keuze of niet te starten. Volgens mij.

[Reactie gewijzigd door Tweaker1234 op 24 april 2017 00:23]

Maar je bent wel zo naïef dat je denkt dat het bij Microsoft allemaal goed komt.
Jammer hoor.
Ik zelf ben tegen beide bedrijven op dit gebied, ze komen allebei uit Amerika en moeten toch echt aan de wet voldoen. En wie zegt dat er geen wetten zijn waarbij NSA toch echt toegang krijgt tot de data.

Microsoft was het eerst bedrijf wat een samenwerking aan ging met NSA uit de gelekte documenten. Dat weet je toch wel? Microsoft speelt mooi weer, en ze staan er wel beter voor als Google. Maar ik vraag me af of het onderwater wel uitmaakt.

Je kan beter je data hier gewoon hebben bij een bedrijf uit de EU.

[Reactie gewijzigd door Texamicz op 23 april 2017 16:52]

Ik zeg niet dat het bij Microsoft allemaal goed is, ik zeg alleen dat het op dit moment nooit bij Google goed zal komen.

Microsoft kijkt tenminste wel naar een methode om het opvragen van gegevens van Europeanen tegen te gaan. Zo kan je gebruik maken van een Duits bedrijf dat volledig gebruik maakt van Microsoft Azure en hierdoor niet onder patriot act valt. Samen werken met NSA? Daar kunnen ze als Amerikaans bedrijf niet onderuit aangezien elk ander Amerikaans bedrijf dat verplicht moet doen. Waarom denk je dat ik mijn data niet in Amerika wil hebben?!
En wie zegt dat er geen wetten zijn waarbij NSA toch echt toegang krijgt tot die data
Aannames maken heeft niemand wat aan. Tevens, als NSA dat kan/mag is je data bij geen enkel ander Europees bedrijf veilig..

[Reactie gewijzigd door vali op 25 april 2017 15:31]

op dit moment...nooit
Ehm... je soreekt je hier zelf tegen.
Voor de puristen onder ons heb ik het speciaal aangepast. Bedankt dat je ook nog een goede bijdrage levert aan deze discussie.

[Reactie gewijzigd door vali op 25 april 2017 19:55]

Zoals ik al zeg, op dit moment naar de klant toe ziet het eruit dat Microsoft het beter voor elkaar heeft.

Echter mag Microsoft helemaal NIKS naar buiten brengen over de samenwerking behalve de wetswijziging van laatst. Dat ze de hoeveelheid opvragen per tijdseenheid mogen vrijgeven. Echter kan Microsoft niks naar buiten brengen waar ze op tegen zijn en moeten ze gewoon de informatie verschaffen. Zo simpel is het. Google moet het ook verschaffen.

Volgende Amerikaanse wet is alle data wat via Amerika gaat, mogen ze gewoon bloodleggen en bekijken. Ook jou bedrijfs data dat vanaf China via USA naar de EU gaat naar jou zogenoemde "beschermde" Microsoft cloud oplossing in de EU.

Dus zelfs met je EU Microsoft server ben je nog niet veilig voor de USA aftap praktijken met je bedrijfsdata. De USA is zeg maar het midden van het web, qua internet. Het grootste gedeelte gaat via de USA als je het over globale data verbindingen hebt.

Check deze kaart: http://internet-map.net/

Het enige wat ze daar in de USA aan kunnen doen is de wetten veranderen. Maar daar doen ze ook maar een klein beetje moeite aan, al die grote bedrijven. Hier en daar beetje de staat aanklagen, en het meeste geld gaat naar PR om naar buiten te brengen hoe goed ze wel niet bezig zijn om je privacy te beschermen. En jij Vali trapt in die Microsoft PR.

[Reactie gewijzigd door Texamicz op 6 mei 2017 14:41]

Mwah, wat betreft die datacenters, dat zijn ze volgens mij aardig aan het inhalen, zie https://cloud.google.com/about/locations/ t.o.v. https://azure.microsoft.com/en-us/regions/
Maar klopt wel, ze bouwen allebei de centers waar hun gebruikers zich bevinden, alleen is Microsoft een stuk groter in de cloud.
Noem dat nou niet echt bepaald inhalen. Ook biedt Google (correct me if i'm wrong) niet de mogelijkheid dat bedrijven een eigen Azure omgeving kunnen bieden. Zo kunnen bedrijven zoals KPN dezelfde technieken bieden als Microsoft, maar wel met de wetgevingen die in dat land van toepassing zijn. Ook draait Office 365 op diezelfde datacenter als je het bij KPN afneemt.
Azure Stack waar je wrs op doelt is nog niet GA (Generally Available).
Klopt het is in preview, maar het is wel iets wat groot gaat uitpakken. Zo zijn er al hosting partijen die het als demo draaien.

Zelf enige tijd geleden Azure Pack geïmplementeerd bij een hosting bedrijf en dat werkte al aardig, maar Azure Stack is toch wel wat Azure Pack had moeten zijn.
En met die preview zit net het probleem. Er is nog niks bekend over pricing, verrekening richting die hosting partijen, hoe het beheer van Azure Stack gaat gebeuren.

Zoals ik het nu ken moet een hosting partij bij een van de grote vendors (Dell, HP, Cisco, IBM?) een vastgestelde box hardware aanschaffen. Daar kan niet van afgeweken worden. Vervolgens wordt dat ding out of the box met Azure Stack geleverd en kan het ding het internet op via de hosting provider.

Het schijnt zelfs zo te zijn dat je als hosting provider niet eens 100% zelf de vulling (je eigen klanten of die van een ander of van Microsoft???) kunt bepalen.

Dus ... Azure Stack ... het klinkt mooi maar persoonlijk zie ik alleen maar nadelen als hostingpartij. Toevallig werk ik voor een hostingpartij en ik zie het hele Azure Stack als een grote dure bak hardware met nauwelijks ROI.
Dus ... Azure Stack ... het klinkt mooi maar persoonlijk zie ik alleen maar nadelen als hostingpartij. Toevallig werk ik voor een hostingpartij en ik zie het hele Azure Stack als een grote dure bak hardware met nauwelijks ROI.
Al enige tijd niet meer bezig gehouden met Microsoft op het gebied van hosting, aangezien ik mij meer bezig hou met Openstack. Wel bizar wat je mij hier verteld (als alle geruchten kloppen uiteraard).

De tijd zal het leren in ieder geval welke stappen Microsoft gaat maken met Azure Stack.
"The cloud is just somebody else his computer"
Om deze reden ben ik ook gestopt met GMail: ik gebruik nu een Noorse email oplossing (Runbox). Maar als ik het artikeltje goed lees, dan kan het dus helpen wanneer we als gebruiker de expliciete keus krijgen waar we onze data op willen slaan.
Ik gebruik ook al jaren geen Gmail of Hotmail/Live meer, maar één ding mis ik daarbij enorm: de volwassenheid van de systeemsecurity. Op technisch vlak lopen Gmail en Microsoft voorop qua security van hun mail systeem. Kleinere (mail) hosters pochen vaak met hun privacy-vriendelijke jurisdictie of het feit dat ze 100% open-source software gebruiken, toch blijkt niet zelden dat ze er op security gebied een zooitje van maken. Denk aan openstaande AXFR DNS transfers, SSLv2/3 die nog aan staan, export cipher suites van 40bits die nog actief gebruikt worden, control panel logins die open staan naar het internet, XSS en SQLi kwetsbaarheden enz enz. Dan zie je wel dat het veel effort kost om een systeem veilig te maken én te houden.
PS: om nog maar te zwijgen over de features. Het veel genoemde Tutanota heeft op dit moment geen support voor search (!!). Je kunt *letterlijk* niet zoeken in je inbox of folders...
Helemaal eens. Uiteindelijk heb ik de technische security geprevaleerd boven die van de privacy afweging. Ja, het is zeker niet cool dat de VS het mandaat heeft of zich heeft menen dat het heeft, maar nog minder cool is gehackt worden door een willekeurige voorbij surfende hacker.

Het is i.i.g. mijn trade-off afweging geweest.
Als de heren rechters het nou eens zo zouden bekijken dat die gegevens tot de persoon behoren en je dus moet kijken of die persoon een staatsburger is van jouw land. Anders fikken af van die gegevens. Waar ze als elektronische data zijn opgeslagen zou ik niet meteen vergelijken met fysieke opslag van een papieren document. Elektrische gegevens kunnen op minder dan een seconde van x naar y verplaatst worden zonder via de douane te passeren... zo bekijk ik het in ieder geval. Ben zelf Belg dus enkel enkel België zou via de Belgische vertegenwoordiging van google data van een belg mogen kunnen opvragen. Voor andere burgers moeten ze zich maar eerst tot de overheid van het betreffende land richten.
Niet in het belang van de staat, dus gaat niet gebeuren. Belang van de burger telt al lang niet meer mee. Oh, wacht, dan zeggen ze "in het belang van alle andere burgers is het nodig dat we alles van iedereen weten" en dan is het wel goed toch?
Maar als ik het artikeltje goed lees, dan kan het dus helpen wanneer we als gebruiker de expliciete keus krijgen waar we onze data op willen slaan.
Het gaat denk ik niet zozeer over de expliciete keuze als wel over de dat Google effectief met hun argumentatie probeerde alle data voor de amerikaanse overheid te verbergen omdat ze zogezegd alle data over hun servers wereldwijd verspreiden. Daarmee zou in die argumentatie geen enkele overheid dan toegang krijgen tot gebruikersdata.
De data is namelijk door de Google gecreëerde onzekerheid over de locatie waar deze is opgeslagen ook niet op te vragen via een rechtshulpverzoek aan het land waar de data is opgeslagen.
Iets wat in de zaak van Microsoft wel een alternatief was.

Als je zoals Google in feite claint dat de data onder geen enkele jurisdictie valt vanwege hun algoritmes dan zal een rechter eerder geneigd zijn om zijn/haar jurisdictie over deze data te claimen.
"Ze hebben gewoon een flinke design fout gemaakt toen ze begonnen met het bouwen van hun datacenters"

De grap is juist dat het technisch de beste oplossing is qua failover, maar nu dus juridisch vaag blijkt te zijn.

Erg jammer deze verwarring aangezien alle Amerikaanse bedrijven via de Patriot act (nu andere naam) nog steeds gedwongen kunnen worden deze informatie af te staan, puur omdat het Amerikaanse bedrijven zijn.

Dan moet je al van die trucjes uithalen zoals Microsoft doet om 1 bedrijf totaal onafhankelijk van Microsoft wel de cloud spullenboel te geven en als Azure cloud op te laten treden. Alleen heb je dan maar 1 datacenter en is je failover weer niet helemaal lekker.

Blijft nog wel even een ruzie tussen de IT bedrijven en de Amerikaanse overheid.

Tijd voor Europese tegenhangers.
Het probleem zit hem meer in de inherente wetgeving.
- In de EU is de data op een server van de eigenaar van de data.
- In de VS is de data op een server van de eigenaar van de server.
Ik vermoed dat mede om die reden Amazon AWS al vanaf het begin de mogelijkheid heeft gegeven om instances in bepaalde geografische locaties af te nemen (naast performance voor de eindgebruiker en een manier om interne syncs als kosten door te berekenen).
Nee dat denk ik niet. Google is ontstaan als machine en kwam pas later op het idee om server capaciteit uit te lenen. Zie hun data center operating system. Dat is uniek. Zowel MS als Amazon maakt gebruik van "normale" redundantie mechanismen (automatiseren uitrol machines, replicatie van data op brick level niveau, container tech). Dat maakt dat je veel klassieker IT doet en dus ook uberhaupt niet kan aanbieden dat je niet weet waar de data staat.

Bij Google is het domweg onmogelijk te weten waar de data staat. Zelfs binnen een data centrum wordt automatisch op datacentrum niveau door eigen software de data netjes redundant verdeeld, en daarna beslissen andere programma's volledig automatisch hoe de data tussen data centers verdeeld moet worden.

Gevolg is dat data en diensten bij google er altijd zijn. Altijd. Kan niet anders. Gaat misschien soms wat trager maar draait altijd. Alleen is dan dus het nadeel dat niemand (zelfs google niet) controle heeft over waar de data staat. Lees maar eens over het Google data center operating system. Heel erg mooi spul.

In NL is data niet beschermd overigens. Je kan aanspraak maken bij bedrijven dat je wilt weten welke "persoonsgegevens" zij van je hebben en wie die verwerken en waar ze staan. That's it. De data "zelf" zijn juridisch gezien niet "van" jou. Nog van het bedrijf overigens. Pas als een bedrijf "betrekkelijk veel moeite" heeft gedaan om een database aan te leggen van gegevens mogen zij daar eens soort auteurrecht over uitoefenen (databank recht). Pas dan zijn de data zelf in die uitvoering "van" een bedrijf via het auteursrecht.

Hopeloos ingewikkeld, ouderwets en eng.
Na deze uitspraak zie ik Google wel snel Microsoft achteraan gaan om gegevens van buitenlandse gebruikers buiten de VS te plaatsen. Ze zijn een flinke strijd aan het voeren voor het 'anonieme' internet, ook bij de grote bedrijven 'die alles doorspelen naar de NSA'. Dat ze het moeten doen, betekent niet dat ze er blij mee zijn. En nu het zo'n hot topic is, kunnen ze veel steun krijgen van gebruikers.
Ik ben heel benieuwd of google dat ook echt lukt. Is gezien hun infra structuur echt een enorm moeilijke opgave. Zie ook antwoord over Google Data operating system. Op laagste niveau is nooit duidelijk bij Google waar de data vandaan komt. Hij is gewoon altijd beschikbaar via de api's van de storage laag.
Het opslaan van data waar de gebruiker zich bevindt.
Als het inderdaad gaat om een Amerikaan, zoals het artikel lijkt te suggereren, dan was er geen enkel verschil geweest, sterker nog, dan had de overheid de data al lang gehad.
Gaat het om een niet Amerikaan, dan kun je een punt hebben, maar dat is nog niet zeker.
Ik heb het in het algemeen hoe Google zijn datacenter heeft opgebouwd. Als het gaat om een niet-Amerikaan stond de data nog steeds in Amerika opgeslagen en kan de overheid de data alsnog opvragen. Dat is hier in Nederland niet anders. Het verschil is voornamelijk dat ik de Amerikaanse overheid niet mijn data toevertrouw. Zeker niet nu ISP's privé data mogen doorverkopen.

[Reactie gewijzigd door vali op 23 april 2017 13:30]

Wat heb jij er nou mee te maken dat een Amerikaanse isp gegevens van zn klanten door mag verkopen?

Niet dat ik de overheid van Vs wel
Mijn data toevertrouw maar niet met dat argument.

[Reactie gewijzigd door Vizzie op 23 april 2017 13:50]

Dat ik mijn privé data niet toevertrouw aan een land dat zulke idiote regels toepast?

[Reactie gewijzigd door vali op 23 april 2017 20:52]

Wat heeft dat nou voor zin om geen Gmail meer te gebruiken ?

Leg me dat eens uit ?

Het maakt toch helemaal niet uit waar het staat... |:(

[Reactie gewijzigd door Blommie01 op 23 april 2017 15:30]

Dat maakt JUIST wel uit. Dit artikel onderschrijft dat.
Er is geen 1 wet voor alle landen, maar verschillende per landen.
Dit artikel onderschrijft dat de wetten, van bijvoorbeeld een Nederland, niet nagekomen worden.
Is het je nu duidelijker?
Denk ff na... wat maakt dat nou uit met email... :?

Al het email verkeer wordt onderschept en bewaard wanneer het wordt verzonden. En dan maak jij je druk of ze bij je mail kunnen...

Data is wat anders...

[Reactie gewijzigd door Blommie01 op 23 april 2017 16:26]

Denk ff na...email is ook data 8)7
Voor menig bedrijf is een messaging omgeving nota bene hun Document Management Systeem.

Je loopt de boel te bagatelliseren.
Dat is het laatste wat je zou moeten doen :X
Ik bagataliseer helemaal niets... Jullie zetten je alu hoedjes op... Denk je nou echt dat het enig verschil voor een overheid maakt waar je je email en data neer zet. Ik ben er van overtuigd dat het veiliger in de cloud staat dan dat je het in eigen beheer doet..

Als een overheid op je data uit is krijgen ze het hoe dan ook in hun bezit. Als ze er door hacking, phising of rekruteren niet aan kunnen komen, komen ze het met een bevel wel persoonlijk ophalen..

Bij de meeste bedrijven en organisaties die data hebben wat voor overheden interessant is zijn er gewoon afspraken. Hoe denk je anders dat de belastingdienst bij je bankrekening kan..

[Reactie gewijzigd door Blommie01 op 24 april 2017 08:24]

> Als een overheid op je data uit is krijgen ze het hoe dan ook in hun bezit

Hetgeen waar mensen zich tegenwoordig graag voor willen wapenen is dat de overheid in bezit van je data kan komen ook al zijn ze er niet direct op uit. En dat ze dit doen via vreemde kanalen en twijfelachtige wetten.
Als een overheid op je data uit is krijgen ze het hoe dan ook in hun bezit. Als ze er door hacking, phising of rekruteren niet aan kunnen komen, komen ze het met een bevel wel persoonlijk ophalen..
En zoals je kon zien kan de overheid dat niet zomaar doen als de persoon waarvan ze de gegevens willen hebben niet uit dat land komt. Als ze dat wel konden had Microsoft ook nooit de rechtszaak gewonnen. Alleen al het feit dat een land zoals Amerika het gewoon eist is voor mij de reden om Amerika op het gebied van data zoveel mogelijk te weren.

Dat jij het niet erg vindt is je goed recht, maar niet iedereen deelt diezelfde mening.
Je bent vast vergeten dat Google ook Gmail gebruikt voor advertenties doeleinde?! Gaat niet alleen waar het staat, maar voor welke doelde het nog meer wordt gebruikt.

Naast mail wordt bij Google alle diensten op het gebied van privé data aan elkaar gekoppeld. Laten we landen zoals Turkije als voorbeeld nemen dat op 1 op ander moment flink veranderd is qua beleid. Kan zo zijn dat je gegevens daar ook terug te vinden zijn en het Turkse overheid kan dat allemaal opvragen.

[Reactie gewijzigd door vali op 23 april 2017 19:37]

Het artikel gaat over de Amerikaanse overheid..
Klopt, dat heb je goed gelezen. Waar denk je dat je gegevens zoals Gmail ect worden opgeslagen? Op dit moment wereldwijd en dus ook in Amerika. Laat dat nou juist het land zijn waar ze ISP's zulke vrijheden geven.

Als Nederlanderschap heb je dus geen grip met wie toegang heeft tot jou gegevens of hoevaak.

[Reactie gewijzigd door vali op 23 april 2017 20:56]

Het artikel gaat over de Amerikaanse overheid.
Dat is weliswaar correct maar waarschijnlijk had een Nederlandse rechter een vergelijkbaar besluit genomen.
Het argument van Google dat de gegevens door hun algoritmes verspreid worden over de wereld is gewoon niet handig. Het biedt justitie geen alternatieve mogelijkheid om in het land van opslag te opvraging te doen en suggereert dat geen enkel land jurisdictie zou hebben op data die bij Google is opgeslagen. En als niemand jurisdictie in handen heeft dan pakt iedereen die jurisdictie.

[Reactie gewijzigd door TWyk op 24 april 2017 09:52]

Dit is een leer-proces voor Google. Na deze uitspraak zullen ze mogelijk de gebruiker de optie geven om hun data in een bepaald gebied op te slaan. Van fouten leert men.
Wordt dan een zeer duur "leerproces" aangezien het gehele infrastructuur op de schop mag gaan. Ik zie niet zo snel gebeuren dat ze dit nu nog gaan toepassen.
De volgende stap zou kunnen zijn dat bedrijven zusters oprichten op elk continent waar de amerikaanse tak geen invloed op heeft (op papier). Ik denk dat de penis van de amerikaanse overheid een stuk kleiner is dan ze willen doen geloven.
Gaat niet werken, want volgens Amerikaanse wetgeving moet een Amerikaans bedrijf of een bedrijf met een vestiging in Amerika op verzoek/eis data opgeslagen bij één van haar vestigingen of dochterbedrijven ervan afgeven. Het zouden dus zelfstandige bedrijven moeten zijn...
Dat is al een jaar of honderd het geval. Bijvoorbeeld Google, het Amsterdamse kantoor is een Nederlandse BV. Reden voor deze constructie is dat Nederland niet accepteert dat binnen de grenzen een bedrijf actief is dat buiten de wet opereert en geen belasting afdraagt. Let wel, de aandelen zijn -vermoedelijk- in handen van een Amerikaans bedrijf (wellicht Alphabet).

[Reactie gewijzigd door Free rider op 23 april 2017 15:47]

Wat krijg ik toch een buikpijn van dit soort zaken want eigenlijk iedere denkbare uitkomst is onwenselijk. Als Google de data niet hoeft af te staan dan kan iedereen alles verbergen door het over de hele wereld te versnipperen. Als ze het wel moeten afstaan zijn alle internationale verdragen over hoe je met elkaars data omgaat (zoals het Privacy Shield verdrag) opeens waardeloos geworden. Europese bedrijven mogen hun data dan niet meer op servers van Amerikaanse bedrijven opslaan, dat is praktisch onhoudbaar.

Het is dus het laatste geworden. We weten nu dus dat, als puntje bij paaltje komt, het Privacy Shield verdrag niks waard is en de Amerikanen toch voor hun eigen belang kiezen. Dat is geen verassing, natuurlijk doen ze dat, geef ze eens ongelijk. Maar ja, wat moeten we nu? Alle contacten met Amerikaanse bedrijven als Google en MS verbreken is eigenlijk niet mogelijk. Als we dat echter niet doen dan blijven ze in onze data rommelen.

De enige echte optie is alles zo goed versleutelen dan onbevoegden er niks mee kunnen, maar daar heb je als klant niet altijd controle over, want het werkt alleen als je zelf de encryptie beheert.
"Als we dat echter niet doen dan blijven ze in onze data rommelen."

To be fair: in hoeverre is data van een Amerikaanse gebruiker van een Amerikaanse dienst opgeslagen op een Amerikaanse server in Europa (overigens niet zeker in deze zaak waar specifiek, kan ook Azië zijn bvb.) nu echt 'onze data'?

[Reactie gewijzigd door Mark_88 op 23 april 2017 13:17]

Een "Amerikaanse server in Europa" is niet Amerikaans, natuurlijk. En aangezien het zich op Europees grondgebied bevind moet het voldoen aan de Europese wetgeving. Net zo goed als dat het omgekeerd mogelijk was ten tijden van de Patriot Act, etc. waar een Europese gebruiker van een Europese dienst die misschien zijn server in de VS had staan ook gewoon onder de Amerikaanse wetgeving viel.
Een "Amerikaanse server in Europa" is wel Amerikaans, natuurlijk. Het moet inderdaad voldoen aan de Europese wetgeving, maar het moet tegelijkertijd nog steeds voldoen aan de Amerikaanse wetgeving.

Dit is geen nieuw principe in het Internettijdperk. Op jou als Nederlander is als je je in het buitenland begeeft tot op zekere hoogte zowel de Nederlandse wet als de plaatselijke wet van toepassing. De Nederlandse wet is bijvoorbeeld van toepassing als je je schuldig maakt aan iets wat voor de Nederlandse wet als misdrijf gezien wordt, en in het betreffende land ook strafbaar is. Daar kun je zelfs als het betreffende land het niet nodig vindt om de wet te handhaven, in Nederland toch alsnog voor veroordeeld worden.
Een "Amerikaanse server in Europa" is alleen Amerikaans als het beherende bedrijf Amerikaans is en de eigenaar van de data Amerikaans staatsburger ie, of in Amerika woont of werkt, Op grond van eerdere uitspraken is een dataserver van een Amerikaans bedrijf GEEN Amerikaanse server als iemand bewust zijn data in Europa heeft gestald.

De data die jij en ik bij Microsoft of Google hebben opgeslagen op een Europeese Server is volgens de Amerikaanse wet niet via een gerechtelijk bevel op te vragen.
Klopt. En die situatie wordt niet gezien als een "Amerikaanse server in Europa" zijn, maar noem jij zelf ook een "Europese server". Volgens het artikel is dat niet de situatie waar het hier om gaat bij Google.
Of de server Amerikaans is wordt niet bepaald door wiens data er op staat. Objecten kunnen ook uit delen bestaan waarbij niet ieder onderdeel een eigenaar uit hetzelfde land hoeft te hebben. In dit geval kan je verwarring hebben tussen de server als fysiek object en als systeem. Fysiek kan hij prima Amerikaans zijn terwijl de data erop een eigenaar uit een ander land toehoort. Het systeem als geheel valt dan dus niet slechts onder een wetgeving, maar onder meerdere.
Of een Server als "Amerikaans" wordt aangeduid (volgens de Amerikaanse wet) is afhankelijk van de situatie. De hele server Amerikaans te noemen is eigenlijk niet correct.
volgens de Amerikaanse wet
In Europa gelden de US-wetten niet. Maar er zijn helaas vast wel verdragen (waarvan het maar de vraag is of die je in dit soort gevallen uberhaupt moet willen) waardoor Europa de rechten van de US hier feitelijk voor de US uitoefent.
Het is helaas volstrekt normaal dat men in Europa naar de pijpen van de USA danst. (Als dat niet zo was, was 't ook maar de vraag of de dollar niet in een spiraal naar beneden zou duikelen.)
Juist, dat men Google maar strafrechtelijk aanpakt voor het negeren van Europese wetten. Dat die strijdig zijn met Amerikaanse is ons probleem niet. Dan lossen ze het maar op door onafhankjelijke dochterbedrijven te openen of zo.
Dat werkt helaas niet; oa de Patriot Act geldt ook voor dochterondernemingen van een Amerikaans moederbedrijf. De reden dat héél goed moet worden opgepast hier in Europa als een cloud service provider overgenomen wordt door een bedrijf dat op de een of andere manier terug te leiden is naar een Amerikaanse moederonderneming.
Heeft een bedrijf niet iets in Duitsland gedaan met een onafhankelijke dochter die ze niet kunnen bevelen data te overhandigen? Of is dat maar reclamepraat? Als ze "alleen maar" 100% van de aandelen hebben kunnen ze mensen hier toch echt geen directe bevelen geven - althans, ze kunnen het wel maar die kunnen dat rustig negeren.
In pincipe stelt Amerika dat non-citizens geen recht op privacy hebben. Als jij handelsbelangen hebt in Amerika ben je kwetsbaar. En met iemand als Trump is het maar de vraag wat verdragen als Privacy Shield waard zijn, of hoe ver ze bereid zijn te gaan. (Arrestatiebevel voor CEO, C.O's gijzelen als ze voet op Amerikaanse bodem zetten, bedrijfstegoeden bevriezen...)
Dat hele privacy shield was voor Trump ook al het papier niet waard waar het op geschreven staat. En natuurlijk moet je als CEO van een bedrijf dat zich tegen de wil van de USA verzet wegblijven uit die schurkenstaat. Ik ga ook niet naar Turkije op vakantie nadat ik net in een forum de lokale dictator belachelijk gemaakt heb.
Dan gaat google toch lekker failliet? Het is een Amerikaans bedrijf. Geen problemen mee.

Zorg maar dat we wetten hebben om Europese burgers te beschermen. En bedrijven de vrijheid geven om in Amerika te kunnen opereren.

Mogelijk zelfs verbieden om boetes aan de VS te betalen en dergelijke gegevens stilzwijgend te overhandigen.

Ik snap deze uitspraak wel, maar ik denk dat juist hier Europa sterk in moet staan.

Overigens zal google het beleid wel aanpassen om ervoor te zorgen dat ze kans hebben op zakelijke deals. Want nu is het duidelijk gevaarlijk.
Tja, idealiter zou "de rest van de wereld" nu intensiever gaan samenwerken en allerhande zaken rond Internet regelen via organisaties die onderdeel zijn van de VN ofzo. En dan maar zien of de Amerikanen ehct zo graag geisoleerd willen zijn. Maar dat is niet realistisch. Alphabet failliet laten gaan is dat ook niet. Like it or not, Alphabet is onvervangbaar geworden. Tenminste, de eerstkomende paar jaar. Misschien dat we in 2020 in principe Alphabet kunnen inruilen voor Alibaba, maar of we daar echt iets mee opschieten, zeker op het gebied van privacy...
dat zal ook niet gebeuren. Google en MS hebben zelf vaak genoeg aangegeven dat het mis gaat in de US. Juist nu moeten we in Europa deze bedrijven beschermen alsmede duidelijke open wetgeving maken.
Zover ik begrijp weten ze niet zeker of het om Amerikaanse burgers gaat. Daar komen ze pas achter zodra ze de gegevens hebben. Wat nou als het niet om Amerikaanse maar om Europese burgers blijkt te gaan, gooien ze dan ook netjes die gegevens die ze niet hadden mogen hebben weer weg en laten ze de zaak vallen omdat ze bewijs op onrechtmatige wijze verkregen hebben?
Wordt netjes vernietigd... Maar het is niet gegarandeerd dat er geen backup of tien van zijn.

Ik geloof niet zo in bedrijven en overheden die data vernietigen. Soms omdat misschien bijna onmogelijk is een Microsoft heeft tig servers waar dezelfde data op staat uit redundantie, als er ergens met een sync wat fout gaat en de data gaat zwerven is dat met data die nog bestaat niet zo etg maar data dat vernietigd is natuurlijk wel.
Het is dus het laatste geworden.
urrr.... Nee dus. Het is zowieso niet zo zwart/wit als jij het schetst en juist dat is hier duidelijk geworden.

Het is duidelijk geworden dat een Amerikaans bedrijf de Amerikaanse wetgeving niet kan negeren. Dat heeft Google in deze wel gedaan. Ze hebben geprobeerd hun reputatie te verbeteren door bezwaar te maken tegen iets waar ze van te voren niet over nagedacht hebben.

Dit in tegenstelling tot Microsoft, die hier wel over nagedacht heeft en een oplossing gevonden heeft waarvan de rechter gezegd heeft dat het een goede oplossing is.
De rechter heeft niet gezegd dat het een goede oplossing is, alleen dat de gevraagde data niet afgegeven hoeft te worden omdat de data en de gebruiker niet in Amerika gevestigd is...hier is gewoon geen juridische onderbouwing voor om het wel te moeten afgeven :)

[Reactie gewijzigd door eric.1 op 23 april 2017 14:52]

De rechter heeft niet gezegd dat het een goede oplossing is, alleen dat de gevraagde data niet afgegeven hoeft te worden omdat de data en de gebruiker niet in Amerika gevestigd is...hier is gewoon geen juridische onderbouwing voor om het wel te moeten afgeven :)
Ofwel:
De ene rechter geeft duidelijk aan dat Microsoft's oplossing er voor zorgt dat er geen gegevens afgegeven hoeven te worden.
De andere rechter geeft duidelijk aan dat Google's "oplossing" er voor zorgt dat er wél gegevens afgegeven moeten worden.

Daarmee heeft Microsoft dus de goede oplossing gekozen: Bewust de data in het buitenland opslaan met het oog op bescherming van de data.
Ik zeg trouwens niet dat ikzelf het geen "betere" manier vind :)

Waar ik echter de nuance op wilde leggen is dat een rechter zijn mening nooit kenbaar maakt (zou iig niet horen). De rechter zal niet zo snel zeggen dat Microsoft een goede manier heeft gebruikt...irrelevant. De rechter zal alleen bepalen of die manier (en de dataverzoeken) rechtsgeldig is/volgens de wet- en regelgeving verloopt.
Volgens mij snap je het niet. Amerika wil gewoon toegang kunnen hebben tot alle data in de wereld. Dat is een bepaald doel. Dus ook onze Europese data. Echter wij willen dat weer niet.

Je hebt dan belangen die elkaar in de weg zitten. Dus voor wie zijn belangen kom je op. Je eigen? Of die van Amerika.

Dus is het Amerika zijn eigen schuld als die bedrijven daar straks bloeden voor het feit dat ze onze data niet meer krijgen. En terecht.

De zogenaamde "vrienden" uit Amerika die graag ons Europa het liefst in onze rug steken met een dikke dolk. En dat glimlachend te doen onder het mom van vriendschap.
Ik snap niet dat we die Amerikanen nog vertrouwen.
Dat is niet helemaal waar: In het artikel kan u lezen, dat volgens de rechter in de VS de overheid van de VS de data van een Europees staatsburger opgeslagen door een bedrijf uit de Verenigde Staten maar op een Europese server niet mag opvragen.

Geld, bedrijven en intellectueel eigendom kan je onderbrengen in belasting paradijzen waarmee je de regels van je eigen land kan omzeilen, met als gevolg een race naar de bodem waar landen tegen elkaar concurreren om voor bedrijven het gunstigste te zijn en zoveel mogelijk toe te staan. Data-paradijzen komen er volgens de Verenigde Staten dus niet. Misschien maar goed ook, als Google al haar data naar de Kaaiman eilanden of Somalie verkast omdat ze het dan aan niemand hoeven af te geven, en ze mogen het dat wel aan iedereen verkopen en met iedereen verhandelen van de lokale wetgeving, en er is geen fatsoenlijke rechtbank waar ze bij misbruik aangeklaagd kunnen worden, zijn we dan echt beter af?
In het artikel valt te lezen dat de data door een algoritme op een andere locatie was opgeslagen. Dit wil dus zeggen dat als wij Europeanen data opslaan bij Google en dat algoritme het naar een US locatie versluisd je plots wel pakbaar bent? (bijvoorbeeld data die in EU wel legaal is maar in US niet)
Dan horen bedrijven je de keuze te geven waar het opgeslagen wordt, want nu is het een beetje vogelepik in welke jurisdicitie je terecht komt, en dat kan ook niet de bedoeling zijn.
In het artikel valt te lezen dat de data door een algoritme op een andere locatie was opgeslagen. Dit wil dus zeggen dat als wij Europeanen data opslaan bij Google en dat algoritme het naar een US locatie versluisd je plots wel pakbaar bent? (bijvoorbeeld data die in EU wel legaal is maar in US niet)
Zoals je in het artikel kunt lezen maakt het niet uit waar het algoritme het opslaat. Een Amerikaans bedrijf wat niet bewust zijn data buiten de VS opslaat zal die data moeten afstaan.
Dan horen bedrijven je de keuze te geven waar het opgeslagen wordt, want nu is het een beetje vogelepik in welke jurisdicitie je terecht komt, en dat kan ook niet de bedoeling zijn.
Zoals Microsoft dus doet. En waardoor ze die data dus inderdaad niet hoeven af te geven.
[...]

Zoals je in het artikel kunt lezen maakt het niet uit waar het algoritme het opslaat. Een Amerikaans bedrijf wat niet bewust zijn data buiten de VS opslaat zal die data moeten afstaan.
Als de data origineel maar onbewust en niet door het algoritme op een EU server geplaatst zou zijn, en het algoritme er zou afgebleven zijn dan was de specifieke uitspraak niet geldig. En als het algoritme het gewoon zou verschuiven binnen EU dan is het ook ongeldig maar kunnen ze wel argumenteren dat het net zo goed op een US locatie kon verschoven worden en zo wel er recht op zouden hebben, maar dat is een lichtjes andere uitspraak dan die moet gemaakt worden.
Details zijn nog altijd belangrijk in zo'n uitspraken.
Je kan toch een dubbele kluis methode toepassen. Je data zelf encrypten + bij Google of Microsoft.
Dus jij als klant hebt de encryptie in de hand, en Microsoft en Google bieden de diensten aan maar kunnen niks met jou data. En zo hoort het.
Dat is onmogelijk met Gmail, GDocs, Microsoft Office e.d., werkt alleen met Dropbox-achtige storage (en die vind het ook niet cool als je een encrypted disk-image gaat syncen)
MS Office documenten kan je me IRM perfect encrypten en sync'en over verschillende devices met One Drive.
Standaard functionaliteit van Office
https://blogs.office.com/...d-powerpoint-mobile-apps/

[Reactie gewijzigd door bush op 23 april 2017 18:20]

Dus een gat in de markt? Of zie ik het verkeerd?
"Als Google de data niet hoeft af te staan dan kan iedereen alles verbergen door het over de hele wereld te versnipperen"

Hoezo is dat onwenselijk?

"Alle contacten met Amerikaanse bedrijven als Google en MS verbreken is eigenlijk niet mogelijk."

Jawel hoor :) Iets met ruggegraat en principes. (ja, wat dat betreft in de praktijk dus inderdaad onmogelijk)
Maar ja, wat moeten we nu? Alle contacten met Amerikaanse bedrijven als Google en MS verbreken is eigenlijk niet mogelijk. Als we dat echter niet doen dan blijven ze in onze data rommelen.
Of gewoon de dienst niet/elders afnemen.
Ach als Google het niet vrijwillig zou geven zouden ze het gewoon direct uit de transatlantische glasvezellijn aftappen. Als iemand denkt dat zijn informatie op welke clouddienst, waar dan ook ter wereld, 100% veilig is, is hij toch wel redelijk naief.
Als jij denkt dat alleen data in de cloud onveilig is kunnen we je ook naïef noemen, waar het opgeslagen is maakt niet veel uit. Een file met goede encryptie is op Gmail net zo veilig als op je eigen harddisk.
Maar op de GoogleDrive kan de US overheid (of hackers) 24 uur per dag/7dagen per week een poging doen om jouw ge-encrypte file te kopieren en hun serverpark op het kopie loslaten.

Data op elke cloud-dienst heeft hiervan last. Nu zal het wel zo zijn dat cloud-dienst aanbieders jouw spullen zo goed mogelijk willen beschermen...maar of je dat daadwerkelijk goed beschermd is, dat hangt niet van hun goede wil af. Eerder van de kunde van de spionage-diensten en de wetgeving waaronder deze opereren.

Voeg er dan ook nog eens aan toe dat je een 'person of interest' bent, dan worden er ook nog een paar personen op gezet die jouw meta-data verzameld en daarmee gerichte wachtwoord-aanvallen gaan doen. Dus als je een zwak(kere) cipher gebruikt en/of een zwak(ker) wachtwoord gebruikt, dan is jouw data alsnog heel snel zichtbaar.

Data op je eigen systeem of systemen heeft minder kans om via een 'sleepnet' op servers van anderen terecht te komen. Goed, als je een 'person of interest' bent, dan is je data op je eigen systeem ook niet veilig. Maar dan moet je wel eerst als zodanig worden aangemerkt.

Data obfusceren, dat is de meest veilige manier om data online te bewaren. Maar dat kost je (veel) meer tijd en moeite. Pas je dat goed toe, dan raken automatische systemen in de war en moet je data door een persoon worden onderzocht. daar zijn er maar aantal van en die worden eerst op hoge(re) prioriteit-gevallen gezet.
Leuk encrypted data aftappen. Wat moeten ze daar dan mee? En wat dacht je van data wat dubbel encrypted is met 2 totaal verschillende technieken? Moet je nog eerst raden welke 2 technieken. Kunnen ze nooit achterkomen.
Ligt er maar aan hoe je je data encrypt.

Doe je dit via online diensten? De dienst die jouw data onderzoekt, heeft er over het algemeen geen moeite mee om te zien welke wegen jouw ge-encrypte data heeft afgelegd. Dan is het voore hen een simpel ding om de website van de dienst die je gebruikt te openen en te zien welke encryptie-methodes worden aangeboden. Dat limiteert het aantal methodes dat ze moeten gebruiken aanzienlijk.

Nu weet ik niet of je dit weet, maar diensten nemen graag mensen met autistische trekjes in dienst, omdat dit soort personen vaak al kunnen zien aan de eerste lijnen die getoond worden in een hex-editor (wanneer zij een kopie van jouw gencrypte bestand openen) welke methode is gebruikt.

Mensen met een vorm van autisme zijn het "populairst", daarna volgen de Mormonen (tweede, op afstand weliswaar) en dan pas normale slimmerikken. En dan gaat jouw dubbel-gencrypte data gewoon door de automatische "mangel".

Het enige voordeel van dubbel-encrypten is dat het initieel meer moeite kost en daardoor minder interessant is om uit te voeren voor een "no interest person" of "low interest person".
Googles verkeer tussen datacentra is encrypted. Of bedoel je dat de Verenigde Staten SSL hebben gekraakt? Heb je een bron?
Googles algoritme dit uit eigen beweging gedaan om de vraag naar opslagruimte, rekenkracht en bandbreedte uit te spreiden
Dus... het is daar bewust geplaatst door het systeem. Is bandbreedte hier sowieso niet locatie-gebonden? Ik snap niet zo het verschil tussen de Microsoft en Google zaak. Natuurlijk wordt dit door een algoritme afgehandeld, dat zal bij Microsoft toch ook zo zijn? Microsoft gaat toch niet handmatig ieder account nakijken om het op de juiste plaats in het juiste land op te slaan.

[Reactie gewijzigd door Loller1 op 23 april 2017 13:26]

Ik begreep dat dat bij Microsoft juist wel het geval was. Er was specifiek gekozen om data van gebruikers in het eigen land op te slaan. Bij Google wordt de data 'in Amerika' opgeslagen, maar kan het vanwege de genoemde redenen (tijdelijk?) verplaatst worden naar andere locaties.
Nee, Google's data staat verspreid over de hele wereld. Er zit een hele slimme algoritme achter die de data verspreid. Alle servers over de hele wereld moet je als 1 server zien met een slimme algoritme die alles goed verspreid betreft vraag en aanbod aan data.

Dit zorgt ervoor dat Googles servers veel beter presteren dan die van Microsoft. Maar Microsoft zet data in het land waar de klant het wil. Anders als bij Google, waarbij Google hun server park als 1 grote server zien die ze steeds uitbreiden.
Kan je beter de MS oplossing hebben dus. Je bevestigt de <ellende> die Google daarmee zich en zijn gebruikers op de nek haalt op het gebied van wetgeving/privacy.
Klopt, maar dan heb je wel als nadeel dat je slechtere performance hebt en dat je meer moet betalen. Maar dat is een afweging. De Microsoft oplossing kost fysiek meer hardware. Ik ben ook geen voorstander om bedrijfsinformatie op te slaan op de architectuur van Google. Maar voor simpele data wat niet gevoelig is boeit het niet zo, en dan heb je betere performance + goedkoper de realiseren architectuur.

Als bedrijf zou ik geen cloud opslag dienst afnemen van Google. Eens.
Bij MS weet ik dat je een regio kan kiezen.
Bijzonder. Is er ook bekend in welk land deze data dan wél opgeslagen stond? Als dit een europees land is, zou het me niets verbazen als die gebruikers Google nu kunnen aanklagen op basis van europese privacyregels.
Want? Als het amerikaanse burgers zijn maakt dat niets uit. Dat is nu net het verschil met de MS zaak. Die dat was van een niet amerikaan die bewust op een niet amerikaanse server werd opgeslagen.
Op grond van wat? Als je diensten afneemt bij een Amerikaans bedrijf of Europees bedrijf met vestiging in de VS kun je rederlijkerwijs aannemen dat ze ook jouw gegevens moeten verstrekken.

Die rechtszaken van o.a. Apple is voor de show. Zodat ze publiekelijk kunnen laten zien dat ze voor pricacy staan.

Maar achter de schermen (zie ook Snowden en wikileaks) werken ze samen.

NSA is gewoon een klant van Amazon.

http://www.justitia.nl/privacy/safe-harbor.html

[Reactie gewijzigd door totaalgeenhard op 23 april 2017 13:31]

Het verbaast me niks dat dit allemaal gewoon toneel is. En dat ze onderliggend toch gewoon data moeten uitleveren.

Immers Microsoft was het eerste grote tech bedrijf wat samen werkte aan het PRISM programma met NSA.

Zo van, hier heb je toegang tot wat aftak puntjes. Je mag ons aftappen, maar wij willen er niks van weten. Hier is onze hoofd ingang + uitgang van onze server. Plaats daar maar even jullie prisma glasvezel tap machine. Succes NSA. (Dit type samenwerking met NSA is betreft het PRISM programma).

Ze werken niet "actief" mee met aftappen maar laten hier en daar wel wat gaten open en andere zaken om NSA toegang te bieden. En dat valt helemaal buiten dit toneelstukje naar de consumenten en bedrijven die klant zijn van Microsoft.

[Reactie gewijzigd door Texamicz op 23 april 2017 16:56]

Bij Google is het duidelijk dat ze nat gaan. Bij Microsoft niet. Zoals bij de case in Duitsland is dat klaarblijkelijk beter op orde.

Dat lijken de feiten. Of je nou fan bent van de een of ander ga je dat niet veranderen. Als Google fan moet je dan dus slikken. No excuses.
Je snapt nog steeds niet hoe PRISM werkt, heb je überhaupt wel de documenten gelezen. Microsoft en Google hoeven fysiek amper mee te werken. Enkel maar een hokje of stukje ruimte te claimen waar ze hun PRISM aftap installatie plaatsen voor de ingang van de server.
Het is zo dat Microsoft hier als eerste aan mee ging werken. De servers van Microsoft hadden als eerst de PRISM aftakking actief geplaatst.

Maar dan heb ik het niet over hoe men de server architectuur voor elkaar heeft. Dat heeft Microsoft voor de klant beter voor elkaar dan Google. Dat klopt. Ik heb jou nog nooit iets horen toegeven wat slecht is aan Microsoft. Is Microsoft dan zo perfect? Komop man, je bent zo brainwashed. Ik ben zelf ook alleen positief over bepaalde zaken van Google. Maar ze doen tevens heel veel fout, echter jij bent zo biased dat jij de fouten van Microsoft niet ziet. En ja waarom is dat zo? Ik ben zelf bezig om een eigen server op te zetten met diensten. Heb een hoge upload (glasvezel aan huis) dus kan dat prima. Zelfs films streamen vanuit mijn huis.

[Reactie gewijzigd door Texamicz op 5 mei 2017 13:00]

Het verbaast me niks dat dit allemaal gewoon toneel is. En dat ze onderliggend toch gewoon data moeten uitleveren.

Immers Microsoft was het eerste grote tech bedrijf wat samen werkte aan het PRISM programma met NSA.
Ag natuurlijk, het is allemaal toneel. Als Microsoft een toteelstuk speelt, waarom nemen ze dan de moeite om als eerst groot Amerikaans bedrijf een rechtszaak te spannen tegen de Amerikaanse overheid? Waarom nemen ze de moeite om als eerste Public Cloud bedrijf ISO 27018 gecertificeerd te zijn?. Ook nemen ze de moeite om bedrijven zoals KPN en Deutsche Telekom Azure en Office 365 te laten draaien en beheren. Allemaal punten waar Google pas later in volgt en geen enkel vlak zijn ze innovatief. Ook de reden waarom ze op Cloud gebied steeds meer achter lopen en hun Google for Work totaal niet aanslaat,

Uiteraard kan je overal beren op de weg zien en denken dat Microsoft nog steeds dat vreselijke bedrijf is uit 1995, maar face it... Tijden veranderen.

[Reactie gewijzigd door vali op 23 april 2017 22:16]

Ik ben wel bekend met allerlei certificeringen. Het is een papiertje, maar gaat om de inhoud. Ik kan de inhoud van deze certificering moeilijk vinden. Heb jij een link waar de gehele certificering van ISO 27018 staat uitgelegd?
Het gaat inderdaad om de inhoud maar voornamelijk hoe het bedrijf ermee om gaat. Als je alle inhoud wilt lezen kan je het hier en hier vinden. In het kort houdt ISO 27018 het volgende in:
Toestemming; er mogen alleen persoonsgegevens worden verwerkt indien de klant hier opdracht voor heeft gegeven, met name gebruik van persoonsgegevens voor marketingdoeleinden is alleen toegestaan na expliciete toestemming.
Beheer: klanten moeten te allen tijde de mogelijkheid hebben om het beheer te voeren over hun persoonsgegevens.
Transparantie: clouddienstverleners moeten hun klanten duidelijk informeren over waar de persoonsgegevens staan opgeslagen. Indien er gebruik gemaakt wordt van onderaannemers dan dient dit bekend gemaakt te worden en zal de clouddienstverlener hier heldere afspraken mee moeten maken over de verwerking van persoonsgegevens.
Communicatie: in het geval van een datalek dient de klant op een juiste wijze op de hoogte gehouden te worden en moet er ondersteuning plaatsvinden bij de communicatie naar de betrokkenen toe.
Personeel: iedere medewerker van de clouddienstverlener die toegang heeft tot de persoonsgegevens zal een geheimhoudingsverklaring ondertekenen.
Overheid: indien er overheidsinstanties zoals politie en justitie toegang heeft verkregen tot de persoonsgegevens van klanten dan is de clouddienstverlener verplicht dit te melden.
Vooral die laatste gaat dus tegen de wetgeving in van Amerika. Daar mag de desbetreffende dienst juist volgens de wet NIET de klant laten weten dat hun gegevens zijn ingelezen door de NSA. De wetgeving geeft aan dat een bedrijf zoals Google en Microsoft hun klanten niet mogen vertellen over de opvraag van informatie.

Hedendaags mogen ze wel naar buiten vertellen hoeveel aanvragen zijn gedaan.

Deze wet gaat boven de ISO 27018 uit. Tenzij de Amerikaanse overheid geen macht kan uitoefenen als het bedrijf niet "Amerikaans" is. De Amerikaanse overheid kan dit niet uitoefenen op een buitenlands bedrijf natuurlijk.

Hoe zit dat dan? Hoe kan Microsoft ISO27018 met voornamelijk de overheids zaken garanderen? Door speciale B.V.'s op te zetten die niet vallen onder Microsoft? Met losse aparte servers in EU?

Google zou in ieder geval niet kunnen voldoen aan deze ISO norm want ze gebruiken special sharding algoritmes om data over de hele wereld te verspreiden waar dus de overheid toegang tot heeft.

[Reactie gewijzigd door Texamicz op 6 mei 2017 14:05]

Hoe zit dat dan? Hoe kan Microsoft ISO27018 met voornamelijk de overheids zaken garanderen? Door speciale B.V.'s op te zetten die niet vallen onder Microsoft? Met losse aparte servers in EU?
Waarom denk je dat Microsoft de data van Europese gebruikers alleen in Europa opslaan. Ook zijn ze inderdaad enige tijd geleden begonnen met speciale B.V.s die niet onder Microsoft. Zodoende kunnen ze garanderen dat niemand zomaar je data mag/kan inzien.
Google zou in ieder geval niet kunnen voldoen aan deze ISO norm want ze gebruiken special sharding algoritmes om data over de hele wereld te verspreiden waar dus de overheid toegang tot heeft.
Dat is dus de gehele reden waarom ik deze discussie begon en waarom ik geen data bij Google wil hebben.
Volgende Amerikaanse wet is alle data wat via Amerika gaat, mogen ze gewoon bloodleggen en bekijken. Ook jou bedrijfs data dat vanaf China via USA naar de EU gaat naar jou zogenoemde "beschermde" Microsoft cloud oplossing in de EU.
Waarom zou mijn bedrijfsdata buiten Europa gaan als het in Nederland wordt opgeslagen ? Zelfs als je je data in de Duitse Microsoft datacenter opslaat komt het Europa niet uit.

[Reactie gewijzigd door vali op 6 mei 2017 19:45]

Immers Microsoft was het eerste grote tech bedrijf wat samen werkte aan het PRISM programma met NSA.

Bron? Niet de Snowden onthullingen in ieder geval.

Overigens gaan er veel sprookjes over PRISM, maat bleek het merendeel gewoon meewerken met een een gerechterlijk bevel te zijn, en geen geheim medewerkingprogramma. Zeg maar wat KPN etc ook in Nederland gerwoon dagelijks doen.

Er is geen enkel bewijs gevonden dat een van de grote techbedrijven meewerkte met enige (illegale) spionage. Ondanks heel broodjeszaken vol met aap.
http://www.washingtonpost.../images/prism-slide-5.jpg

Ik weet niet wat jij weet over PRISM. Maar het gaat om een PRISMA, glasvezel waarmee je de lichtsignalen afbuigt (kopieert) naar een aftakking zonder het verkeer te beïnvloeden of te vertragen. Deze data wordt dan geïnspecteerd met allerlei technieken zoals deep packet inspection.

Hiervoor hoeven ze alleen een aftakking, voor de rest geen medewerking van Microsoft Google of wat dan ook. Het heeft NIKS, HELEMAAL NIKS met het opvragen van informatie te maken.
Hiervoor hoeven ze alleen een aftakking, voor de rest geen medewerking van Microsoft Google of wat dan ook. Het heeft NIKS, HELEMAAL NIKS met het opvragen van informatie te maken.

Er was en is veel verwarring van wat het is, maar wat het NIET is is direct unencrypted toegang van systemen van Microsoft en Google. Dat werd in den beginnen nog wel eens gesuggereerd.

Er zijn twee programma's:

1) toegang tot onversleutelde data na gerechterlijk bevel. Hier hebben bepaalde providers logerwijs geautomatiseerde systemen voor omdat het aantal request wereldwijd zo verschrikkelijk groot is. Dit werd vaak gepresenteerd als dat bepaalde tech bedirjven "samen werken". Waar, maar dus pas na gerechterlijk bevel.

2) aftappen van data op de backbone en andere plaatsen. Dit vereist géén medewerking van tech bedrijven, en geen gerechterlijk bevel. Maar data is veelal encrypted.

Wanneer mensen over PRISM spreken verwarren ze beide programma's. Jij hebt gelijk dat de naam suggererd dat het in dit geval om het tweede gaat. Bij dat programma wordt er echter NIET samengewerk met techbedrijven anders dan dat jij letterlijk beweerde.

Waar er wél samengewerkt wordt - en wat in de media al dan niet ten onrechte vaak ook PRISM genoemd werd - zijn de geautomatiseerde systemen om te voldoen aan gerechterlijke bevelen. Dat is echter niet anders dan de technische systemen die KPN etc in Nederland hebben om aan allerlei tap- en andere verzoeken te kunnen voldoen.
Er is bij PRISM wel een vorm van samenwerking. Maar het is meer dat bedrijven als Microsoft en Google dit gedogen. Ze hebben namelijk wel toegang nodig tot infrastructuur op het terrein van de servers.
Zoals bij AT&T kamertje 641a ;)

Zeg maar, hier heb je toegang tot de hardware en plaats daar je apparatuur maar. Maar wij willen er verder niks van weten. Want dan zijn ze aansprakelijk door de klanten en kunnen ze PR schade krijgen. Op dit manier kunnen ze dingen nog op de NSA afschuiven.

Die letterlijke bewering is dan ook niet een hele zware samenwerking zoals de aanvragen voor unencrypted data bij Microsoft of Google die direct zijn.

[Reactie gewijzigd door Texamicz op 6 mei 2017 14:31]

Op grond van de Europese privacy richtlijn. Deze beschermt alle persoonsgegevens (ook van individuen met een nationaliteit van een land dat geen EU lid is!) voor export/overdracht naar een land met onvoldoende bescherming van de privacy.
Ken je de zaak van Max Schrem tegen Facebook? Daar concludeerde de rechter dat de VS nog altijd een land is met onvoldoende bescherming.
het is in deze wel opvallend dat, moest het effectief om amerikaanse gebruikers gaan, dit door de overheid wordt toegestaan, dat is exact wat europa verbiedt :P
het is in deze wel opvallend dat, moest het effectief om amerikaanse gebruikers gaan, dit door de overheid wordt toegestaan, dat is exact wat europa verbiedt :P

Europa verbiedt dit niet echt want doet hetzelfde. Als Nederland/Belgie/<vul willekeurig EU land in> data opvraagt bij Microsoft/Google/etc moet dat bedrijf niet proberen die data achter te houden omdat het niet in de EU opgeslagen is. Nee, de EU stelt zich bij internetzaken altijd op het standpunt dat omdat het gevestigd is in een EU and (men vraagt immers data op bij de Europese dochter) de data afgestaan moet worden. Niet anders dus dan de Amerikanen (of Russen, etc)

De verwarring komt omdat de privacy wetgeving zoals in de media besproken, de suggestie biedt dat het bescherming biedt tegen overheden. Dat is niet zo. Die wetgeving is bedoeld tegen misbruik van data door bedrijven. Ofwel een Chinees bedrijf mag data best naar China verplaatsen, maar moet dan wel aan de Europese privacy regels voldoen. Er is geen enkele illusie dat echter de Chinese overheid zich aan zulke regels houdt. Dat doen we in Europa al niet eens, dus laat staan buitenlandse overheden.

Moreel is er dus niets opvallends aan deze uitspraak. Juridisch enkel omdat deze zaak in strijd lijkt met een eerdere uitspraak, maar aangezien Google in hoger beroep zal gaan verwacht ik, zal dit verschil verklaard worden door hogere rechters, of juist ongedaan gemaakt.

Wil je je data veilig hebben moet je het volledig client-side encrypted hebben. En dan nog is het enkel veilig tegen bepaalde buitenlandse dataverzoeken, niet die van je eigen overheid. Een Nederlands bedrijf dat zijn data in Nederland opslaat en encrypt kan door de Nederlandse rechter gewoon verplicht worden de data te decrypten. En binnen de EU zijn er zat verdragen waardoor ook daar weinig privacy te verwachten valt.
"De gebruikers in deze zijn vermoedelijk gewoon Amerikaans."

Bijzonder dat de hele zaak vrij concreet is.. maar dit aspect vaag wordt gehouden. Juridisch maakt het nogal een verschil of je in de ogen van de Amerikaanse veiligheidsdiensten een US citizen bent, of een 'foreigner'.

In het eerste gevan biedt de Amerikaanse wetgeving je nog een klein beetje aan burgerrechten en privacybescherming. Als 'Foreigner' heb je die vrijwel niet.
De vraag is dus gaat dit om een Amerikaanse gebruiker?
Het is opvallend dat dit soort nieuws eigenlijk exclusief over de VS gaat. En wat nou als het land waar de data opgeslagen heeft een wet kent die stelt dat opgeslagen data in dat land onder geen enkel beding overhandigd mag worden aan buitenlandse diensten? Waar heeft een bedrijf als Google dan naar te luisteren? Lijkt me namelijk niet dat wetten uit de VS boven de wetten uit andere landen staan. En wordt de VS dan boos op Google voor het niet overhandigen van data? Of gaat de VS dan verhaal halen bij het land waar de data opgeslagen is?

Vragen, vragen, vragen...
Het is niet vreemd dat dit meestal over de VS gaat omdat het gros van de gebruikers (in de westerse wereld, dus ook Nederland) van clouddiensten, offsite backup, zoekmachines, hosting etc. zit bij bedrijven die de VS als thuisbasis heeft.

Wat ke andere vragen betreft, die staan of vallen met het antwoord op de vraag of het om Amerikanen gaat of niet. Het is hoogst merkwaardig dat dat niet eerst uitgezocht wordt.
Dat is juist waar de Microsoft-zaak over ging. De Amerikaanse wet en de Ierlandse(?, weet niet meer of het juist Ierland was, dacht van wel)/Europese wetgeving spraken elkaar tegen. Het was daar exact de situatie die je hier uitschrijft.
Het is opvallend dat dit soort nieuws eigenlijk exclusief over de VS gaat. En wat nou als het land waar de data opgeslagen heeft een wet kent die stelt dat opgeslagen data in dat land onder geen enkel beding overhandigd mag worden aan buitenlandse diensten? Waar heeft een bedrijf als Google dan naar te luisteren? Lijkt me namelijk niet dat wetten uit de VS boven de wetten uit andere landen staan. En wordt de VS dan boos op Google voor het niet overhandigen van data? Of gaat de VS dan verhaal halen bij het land waar de data opgeslagen is?

Vragen, vragen, vragen...
Mwah, dat is vrij eenvoudig: Google is een Amerikaans bedrijf. Google moet zorgen dat het voldoet aan de wetten van alle landen waar ze aanwezig zijn. Als Google op deze manier de wet overtreedt dan heeft Google een probleem.

De VS zal in dat geval afdwingen dat Google zich aan de Amerikaanse wetten houdt. Doen ze dat niet dan krijgen ze waarschijnlijk een dwangsom die op kan lopen tot defacto faillissement.
Het andere land zal afdwingen dat Google zich aan hun wetten houdt. Daar kan Google omheen door zich terug te trekken uit dat land.
Terechte vragen, waarvan de antwoorden steeds zullen verschillen. En dan komt de vraag waar het allemaal naar toe zal gaan.
Ik denk dat de meeste landen uiteindelijk wetgeving aannemen vergelijkbaar met de huidige Russische wetgeving: Als je data van onze burgers opslaat, moet dat (ook) op ons grondgebied gebeuren. Hierdoor zijn die gegevens altijd met een gerechtelijk bevel op te vragen. Kiest een bedrijf ervoor om deze wet te overtreden (bv. LinkedIn) dan wordt het geblokkeerd.
Darwin: De USA is (nog) de sterkste, en kan dit soort dingen dus afdwingen, waar andere landen dat niet kunnen. Droevig, maar zo is de natuur.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*