Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Datatoezichthouder onderzoekt softwaredeals tussen EU-instituties en Microsoft

De European Data Protection Supervisor heeft een onderzoek ingesteld naar de contractuele regelingen die gesloten zijn tussen EU-instituties en Microsoft. Deze EU-toezichthouder heeft als taak de naleving van de databeschermingsregels uit de avg af te dwingen.

Wat betreft outsourcing zijn er sinds december vorig jaar juridische veranderingen doorgevoerd en dat betekent dat contractanten nu directe verantwoordelijkheden hebben om te handelen in overeenstemming met regels zoals die van de avg. Ook al gaat het om derde partijen die diensten leveren, zoals Microsoft in dit geval, de EU-instituties blijven verantwoordelijk als er data voor hen wordt verwerkt door anderen. Daarbij moeten ze ook eventuele risico's identificeren en indammen. Vanuit dit uitgangspunt wordt de contractuele relatie tussen de EU-instituties en Microsoft onderzocht, meldt Wojciech Wiewiórowski, een medewerker van de EDPS.

Het draait hierbij om de regels van een in december vorig jaar ingevoerde verordening. De regels uit de verordening zien op het beschermen van natuurlijke personen in verband met de verwerking van persoonsgegevens door de verschillende EU-instellingen. Deze verordening zorgt ervoor dat de databeschermingsregels die van toepassing zijn op de EU-instituties, in lijn worden gebracht met de regels die op basis van de algemene verordening gegevensbescherming ook al voor bedrijven en organisaties binnen de EU gelden.

De EDPS verwijst hierbij naar een onderzoek van het Nederlandse ministerie van Justitie en Veiligheid uit november vorig jaar. Toen constateerde het ministerie dat Windows 10 Enterprise en Microsoft Office een risico vormen voor de privacy van ambtenaren. Dat hangt samen met het feit dat Microsoft bij deze software gebruikersgegevens verzamelt en opslaat in de VS. Microsoft beloofde toen dat het aanpassingen ging doorvoeren zodat overheidsdiensten de software kunnen gebruiken in overeenstemming met de algemene verordening gegevensbescherming. Uiterlijk deze maand moeten die wijzigingen zijn doorgevoerd; het ministerie gaf eerder aan dat het gaat controleren of dat ook daadwerkelijk gebeurd is.

Door Joris Jansen

Nieuwsredacteur

08-04-2019 • 19:38

40 Linkedin Google+

Reacties (40)

Wijzig sortering
Ik heb tot op heden nog geen privacy vriendelijke Windows/Office versie zien langskomen...
Ben benieuwd hoe ze dit gaan doen
O365 / Microsoft 365 heeft behoorlijk wat opties en tools voor GDPR compliancy en auditing. Het houdt bijv al bij in welke documenten er BSN-, paspoort- of creditcardnummers verstuurd worden, DRM kun je behoorlijk ver doorvoeren, rapportages maken welke user het vaakst “getarget” wordt, 2FA kun je regelen, met InTune kun je devices dichtzetten en beheren...

De mogelijkheden zijn enorm uitgebreid. Kwestie van inrichting hoe ver je ermee wil gaan. Maar een belangrijke factor zijn je users zelf: al is de wetgeving nog zo snel, een onnozele actie van een eindgebruiker achterhaalt hem wel.
Het probleem hier is, en blijft, dat je data staat op een server van een Amerikaans bedrijf en daarmee valt onder de CloudAct. De Amerikaanse overheid kan zich in principe toegang verschaffen tot die data zonder dat ze jou daarvan op de hoogte hoeven te stellen, zelfs als deze data op servers op niet Amerikaans grondgebied staat.

Zelfs als zou er op die manier (O365) geen data lekken, dan gebeurd dat ook wel via je Windows 10 en Office middels o.a. telemetrie en bijvoorbeeld ook de spelling controle waarbij niet alleen woorden maar ook zinnen en alinea's worden doorgestuurd om de context van te begrijpen. Deze data wordt door veel teams binnen Microsoft verwerkt en jij hebt geen enkele controle over wie, wanneer en waar iemand bij die data kan, hoe deze is opgeslagen, voor hoe lang en met wie Microsoft deze data verder deelt ten behoeve van andere (commerciële) doeleinden. Denk ook aan de analyse van je spraak.

Het maakt dus niet uit of je je disk versleuteld en allemaal mooie tools hebt (krijgt) die allerlei zaken dicht zetten zodat jij het gevoel krijgt dat alles veilig is en er stikkers op zitten GDPR-compliant. Ondertussen lekt er data naar Microsoft zonder dat jij dat weet of kun aangeven dat je dat niet wilt. Enkel in de Enterprise Windows 10 kun je (maar dat is ook pas sinds kort) telemetrie helemaal uitzetten maar bij Office is deze optie er niet. Op basis van het Nederlands onderzoek gaat Microsoft nu dus een versie van Office leveren aan de overheid waarin je telemetrie e.d. kunt uitschakelen, maar de versie van Windows en Office die de meeste bedrijven of consumenten gebruiken blijven dus data lekken. De telemetrie data is bijvoorbeeld ook versleuteld, zodat je niet (eenvoudig) kunt controleren wat er wordt verstuurd. Naast dat het lekken van data op deze wijze voor de overheid netje gezegd onwenselijk is, lijkt me at ook het geval voor bedrijven en betalende consumenten.
Hoe weet office 365 waar BSN-, paspoort- of creditcardnummers in zitten?
Users die "getarget" worden door wat?
Ik erger me kapot dat microsoft probeert via de office 365 installatie (ook domein) user accounts te koppelen aan een microsoft account, en bij voorkeur meteen ook al je apparaten meeneemt. En je handschrift, typgedrag, browsegedrag, alle geinstalleerde software, emailaccounts etc. ook graag voor je bijhoudt.
Het is totaal niet transparant wat er nou precies gedeeld wordt.
Natuurlijk is e.e.a. met software en group policies dicht te timmeren maar e.e.a. kan beter opt-in zijn als opt-out denk ik.
Ik wordt doodmoe van het afvinken van die onzin, en als je bijvoorbeeld een O&O shutup draait en ziet wat er zoal draait zou je er terecht pranoia van worden.
Users die doelwit zijn van phishing, of accounts die gehacked dreigen te worden (je krijgt bijv in je beveiligingsmenu alarmpjes wanneer er logins plaatsvinden vanuit locaties die je onmogelijk bezocht kan hebben in de tijdspanne vergeleken met je vorige login. Stel, je logt in Nederland ‘s ochtends om 10.00 uur in en vanuit Thailand om 13.00 uur, dan krijg je een alarm dat iemand probeert in te breken omdat je nooit in 3 uur tijd aan de andere kant van de wereld kunt zijn).

En patroonherkenning voor die gevoelige gegevens. Naast dat je natuurlijk je documenten moet metadateren (zelf aangeven of iets gevoelige info bevat) of een bepaald beveiligingsniveau moet hebben.

Althans... zo zou het moeten werken. De locatie van je files is veel minder van belang, zolang de tags maar kloppen is alles altijd vindbaar - ook lokaal op je eigen pc. Gewone mapjes met bestanden erin plempen is legacy. Alles draait om de metadata.

[Reactie gewijzigd door DigitalExcorcist op 9 april 2019 06:58]

Als de files gewoon lokaal op de computer of het netwerk staan dan is die toegang externe er helemaal niet.
Klopt, maar dan heb je -vooral zakelijk- weer hele andere uitdagingen. Denk aan federations met andere bedrijven. Ik ben nogal sceptisch op Microsoft maar dát hebben ze goed voor elkaar.

Tuurlijk, in 9 van de 10 gevallen kun je prima wegkomen met een normale fileserver. Maar sinds Windows Server 2012R2 pusht Microsoft je al richting Azure, dat is met 2016 al erg duidelijk en met 2019 al bijna onontkoombaar. En Azure is op zich een prima platform, net als O365 dat is. Ze hebben gewoon een aantal dingen op orde die je als bedrijf nodig hebt qua wetgeving en dat scheelt je als bedrijf een hoop tijd, en dus geld.

Qua externe toegang: ik zit in een paar Teams via Microsoft Teams (opvolger Lync/Skype for Business) met klanten. Erg handig om dan snel even een document te posten, bewerken, et cetera. Die 'externe toegang' is dan wel afgeschermd maar wel gedeeld met externe partijen.
Het zou eerder andersom moeten zijn en alles potdicht zitten. Zodat als je iets verkeerd doet je moeite moet doen om het open te krijgen.
Bij dit soort versies word altijd iets vergeten ( waar Microsoft op hoopt). Anders maakte ze het niet zo moeilijk

[Reactie gewijzigd door Von Henkel op 8 april 2019 22:35]

Opzig alleen maar goed dit. als het bedrijfsleven zich er aan moet houden, dan de EU zelf ook natuurlijk. (in zovere logisch is altans.
Het wachten is op Office 365 version 1904 die in mei beschikbaar moet komen.
Wat is een avg? Waarschijnlijk een afkorting, maar hij wordt zonder puntjes en met kleine letters gebruikt en niet uitgelegd in het artikel...
*leest titel*
Denkt dat het gaan om shady omkoopdeals om hun software aan de man te brengen bij instituties.

Gaat het om naleving van de AVG.. :/
En jij hebt regel voor regel de broncode van Libreoffice doorgespit om te kunnen bepalen dat daar niks geks gebeurd?

Nee, dacht ik al.

Typisch gevalletje “het is open source dús is het goed”.

[Reactie gewijzigd door DigitalExcorcist op 8 april 2019 20:12]

Die code is in elk geval wel transparant, zodat controle mogelijk is.
Ja dat zegt iedereen. En als iedereen denkt dat anderen alle code wel checken, doet niemand het.

-1 all you want... het is en blijft de achilleshiel van open source. Men gast er vanuit dat “anderen” de kennis wel hebben.

Dat maakt closed source niet automatisch beter trouwens. Maar qua “accountability” weet je daar wél meer waar je aan toe bent.

[Reactie gewijzigd door DigitalExcorcist op 8 april 2019 22:00]

Dezelfde argumenten gaan op voor closed source
Da's maar deels zo natuurlijk. Bij closed source heb je een duidelijke eigenaar die over het algemeen het belang heeft dat code goed is, anders kost het een boel geld.

Dat bedoel ik met 'accountability'. Het Nederlandse woord is me even ontschoten... aansprakelijkheid denk ik. Als "de broncode" van Windows niet deugt is Microsoft daarvoor verantwoordelijk. Als er miljoenen PC's crashen omdat Microsoft ergens een DLL'etje verprutst is Microsoft daar duidelijk de oorzaak van.

Tuurlijk, fouten blijven gemaakt worden. En tussen aansprakelijkheid en verantwoordelijkheid zit nogal eens een groot grijs gebied. Maar bij closed source is er altijd een eigenaar en wéét je waar je moet zijn.

Weet jij zo wie er verantwoordelijk is voor de spellingscontrole-libraries van LibreOffice? En dan niet de laatste versie, maar van 3 commits geleden?

Pietje of Klaasje kunnen een fout maken in een library maar aangezien die verder geen verantwoordelijkheid hebben mag een ander dat uitzoeken. In theorie.

Nogmaals: zowel open- als closedsource hebben hun voor- en nadelen in bepaalde situaties. Voor zakelijk gebruik zou ik niet gauw m'n kritieke processen in handen leggen van open source software, juist omdat je geen garanties, geen SLA's, geen onderhoud, niks hebt om op terug te vallen. Privé zou je prima kunnen redden met open source en heb je enorm veel keuze en vrijheid en zeker als je handig bent met code kun je jezelf prima redden.

[Reactie gewijzigd door DigitalExcorcist op 9 april 2019 09:01]

"Bij closed source heb je een duidelijke eigenaar die over het algemeen het belang heeft dat code goed is, anders kost het een boel geld."
Dat belang is in de open source minstens zo groot, je kunt namelijk precies zien wie welke code heeft geschreven. De theorie is dan ook dat iemand die open source code schrijft er voor zorgt dat dit ook goede code is. Bij closed source weet je nooit wie het heeft geschreven en of de kwaliteit van die code goed is, kunt enkel bepalen of deze goed functioneert. Dat jij weet bij welke bedrijf je moet zijn is ook geen garantie dat je probleem direct wordt opgelost. Soms staan bugs jaren open omdat het oplossen geen prio is. In het geval van een open source project kun je eventueel nog een bug sponseren en het iemand laten oplossen wanneer je dat zelf niet kunt.

"Voor zakelijk gebruik zou ik niet gauw m'n kritieke processen in handen leggen van open source software, juist omdat je geen garanties, geen SLA's, geen onderhoud, niks hebt om op terug te vallen."
Denk dat je de plank helemaal mis slaat.. enig idee waarvan RedHat, SUSE, Ubuntu, etc bestaan? Anders dan bij closed source bestaan bedrijven als deze omdat ze ondersteuning verlenen op open source software. Google, Amazon, Facebook en vele andere zouden niet kunnen bestaan wanneer open source niet zou bestaan. Zelfs Microsoft praat op dit moment alleen nog maar over Linux en open source, mede gedwongen omdat meer dan de helft van alle servers op hun Azure platform bestaat uit Linux, kopen open source bedrijven, open sourcen code en hebben open source ontwikkelaars in dienst (ze claimen zelfs de meeste van allemaal).

Achter de meeste open source projecten zitten over het algemeen grote bedrijven die ontwikkelaars in dienst hebben of betalen die projecten te onderhouden. Natuurlijk zijn er projecten waar iemand op zń zolderkamer in de avonduren aan mee knutselt, maar de kracht is vaak dat zij ook iets van elkaar kunnen leren. Het idee is juist dat deze commerciële partijen binnen zo'n project dat onderdeel ontwikkelen dat voor hen van strategisch belang is. Ik denk ook dat je de educatieve kant niet moet onderschatten, denk dan bijvoorbeeld aan de Google Summer of Code en andere vergelijkbare initiatieven.

Mbt het voorbeeld van LibreOffice: ook hier zitten een aantal grote partijen achter zoals Collabora en CIB. Zij ontwikkelen en ondersteunen LibreOffice. Je kunt een build bij LibreOffice downloaden voor thuisgebruik, maar je kunt ook tegen betaling een versie van CIB of Collabora krijgen waarop Enterprise level ondersteuning zit. Collabora is bijvoorbeeld ook de grootste ontwikkelaar achter LibreOffice Online en hun enterprise versie Collabora Office Online, wat door verschillende hosting partijen wordt aangeboden tbv online document (co)editing.
Zeker Redhat is een commerciële partij waarmee je supportcontracten kan afsluiten. IBM is ook gek op Linux en support het zelf ook. Maar niet gratis.

De nuance is wellicht dat ik er teveel van uit ga dat zolderkamer-programmeurs alle open source software bouwen en dat is inderdaad niet zo.
Een bug is een bug...of deze nu in closed source of in open source software zit. Je kan niet van gebruikers kan verwachten dat ze zelf bugs gaan fixen.
Welk bedrijf er dan achter zit en wat de licentievorm is dan maakt voor de gebruiker verder niet uit. Wie er uiteindelijk verantwoordelijk is voor die bug is ook niet relevant.

Als gebruiker maakt het dus helemaal niet uit wat de licentievorm van software is. Werkt het niet dan heb je een probleem.
Bij closed source mag de eigenaar van de code dan een belang bij "goede" code hebben, maar dat is nog altijd "zijn" belang, en dat is niet perse of soms helemaal niet "jouw" belang. Het is maar waar meer aan verdient wordt, je abonnementje of andere opbrengsten uit b.v. data-mining of advertentieopbrengsten. Of het beste: allemaal tegelijk.

Dus doe niet zo raar.
Closed source code eerder vertrouwen dan open source code is de omgekeerde wereld(nu we het daar toch over hebben, het is net zo naïef en niet-feitelijk als die mensen die geloven in een platte aarde ).

[Reactie gewijzigd door YoMarK op 9 april 2019 13:55]

Beetje lastig he, leren lezen....

Beide. Vormen. Hebben. Hun. Voor. En. Nadelen.

Blind vertrouwen op open source is net zo dom zolang je niet in staat bent zélf de code volledig te lezen en er vanuit te gaan dat een of andere random jandoedel dat wel voor je gedaan heeft. Closed source code vertrouwen is ook dom juist omdát je de code niet kunt lezen.
++++++++[>++++[>++>+++>+++>+<<<<-]>+>+>->>+[<]<-]>>.>---.+++++++..+++.>>.<-.<.+++.------.--------.>>+.>++.

... de source-code voor het standaard hello world in Brainfuck.... lekker transparant he?
Dit gaat over controle van de contracten met Microsoft en heeft niks met de broncode te maken. Als het gaat over de DPIA waar de EDPS naar verwijst is dat (gedeeltelijk) een voorbeeld van controle van een closed source systeem. Dat kan dus ook. Zelf een patch kunnen submitten om problemen te verhelpen had het ongetwijfeld makkelijker gemaakt,maar de controle is hoe dan ook mogelijk.

[Reactie gewijzigd door Floort op 9 april 2019 00:30]

Altijd beter dan gesloten code, of wil je op de blauwe ogen geloven wat marketing roept. Dat is pas naïef.

Wanneer er verdenkingen zijn kun je tenminste nog wat checken en contact zoeken met developers. Zo moeilijk is dit alles ook niet te vinden. https://www.libreoffice.org/community/developers/

Nu moet er eerst een grote rel ontstaan door de EU wil Microsoft in beweging komen en verbeterde versies maken van Windows en Office. Voor alleen de overheid, voor de rest van de wereld is de privacy nog steeds kapot. Na jaren van ontkenning en andere vage praat.

[Reactie gewijzigd door CR2032 op 8 april 2019 22:28]

Beiden zijn niet ideaal; en voor beiden zijn prima redenen om ze te gebruiken.

Als je goed kan programmeren moet je je software gewoon zélf maken 😶
Altijd beter dan gesloten code, of wil je op de blauwe ogen geloven wat marketing roept. Dat is pas naïef.
Dat is zeer juist.
Toch vallen heel veel mensen voor dat soort marketing. Maakt niet uit of het software of hardware is.
Geloven in een veilig open source is ook naief.
En daarom wil je open source zodat er tenminste bij de bron gecontroleerd kan worden.
Zonder controle is het inderdaad niet per definitie veilig.
Je kan er toch voor kiezen om geen Microsoft te gebruiken?
En als je het moet gebruiken van je werkgever, klaag je werkgever lekker aan. Die is tenslotte verantwoordelijk voor dat de dingen die jij moet gebruiken de wet niet overtreden :)
En waar sla je dan alles op? Hoe verstuur je het? Je maakt als groot bedrijf al snel gebruik van derde partijen en dat groeit alleen maar.

Er zijn niet zo heel veel serieuze alternatieven voor Microsoft.
Qua workstations is Linux Mint inmiddels een prima alternatief, Confluence kan Sharepoint vervangen, SQL Server heeft meer dan genoeg concurrentie... Voor LDAP en Exchange Server zal toch ook vast wel een degelijke oplossing bestaan? Zie ik nog iets over het hoofd?
Intern kan je dat regelen. Maar hoe zit het met federations? Lync/Skype tussen verschillende bedrijven? Straks MS Teams die dat overneemt? GDPR/AVG audits en rapportages en support daarop?

Mail en wat documentjes kan prima, maar dat is het begin van het begin. Al je bedrijfsprocessen moeten erin ... dat wordt gedoe.
Ja, je vergeet de eindgebruikers. Die wil je toch niet opzadelen met Linux als ze thuis Windows gewend zijn.

Confluence is absoluut geen alternatief voor SharePoint. Grote bestanden kan je er niet op kwijt. Zoeken is een lachertje. Confluence is op zijn best een Wiki voor tech nerds.

Een echt alternatief voor Office is er ook niet zonder dat je je helpdesk kunt verdubbelen.

Daarnaast kan je contractueel van alles vastleggen. Ook over het naleven van de AVG. En dat is een beperkt aantal contractpartijen ipv veel kleine of open source wel zo handig.

Ik zeg niet dat het niet zou kunnen. Maar ik denk niet dat er veel grote bedrijven zijn die niet met Microsoft werken.
Google gebruikt Linux op de desktop. Bij IBM mag het. Het is eigenlijk voornamelijk mkb waar het zowiezo geen optie is.
Ik ben het niet per se oneens met je al je punten, maar zoveel verschil merken ze echt niet als je ze een degelijke distro geeft. Ze hoeven heus niet met de shell te knoeien. Gewoon inloggen en via een start menu aan de slag met LibreOffice, browsers, etc.
Pfff.. waarom zou je je werkgever aanklagen. Als die kiest om iets te gebruiken en daarmee de AVG overtreed is het niet jouw probleem. Alles wat je creeert in de baas z’n tijd met zijn middelen is eigendom van de baas dus het is niet alsof je er zelf bij inschiet.
En de telemetrie in windows zelf, daar al eens over nagedacht.


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True