Datatoezichthouder onderzoekt softwaredeals tussen EU-instituties en Microsoft

De European Data Protection Supervisor heeft een onderzoek ingesteld naar de contractuele regelingen die gesloten zijn tussen EU-instituties en Microsoft. Deze EU-toezichthouder heeft als taak de naleving van de databeschermingsregels uit de avg af te dwingen.

Wat betreft outsourcing zijn er sinds december vorig jaar juridische veranderingen doorgevoerd en dat betekent dat contractanten nu directe verantwoordelijkheden hebben om te handelen in overeenstemming met regels zoals die van de avg. Ook al gaat het om derde partijen die diensten leveren, zoals Microsoft in dit geval, de EU-instituties blijven verantwoordelijk als er data voor hen wordt verwerkt door anderen. Daarbij moeten ze ook eventuele risico's identificeren en indammen. Vanuit dit uitgangspunt wordt de contractuele relatie tussen de EU-instituties en Microsoft onderzocht, meldt Wojciech Wiewiórowski, een medewerker van de EDPS.

Het draait hierbij om de regels van een in december vorig jaar ingevoerde verordening. De regels uit de verordening zien op het beschermen van natuurlijke personen in verband met de verwerking van persoonsgegevens door de verschillende EU-instellingen. Deze verordening zorgt ervoor dat de databeschermingsregels die van toepassing zijn op de EU-instituties, in lijn worden gebracht met de regels die op basis van de algemene verordening gegevensbescherming ook al voor bedrijven en organisaties binnen de EU gelden.

De EDPS verwijst hierbij naar een onderzoek van het Nederlandse ministerie van Justitie en Veiligheid uit november vorig jaar. Toen constateerde het ministerie dat Windows 10 Enterprise en Microsoft Office een risico vormen voor de privacy van ambtenaren. Dat hangt samen met het feit dat Microsoft bij deze software gebruikersgegevens verzamelt en opslaat in de VS. Microsoft beloofde toen dat het aanpassingen ging doorvoeren zodat overheidsdiensten de software kunnen gebruiken in overeenstemming met de algemene verordening gegevensbescherming. Uiterlijk deze maand moeten die wijzigingen zijn doorgevoerd; het ministerie gaf eerder aan dat het gaat controleren of dat ook daadwerkelijk gebeurd is.

Door Joris Jansen

Redacteur

Feedback • 08-04-2019 19:38 40

08-04-2019 • 19:38

40

Lees meer

Europol moet gegevens van niet-verdachte mensen na zes maanden verwijderen
Europol moet gegevens van niet-verdachte mensen na zes maanden verwijderen Nieuws van 10 januari 2022
Europese privacywaakhond wil einde aan gericht adverteren met tracking
Europese privacywaakhond wil einde aan gericht adverteren met tracking Nieuws van 12 februari 2021
Ministerie: Windows 10 Enterprise en Office zijn risico voor privacy ambtenaren
Ministerie: Windows 10 Enterprise en Office zijn risico voor privacy ambtenaren Nieuws van 13 november 2018
Politiek en recht Privacy Microsoft algemene verordening gegevensbescherming Europese unie

Reacties (40)

-Moderatie-faq
40
39
12
2
0
12
Wijzig sortering
Von Henkel 8 april 2019 20:40
Ik heb tot op heden nog geen privacy vriendelijke Windows/Office versie zien langskomen...
Ben benieuwd hoe ze dit gaan doen
DigitalExorcist @Von Henkel8 april 2019 22:15
O365 / Microsoft 365 heeft behoorlijk wat opties en tools voor GDPR compliancy en auditing. Het houdt bijv al bij in welke documenten er BSN-, paspoort- of creditcardnummers verstuurd worden, DRM kun je behoorlijk ver doorvoeren, rapportages maken welke user het vaakst “getarget” wordt, 2FA kun je regelen, met InTune kun je devices dichtzetten en beheren...

De mogelijkheden zijn enorm uitgebreid. Kwestie van inrichting hoe ver je ermee wil gaan. Maar een belangrijke factor zijn je users zelf: al is de wetgeving nog zo snel, een onnozele actie van een eindgebruiker achterhaalt hem wel.
sebati @DigitalExorcist9 april 2019 20:23
Het probleem hier is, en blijft, dat je data staat op een server van een Amerikaans bedrijf en daarmee valt onder de CloudAct. De Amerikaanse overheid kan zich in principe toegang verschaffen tot die data zonder dat ze jou daarvan op de hoogte hoeven te stellen, zelfs als deze data op servers op niet Amerikaans grondgebied staat.

Zelfs als zou er op die manier (O365) geen data lekken, dan gebeurd dat ook wel via je Windows 10 en Office middels o.a. telemetrie en bijvoorbeeld ook de spelling controle waarbij niet alleen woorden maar ook zinnen en alinea's worden doorgestuurd om de context van te begrijpen. Deze data wordt door veel teams binnen Microsoft verwerkt en jij hebt geen enkele controle over wie, wanneer en waar iemand bij die data kan, hoe deze is opgeslagen, voor hoe lang en met wie Microsoft deze data verder deelt ten behoeve van andere (commerciële) doeleinden. Denk ook aan de analyse van je spraak.

Het maakt dus niet uit of je je disk versleuteld en allemaal mooie tools hebt (krijgt) die allerlei zaken dicht zetten zodat jij het gevoel krijgt dat alles veilig is en er stikkers op zitten GDPR-compliant. Ondertussen lekt er data naar Microsoft zonder dat jij dat weet of kun aangeven dat je dat niet wilt. Enkel in de Enterprise Windows 10 kun je (maar dat is ook pas sinds kort) telemetrie helemaal uitzetten maar bij Office is deze optie er niet. Op basis van het Nederlands onderzoek gaat Microsoft nu dus een versie van Office leveren aan de overheid waarin je telemetrie e.d. kunt uitschakelen, maar de versie van Windows en Office die de meeste bedrijven of consumenten gebruiken blijven dus data lekken. De telemetrie data is bijvoorbeeld ook versleuteld, zodat je niet (eenvoudig) kunt controleren wat er wordt verstuurd. Naast dat het lekken van data op deze wijze voor de overheid netje gezegd onwenselijk is, lijkt me at ook het geval voor bedrijven en betalende consumenten.
base_ @DigitalExorcist9 april 2019 00:56
Hoe weet office 365 waar BSN-, paspoort- of creditcardnummers in zitten?
Users die "getarget" worden door wat?
Ik erger me kapot dat microsoft probeert via de office 365 installatie (ook domein) user accounts te koppelen aan een microsoft account, en bij voorkeur meteen ook al je apparaten meeneemt. En je handschrift, typgedrag, browsegedrag, alle geinstalleerde software, emailaccounts etc. ook graag voor je bijhoudt.
Het is totaal niet transparant wat er nou precies gedeeld wordt.
Natuurlijk is e.e.a. met software en group policies dicht te timmeren maar e.e.a. kan beter opt-in zijn als opt-out denk ik.
Ik wordt doodmoe van het afvinken van die onzin, en als je bijvoorbeeld een O&O shutup draait en ziet wat er zoal draait zou je er terecht pranoia van worden.
DigitalExorcist @base_9 april 2019 06:52
Users die doelwit zijn van phishing, of accounts die gehacked dreigen te worden (je krijgt bijv in je beveiligingsmenu alarmpjes wanneer er logins plaatsvinden vanuit locaties die je onmogelijk bezocht kan hebben in de tijdspanne vergeleken met je vorige login. Stel, je logt in Nederland ‘s ochtends om 10.00 uur in en vanuit Thailand om 13.00 uur, dan krijg je een alarm dat iemand probeert in te breken omdat je nooit in 3 uur tijd aan de andere kant van de wereld kunt zijn).

En patroonherkenning voor die gevoelige gegevens. Naast dat je natuurlijk je documenten moet metadateren (zelf aangeven of iets gevoelige info bevat) of een bepaald beveiligingsniveau moet hebben.

Althans... zo zou het moeten werken. De locatie van je files is veel minder van belang, zolang de tags maar kloppen is alles altijd vindbaar - ook lokaal op je eigen pc. Gewone mapjes met bestanden erin plempen is legacy. Alles draait om de metadata.

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 04:02]

base_ @DigitalExorcist9 april 2019 10:02
Als de files gewoon lokaal op de computer of het netwerk staan dan is die toegang externe er helemaal niet.
DigitalExorcist @base_9 april 2019 11:57
Klopt, maar dan heb je -vooral zakelijk- weer hele andere uitdagingen. Denk aan federations met andere bedrijven. Ik ben nogal sceptisch op Microsoft maar dát hebben ze goed voor elkaar.

Tuurlijk, in 9 van de 10 gevallen kun je prima wegkomen met een normale fileserver. Maar sinds Windows Server 2012R2 pusht Microsoft je al richting Azure, dat is met 2016 al erg duidelijk en met 2019 al bijna onontkoombaar. En Azure is op zich een prima platform, net als O365 dat is. Ze hebben gewoon een aantal dingen op orde die je als bedrijf nodig hebt qua wetgeving en dat scheelt je als bedrijf een hoop tijd, en dus geld.

Qua externe toegang: ik zit in een paar Teams via Microsoft Teams (opvolger Lync/Skype for Business) met klanten. Erg handig om dan snel even een document te posten, bewerken, et cetera. Die 'externe toegang' is dan wel afgeschermd maar wel gedeeld met externe partijen.
Von Henkel @DigitalExorcist8 april 2019 22:34
Het zou eerder andersom moeten zijn en alles potdicht zitten. Zodat als je iets verkeerd doet je moeite moet doen om het open te krijgen.
Bij dit soort versies word altijd iets vergeten ( waar Microsoft op hoopt). Anders maakte ze het niet zo moeilijk

[Reactie gewijzigd door Von Henkel op 23 juli 2024 04:02]

t link 8 april 2019 20:52
Opzig alleen maar goed dit. als het bedrijfsleven zich er aan moet houden, dan de EU zelf ook natuurlijk. (in zovere logisch is altans.
gbrugman 8 april 2019 22:00
Het wachten is op Office 365 version 1904 die in mei beschikbaar moet komen.
iceblink 8 april 2019 21:08
Wat is een avg? Waarschijnlijk een afkorting, maar hij wordt zonder puntjes en met kleine letters gebruikt en niet uitgelegd in het artikel...
Mushroomician @iceblink8 april 2019 21:20
https://autoriteitpersoon...europese-privacywetgeving
iceblink @Mushroomician8 april 2019 21:23
Dank u.
SinergyX
8 april 2019 19:44
*leest titel*
Denkt dat het gaan om shady omkoopdeals om hun software aan de man te brengen bij instituties.

Gaat het om naleving van de AVG.. :/
DigitalExorcist @mutley698 april 2019 20:00
En jij hebt regel voor regel de broncode van Libreoffice doorgespit om te kunnen bepalen dat daar niks geks gebeurd?

Nee, dacht ik al.

Typisch gevalletje “het is open source dús is het goed”.

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 04:02]

guapper @DigitalExorcist8 april 2019 20:20
Die code is in elk geval wel transparant, zodat controle mogelijk is.
DigitalExorcist @guapper8 april 2019 21:59
Ja dat zegt iedereen. En als iedereen denkt dat anderen alle code wel checken, doet niemand het.

-1 all you want... het is en blijft de achilleshiel van open source. Men gast er vanuit dat “anderen” de kennis wel hebben.

Dat maakt closed source niet automatisch beter trouwens. Maar qua “accountability” weet je daar wél meer waar je aan toe bent.

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 04:02]

veltnet @DigitalExorcist9 april 2019 08:49
Dezelfde argumenten gaan op voor closed source
DigitalExorcist @veltnet9 april 2019 08:54
Da's maar deels zo natuurlijk. Bij closed source heb je een duidelijke eigenaar die over het algemeen het belang heeft dat code goed is, anders kost het een boel geld.

Dat bedoel ik met 'accountability'. Het Nederlandse woord is me even ontschoten... aansprakelijkheid denk ik. Als "de broncode" van Windows niet deugt is Microsoft daarvoor verantwoordelijk. Als er miljoenen PC's crashen omdat Microsoft ergens een DLL'etje verprutst is Microsoft daar duidelijk de oorzaak van.

Tuurlijk, fouten blijven gemaakt worden. En tussen aansprakelijkheid en verantwoordelijkheid zit nogal eens een groot grijs gebied. Maar bij closed source is er altijd een eigenaar en wéét je waar je moet zijn.

Weet jij zo wie er verantwoordelijk is voor de spellingscontrole-libraries van LibreOffice? En dan niet de laatste versie, maar van 3 commits geleden?

Pietje of Klaasje kunnen een fout maken in een library maar aangezien die verder geen verantwoordelijkheid hebben mag een ander dat uitzoeken. In theorie.

Nogmaals: zowel open- als closedsource hebben hun voor- en nadelen in bepaalde situaties. Voor zakelijk gebruik zou ik niet gauw m'n kritieke processen in handen leggen van open source software, juist omdat je geen garanties, geen SLA's, geen onderhoud, niks hebt om op terug te vallen. Privé zou je prima kunnen redden met open source en heb je enorm veel keuze en vrijheid en zeker als je handig bent met code kun je jezelf prima redden.

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 04:02]

sebati @DigitalExorcist9 april 2019 20:58
"Bij closed source heb je een duidelijke eigenaar die over het algemeen het belang heeft dat code goed is, anders kost het een boel geld."
Dat belang is in de open source minstens zo groot, je kunt namelijk precies zien wie welke code heeft geschreven. De theorie is dan ook dat iemand die open source code schrijft er voor zorgt dat dit ook goede code is. Bij closed source weet je nooit wie het heeft geschreven en of de kwaliteit van die code goed is, kunt enkel bepalen of deze goed functioneert. Dat jij weet bij welke bedrijf je moet zijn is ook geen garantie dat je probleem direct wordt opgelost. Soms staan bugs jaren open omdat het oplossen geen prio is. In het geval van een open source project kun je eventueel nog een bug sponseren en het iemand laten oplossen wanneer je dat zelf niet kunt.

"Voor zakelijk gebruik zou ik niet gauw m'n kritieke processen in handen leggen van open source software, juist omdat je geen garanties, geen SLA's, geen onderhoud, niks hebt om op terug te vallen."
Denk dat je de plank helemaal mis slaat.. enig idee waarvan RedHat, SUSE, Ubuntu, etc bestaan? Anders dan bij closed source bestaan bedrijven als deze omdat ze ondersteuning verlenen op open source software. Google, Amazon, Facebook en vele andere zouden niet kunnen bestaan wanneer open source niet zou bestaan. Zelfs Microsoft praat op dit moment alleen nog maar over Linux en open source, mede gedwongen omdat meer dan de helft van alle servers op hun Azure platform bestaat uit Linux, kopen open source bedrijven, open sourcen code en hebben open source ontwikkelaars in dienst (ze claimen zelfs de meeste van allemaal).

Achter de meeste open source projecten zitten over het algemeen grote bedrijven die ontwikkelaars in dienst hebben of betalen die projecten te onderhouden. Natuurlijk zijn er projecten waar iemand op zń zolderkamer in de avonduren aan mee knutselt, maar de kracht is vaak dat zij ook iets van elkaar kunnen leren. Het idee is juist dat deze commerciële partijen binnen zo'n project dat onderdeel ontwikkelen dat voor hen van strategisch belang is. Ik denk ook dat je de educatieve kant niet moet onderschatten, denk dan bijvoorbeeld aan de Google Summer of Code en andere vergelijkbare initiatieven.

Mbt het voorbeeld van LibreOffice: ook hier zitten een aantal grote partijen achter zoals Collabora en CIB. Zij ontwikkelen en ondersteunen LibreOffice. Je kunt een build bij LibreOffice downloaden voor thuisgebruik, maar je kunt ook tegen betaling een versie van CIB of Collabora krijgen waarop Enterprise level ondersteuning zit. Collabora is bijvoorbeeld ook de grootste ontwikkelaar achter LibreOffice Online en hun enterprise versie Collabora Office Online, wat door verschillende hosting partijen wordt aangeboden tbv online document (co)editing.
DigitalExorcist @sebati10 april 2019 07:03
Zeker Redhat is een commerciële partij waarmee je supportcontracten kan afsluiten. IBM is ook gek op Linux en support het zelf ook. Maar niet gratis.

De nuance is wellicht dat ik er teveel van uit ga dat zolderkamer-programmeurs alle open source software bouwen en dat is inderdaad niet zo.
veltnet @DigitalExorcist9 april 2019 09:16
Een bug is een bug...of deze nu in closed source of in open source software zit. Je kan niet van gebruikers kan verwachten dat ze zelf bugs gaan fixen.
Welk bedrijf er dan achter zit en wat de licentievorm is dan maakt voor de gebruiker verder niet uit. Wie er uiteindelijk verantwoordelijk is voor die bug is ook niet relevant.

Als gebruiker maakt het dus helemaal niet uit wat de licentievorm van software is. Werkt het niet dan heb je een probleem.
YoMarK @DigitalExorcist9 april 2019 13:54
Bij closed source mag de eigenaar van de code dan een belang bij "goede" code hebben, maar dat is nog altijd "zijn" belang, en dat is niet perse of soms helemaal niet "jouw" belang. Het is maar waar meer aan verdient wordt, je abonnementje of andere opbrengsten uit b.v. data-mining of advertentieopbrengsten. Of het beste: allemaal tegelijk.

Dus doe niet zo raar.
Closed source code eerder vertrouwen dan open source code is de omgekeerde wereld(nu we het daar toch over hebben, het is net zo naïef en niet-feitelijk als die mensen die geloven in een platte aarde ).

[Reactie gewijzigd door YoMarK op 23 juli 2024 04:02]

DigitalExorcist @YoMarK9 april 2019 13:57
Beetje lastig he, leren lezen....

Beide. Vormen. Hebben. Hun. Voor. En. Nadelen.

Blind vertrouwen op open source is net zo dom zolang je niet in staat bent zélf de code volledig te lezen en er vanuit te gaan dat een of andere random jandoedel dat wel voor je gedaan heeft. Closed source code vertrouwen is ook dom juist omdát je de code niet kunt lezen.
Zer0 @guapper8 april 2019 22:01
++++++++[>++++[>++>+++>+++>+<<<<-]>+>+>->>+[<]<-]>>.>---.+++++++..+++.>>.<-.<.+++.------.--------.>>+.>++.

... de source-code voor het standaard hello world in Brainfuck.... lekker transparant he?
Floort
@guapper8 april 2019 23:24
Dit gaat over controle van de contracten met Microsoft en heeft niks met de broncode te maken. Als het gaat over de DPIA waar de EDPS naar verwijst is dat (gedeeltelijk) een voorbeeld van controle van een closed source systeem. Dat kan dus ook. Zelf een patch kunnen submitten om problemen te verhelpen had het ongetwijfeld makkelijker gemaakt,maar de controle is hoe dan ook mogelijk.

[Reactie gewijzigd door Floort op 23 juli 2024 04:02]

CR2032 @DigitalExorcist8 april 2019 22:27
Altijd beter dan gesloten code, of wil je op de blauwe ogen geloven wat marketing roept. Dat is pas naïef.

Wanneer er verdenkingen zijn kun je tenminste nog wat checken en contact zoeken met developers. Zo moeilijk is dit alles ook niet te vinden. https://www.libreoffice.org/community/developers/

Nu moet er eerst een grote rel ontstaan door de EU wil Microsoft in beweging komen en verbeterde versies maken van Windows en Office. Voor alleen de overheid, voor de rest van de wereld is de privacy nog steeds kapot. Na jaren van ontkenning en andere vage praat.

[Reactie gewijzigd door CR2032 op 23 juli 2024 04:02]

DigitalExorcist @CR20329 april 2019 06:49
Beiden zijn niet ideaal; en voor beiden zijn prima redenen om ze te gebruiken.

Als je goed kan programmeren moet je je software gewoon zélf maken 😶
Frubelaar @CR20329 april 2019 11:04
Altijd beter dan gesloten code, of wil je op de blauwe ogen geloven wat marketing roept. Dat is pas naïef.
Dat is zeer juist.
Toch vallen heel veel mensen voor dat soort marketing. Maakt niet uit of het software of hardware is.
Geloven in een veilig open source is ook naief.
CR2032 @Frubelaar17 april 2019 18:15
En daarom wil je open source zodat er tenminste bij de bron gecontroleerd kan worden.
Zonder controle is het inderdaad niet per definitie veilig.
wica @mutley698 april 2019 19:51
Je kan er toch voor kiezen om geen Microsoft te gebruiken?
En als je het moet gebruiken van je werkgever, klaag je werkgever lekker aan. Die is tenslotte verantwoordelijk voor dat de dingen die jij moet gebruiken de wet niet overtreden :)
La1974 @wica8 april 2019 20:04
En waar sla je dan alles op? Hoe verstuur je het? Je maakt als groot bedrijf al snel gebruik van derde partijen en dat groeit alleen maar.

Er zijn niet zo heel veel serieuze alternatieven voor Microsoft.
Nevel @La19748 april 2019 21:50
Qua workstations is Linux Mint inmiddels een prima alternatief, Confluence kan Sharepoint vervangen, SQL Server heeft meer dan genoeg concurrentie... Voor LDAP en Exchange Server zal toch ook vast wel een degelijke oplossing bestaan? Zie ik nog iets over het hoofd?
DigitalExorcist @Nevel8 april 2019 22:04
Intern kan je dat regelen. Maar hoe zit het met federations? Lync/Skype tussen verschillende bedrijven? Straks MS Teams die dat overneemt? GDPR/AVG audits en rapportages en support daarop?

Mail en wat documentjes kan prima, maar dat is het begin van het begin. Al je bedrijfsprocessen moeten erin ... dat wordt gedoe.
La1974 @Nevel8 april 2019 23:11
Ja, je vergeet de eindgebruikers. Die wil je toch niet opzadelen met Linux als ze thuis Windows gewend zijn.

Confluence is absoluut geen alternatief voor SharePoint. Grote bestanden kan je er niet op kwijt. Zoeken is een lachertje. Confluence is op zijn best een Wiki voor tech nerds.

Een echt alternatief voor Office is er ook niet zonder dat je je helpdesk kunt verdubbelen.

Daarnaast kan je contractueel van alles vastleggen. Ook over het naleven van de AVG. En dat is een beperkt aantal contractpartijen ipv veel kleine of open source wel zo handig.

Ik zeg niet dat het niet zou kunnen. Maar ik denk niet dat er veel grote bedrijven zijn die niet met Microsoft werken.
latka @La19749 april 2019 08:39
Google gebruikt Linux op de desktop. Bij IBM mag het. Het is eigenlijk voornamelijk mkb waar het zowiezo geen optie is.
Nevel @La19749 april 2019 10:45
Ik ben het niet per se oneens met je al je punten, maar zoveel verschil merken ze echt niet als je ze een degelijke distro geeft. Ze hoeven heus niet met de shell te knoeien. Gewoon inloggen en via een start menu aan de slag met LibreOffice, browsers, etc.
DigitalExorcist @La19748 april 2019 20:11
Pfff.. waarom zou je je werkgever aanklagen. Als die kiest om iets te gebruiken en daarmee de AVG overtreed is het niet jouw probleem. Alles wat je creeert in de baas z’n tijd met zijn middelen is eigendom van de baas dus het is niet alsof je er zelf bij inschiet.
Damic @mutley698 april 2019 21:13
En de telemetrie in windows zelf, daar al eens over nagedacht.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq