Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Windows 10 Enterprise en Office voldoen nog niet aan privacyeisen van overheid

Windows 10 Enterprise en de mobiele apps voor Microsoft Office voldoen nog niet aan de voorwaarden die de Rijksoverheid aan de software heeft gesteld. Het besturingssysteem en de programma's zouden worden aangepast, maar dat is nog niet voor alle software gebeurd.

De afspraken die de overheid met Microsoft heeft gemaakt, en de beloofde veranderingen van dat bedrijf zijn nog niet bij alle producten doorgevoerd, blijkt uit een privacy impact assessment van Privacy Company. Dat keek in opdracht van het Strategisch Leveranciersmanagement Microsoft Rijk naar de mogelijke privacygevoelige problemen rondom Microsofts software. Dat assessment was een vervolg op een eerder onderzoek dat het SLM Rijk had laten uitvoeren. Daaruit bleek dat sommige software van Microsoft niet voldeed aan de AVG en gevoelige telemetrie naar het bedrijf stuurde.

Naar aanleiding van de eerdere audit maakte de overheid afspraken met Microsoft over nieuwe software. Nu blijkt uit een nieuwe audit dat de voorgestelde verbeteringen niet overal zijn doorgevoerd. Dat is wel gebeurd bij Office 365 ProPlus, waarin sinds versie 1904 meer mogelijkheden zitten voor systeembeheerders om de telemetrieverzameling te minimaliseren. In Windows 10 Enterprise, Office Online en de mobiele Office-apps is dat echter nog niet het geval.

In Office Online is het niet mogelijk dataverzameling te minimaliseren. In zeker drie mobiele iOS-apps voor Office wordt data verzameld dat naar een Amerikaans marketingbedrijf gaat dat is gespecialiseerd in voorspellende profilering, stelt Privacy Company. Er wordt bovendien geen informatie gegeven over het doel van die dataverzameling, en gebruikers en systeembeheerders kunnen dat niet voorkomen. In Windows 10 Enterprise wordt ook telemetrie verzameld, maar dat is volgens de nieuwe audit wel te minimaliseren door systeembeheerders.

De audit is geen verplichting voor de overheid, maar vooral een aanbeveling. Privacy Company raadt systeembeheerders aan Office Online en de mobiele Office-apps niet meer te gebruiken, en om in Windows 10 Enterprise de dataverzameling te minimaliseren. Of de overheid de aanbevelingen gaat overnemen, is nog niet bekend. Een woordvoerder van het ministerie van Justitie en Veiligheid kon die vraag niet direct beantwoorden.

Door Tijs Hofmans

Redacteur privacy & security

31-07-2019 • 10:41

152 Linkedin Google+

Submitter: Ma_rK

Reacties (152)

Wijzig sortering
Dat is wel gebeurd bij Office 365 ProPlus, waarin sinds versie 1904 meer mogelijkheden zitten voor systeembeheerders om de telemetrieverzameling te minimaliseren.
Hoe moeilijk is het te begrijpen dat er een knop moet komen die ALLE telemetrie HARD uitzet?
Hoe moeilijk is het om als overheid dat te eisen, voor elk product, namens je inwoners...
Omdat iedere contracthouder deze onderhandeling (met Microsoft) afzonderlijk moet voeren. Dit is ook enkel de rijksoverheid die deze onderhandeling hier voert, gaat dus niet over gemeenten en andere lagere overheden. Zij zullen voor hun eigen contracten dergelijke onderhandelingen moeten voeren met Microsoft, net als bedrijven jij als je MS producten gebruikt.

Het probleem ontstaat wanneer de leverancier een machtspositie heeft ten opzichte van de klant; klant heeft gewoon vrijwel niets in te brengen en leverancier zegt ja en doet gewoon nee (of gewoon weer iets anders) omdat zij weten dat de klant toch niet een andere keuze gaat (kan) maken. Dit heet vendor lock-in. Enige oplossing is (als overheid) zorgen voor meer concurrentie door eens de daad bij het woord te voegen en een andere keuze te maken en dan eens te kiezen voor niet-microsoft oplossingen. Ja, dat zal soms zeker een lange adem project worden, maar op lange termijn zal dit voordelen hebben.
Maak dus simpelweg een wet waarin je het omdraait.
Het vergaren van gegevens is per definitie niet toegestaan.
Tenzij...
En niet andersom. In de tenzij moet wat mij betreft een compensatie komen voor degene die gegevens levert. Want die hebben waarde. Maak een knop in windows waarmee je je kan aanmelden, en ontvang 1, 2 of x euro per maand voor je geleverde dienst (gegevens).
De aanname dat klantdata gratis zou moeten zijn is belachelijk.

[Reactie gewijzigd door Zynth op 31 juli 2019 12:54]

"De aanname dat klantdata gratis zou moeten zijn is belachelijk".
Het is dan ook helemaal geen technisch probleem, maar het is een bedrijfsmoraal van bepaalde grote bedrijven zoals Microsoft, Google, Facebook etc.

Er is IMO een verschil en dat is dat je bij Microsoft betaalde producten of diensten afneemt (wellicht niet van toepassing als consument als je "gratis" Windows 10 en Outlook mail gebruikt) en vervolgens alsnog moet onderhandelen over je beveiliging nivo. Daarentegen bij social media zoals Facebook gebruik je de dienst je weet (inmiddels) dat "gratis" niet bestaat en dat je dan dus met je data betaald. Datzelfde geldt natuurlijk ook voor Google diensten.
Zelfs in dat laatste geval zou je verplicht de optie moeten krijgen om financieel te compenseren voor hun kosten.
Met andere woorden; je zou altijd de optie moeten hebben, bij elk product, om tegen betaling geen gegevens weg te geven voor analyze.

De basis is dan: verplichten gegevens af te staan bij gebruik van dienst/product mag nooit.

Om toch aan data te komen, mag het bedrijf dan 2 dingen doen:
- Geld bieden om je gegevens te kopen
- Een realistisch bedrag vragen om de dienst te mogen afnemen/kopen. Bijvoorbeeld een abonnement van 4 euro per maand voor facebook.

[Reactie gewijzigd door Zynth op 31 juli 2019 15:44]

Mee eens, lijkt me evident dat er altijd een betaalde optie zou moeten zijn die voldoende waarborgen bied.
Je maakt het MS dan wel heel simpel, het kost 300 euro per jaar zonder telemetrie en 99 Euro per jaar als we je gebruikers data mogen verzamelen. Ik vermoed dat 80-90% van de mensen voor de goedkope optie zal gaan.
Ik vermoed dat 80-90% van de mensen voor de goedkope optie zal gaan.
Dat is dan de keuze van de consument. Waar het om gaat is dat je dan als consument tenminste een keuze hebt. Nu heb je die niet.
En de minder bedeelden onder ons? Die geven aan alle vedrijven de info af omdat je privacy niet kunnen betalen. Dat lijkt mij een slechte zaak.

Privacy is wat mij betreft een recht. Geen financiele bonus bij verkoop.

Daarbij, krijg ik dan ook geld als Jan zijn contactpersonen verkoopt en ik sta er in?
Privacy is wat mij betreft een recht. Geen financiele bonus bij verkoop.
De (huidige) wetgeving is het daar helaas (nog??) niet mee eens.
Daarbij, krijg ik dan ook geld als Jan zijn contactpersonen verkoopt en ik sta er in?
Dat spreekt voor zich. Indien je toestemming daarvoor geeft wil je daar natuurlijk geld voor zien; kwestie van goed onderhandelen. En als je geen toestemming geeft en hij doet het toch klaag je hem aan en eist een schadevergoeding.
Klopt, vandaar ook mijn opmerking dat het een realistisch bedrag moet zijn. Juris prudentie is nodig om dat te gaan bepalen; de verkoper moet dan ook zijn financiele gemis aantoonbaar kunnen maken.
Wat zijn je gegevens waard voor ze? Het is sowieso goed om daar wat meer transparantie in te krijgen op deze manier.
Omdat je te maken hebt met een bedrijf dat niet alleen Nederland bedient.
MS heeft al meegewerkt aan aanpassingen en zal dat weer doen.

Daarnaast vreemd dat Nederland hier zelf mee bezig is naar aanleiding van een Europese wet...Als wij dit moeten implementeren, dan ze de EU samen een vuist moeten maken. Heb je vele vliegen in 1 klap.
Omdat je te maken hebt met een bedrijf dat niet alleen Nederland bedient.
En ditzelfde bedrijf heeft voor de Duitse wet al wel uitzonderingen gemaakt, mits je je resources in die regio neerzet. Dus ze doen het wel.
Volgens mij gaan die datacenters dicht, want zowat niemand wil er gebruik van maken.
Yep, dit is correct. De soevereine datacenters worden gesloten of zijn al gesloten door Microsoft. Jammer, want dat was een mooie oplossing als het om privacy gaat.

https://news.microsoft.co...echenzentren-deutschland/
Dat lost an-sich het privacyvraagstuk niet op, maar managed de onderbuikgevoelens van de Oostenburen.
Tsja, duits is in aantallen is ook meer, volgens mij is er iets mis met de aanpak...
Het wat ik aangeef.
Ms heeft meegewerkt.
Microsoft heeft helemaal geen belang bij volledige medewerking want anders hadden ze deze mogelijkheden vanaf dag 1 al ingebouwd en was onderhandelen niet nodig geweest, dat heeft helemaal niets met het leveren van deze producten in een andere regio. Wie betaald bepaald zou het motto moeten zijn. Nu is het een kat-en-muis-spel tussen de klant en leverancier waarbij een sterke afhankelijkheidsrelatie de overhand heeft.

Gezamenlijk optrekken zou logisch zijn, maar iedere contracthouder moet dit zelf regelen. Ze kunnen natuurlijk een proces starten vanuit de EU en een boete gaan uitdelen maar dat lost het probleem niet op omdat er gewoon geen concurrentie is. In ergste geval gaan de prijzen daarna direct omhoog (dat gebeurd toch al in de meeste gevallen, niet enkel indexering) en omdat de overheid alternatieven niet steunt zitten ze vast aan deze enkele leverancier. De overheid werkt deze afhankelijkheidsrelatie dus zelf in de hand door enkel de oplossingen van deze leverancier af te nemen.
In China is volgens mij een telemetry vrije OS uitgekomen. Blijkbaar zat de verkoop voor MS in China hoog genoeg om tot zo´n actie te komen.

Persoonlijk vindt ik dat heel dat telemetry eruit moet. Of het nu in belang is voor de gebruiker, nog steeds falen ze met het pushen van updates, dat soms tot BSOD´s en zelfs dataverlies leidt.

Iedereen is gewoon een proefkonijn, en microsoft sluit altijd enige aansprakelijkheid bij verplichte updates uit. Het gaat nergens over. Linux moet gewoon met een kant en klaar pakket voor niet alleen de overheid, maar ook instellingen en partiulieren / MKB´ers komen, moet je eens kijken hoe snel men bereid is over te willen stappen.
Linux is een kernel, maar vermoed dat je bedoeld een "distributie" zoals OpenSUSE/Fedorea/Ubuntu/Debian/etc. Kant en klare (open source) oplossingen zijn er voldoende, het is een kwestie van het maken van keuzen; LibreOffice (-Online), Nextcloud, Kopano, Univention, Pydio, EGroupware, Kolab, naast de open source distro's natuurlijk de ondersteunde versies van RedHat, SUSE, Ubuntu. Er is eigenlijk teveel om op te noemen. Al die oplossingen kun je in een gratis/vrije versie en/of in een editie met ondersteuning afnemen.
"Dat klinkt logisch; dus gaan we dat niet doen"
- Overheid motto
Dat is dus precies wat Microsoft heeft gedaan...
Since the release of the Office 365 ProPlus version 1904, as made available by Microsoft on 29 April 2019, Microsoft has also built in a choice for system administrators to minimize the telemetry level. Microsoft offers three options: Required, Optional, and Neither.
Het enige kritiek punt is dat Microsoft eist dat Windows 10 Enterprise ten minste niet tot persoon of bedrijf herleidbare telemetrie verstuurd betreft alleen de security functies. Zodat Microsoft zo snel mogelijk ziet dat er malware door het filter heen komt, of dat er een virusuitbraak plaatsvindt, etc. je weet wel, zodat ze de echte headlines op deze site kunnen voorkomen.
Het enige kritiek punt is dat Microsoft eist dat Windows 10 Enterprise ten minste niet tot persoon of bedrijf herleidbare telemetrie verstuurd betreft alleen de security functies.
Microsoft kan het eerste niet garanderen als het laatste wordt verzameld, dus dat is al onzin.
Ik zie niet hoe moeillijk het kan zijn om gewoon de telemetrie uit te blokkeren in je hosts file.

C:\Windows\System32\Drivers\etc\
open hosts met Notepad of Notepad++ als admin, druk de regel hier onder bij in en klaar...
0.0.0.0 choice.microsoft.com
0.0.0.0 choice.microsoft.com.nsatc.net
0.0.0.0 compatexchange.cloudapp.net
0.0.0.0 corp.sts.microsoft.com
0.0.0.0 corpext.msitadfs.glbdns2.microsoft.com
0.0.0.0 cs1.wpc.v0cdn.net
0.0.0.0 df.telemetry.microsoft.com
0.0.0.0 diagnostics.support.microsoft.com
0.0.0.0 fe2.update.microsoft.com.akadns.net
0.0.0.0 feedback.microsoft-hohm.com
0.0.0.0 feedback.search.microsoft.com
0.0.0.0 feedback.windows.com
0.0.0.0 i1.services.social.microsoft.com
0.0.0.0 i1.services.social.microsoft.com.nsatc.net
0.0.0.0 oca.telemetry.microsoft.com
0.0.0.0 oca.telemetry.microsoft.com.nsatc.net
0.0.0.0 pre.footprintpredict.com
0.0.0.0 redir.metaservices.microsoft.com
0.0.0.0 reports.wes.df.telemetry.microsoft.com
0.0.0.0 services.wes.df.telemetry.microsoft.com
0.0.0.0 settings-sandbox.data.microsoft.com
0.0.0.0 sls.update.microsoft.com.akadns.net
0.0.0.0 sqm.df.telemetry.microsoft.com
0.0.0.0 sqm.telemetry.microsoft.com
0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net
0.0.0.0 statsfe1.ws.microsoft.com
0.0.0.0 statsfe2.update.microsoft.com.akadns.net
0.0.0.0 statsfe2.ws.microsoft.com
0.0.0.0 survey.watson.microsoft.com
0.0.0.0 telecommand.telemetry.microsoft.com
0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net
0.0.0.0 telemetry.appex.bing.net
0.0.0.0 telemetry.appex.bing.net:443
0.0.0.0 telemetry.microsoft.com
0.0.0.0 telemetry.urs.microsoft.com
0.0.0.0 v10.vortex-win.data.metron.life.com.nsatc.net
0.0.0.0 v10.vortex-win.data.microsoft.com
0.0.0.0 vortex.data.microsoft.com
0.0.0.0 vortex-sandbox.data.microsoft.com
0.0.0.0 vortex-win.data.microsoft.com
0.0.0.0 watson.live.com
0.0.0.0 watson.microsoft.com
0.0.0.0 watson.ppe.telemetry.microsoft.com
0.0.0.0 watson.telemetry.microsoft.com
0.0.0.0 watson.telemetry.microsoft.com.nsatc.net
0.0.0.0 wes.df.telemetry.microsoft.com
0.0.0.0 telemetry.servers.citrixonline.com
0.0.0.0 web.vortex.data.microsoft.com
0.0.0.0 packages.dmd.metaservices.microsoft.com
daarna de hosts file opslaan, desnoods nog ff een regel aanmaken in je firewall en klaar.

Je OS blijft gewoon draaien zonder problemen maar alle telemetrie word geblokkeerd.

Succes!
Dat is het punt niet, er zijn genoeg manieren te verzinnen om dit te blokkeren. Een vergelijkbare oplossing gebruik ik reeds voor reclamenetwerken. Het feit is dat je mag verwachten dat dit niet nodig is. En dat de knop in het OS ook echt alles uitzet.

Tevens zie ik in deze situatie Microsoft er wel voor aan om gewoon een paar nieuwe aliassen te maken voor bovenstaande hosts en deze via windowsupdate toe te voegen als target voor jouw client. Of ze hebben de ballen je hostfile aan te passen...

[Reactie gewijzigd door PizZa_CalZone op 31 juli 2019 14:33]

jij gebruikt waarschijnlijk dan ook een local account, en geen office 365, als je te veel blocked heb je

1) Geen MS Store
2) Geen ms account login
3) Geen Office 2016/2019/365 activation
etc
etc
etc

En buiten dit kan dit beter via iets als Pihole, 1x instellen voor het gehele netwerk ;-)
Dat is enkel voor inkomend verkeer. En https kan je niet blocken met de host file
De Hosts file is uitgaand.

Maar ik heb al eens eerder begrepen dat er DNS entries naar MS hard codes in DLL’s zitten die je niet eruit kan slopen via een adblocker, PiHole of eigen Hosts file, in elk geval voor Windows Update.

[Reactie gewijzigd door DigitalExcorcist op 31 juli 2019 17:37]

Met een beetje router met firewall kun je eigen IP-filters toevoegen. Deze ingebakken IP-adressen zijn vast wel bekend dus als je in de router al het uitgaand verkeer naar deze IP-adressen blokkeert dan heb je dat afgedekt.
Klopt, dat kan ook wel, maar dan moet je na elke Windows Update (als je die dan überhaupt nog krijgt....) uitgebreide scans gaan doen of je firewall niet toevallig opnieuw naar andere IP adressen connecteert waar geen DNS records voor bestaan. Dat klinkt als werk...
Lijkt mij niet handig zo. 0.0.0.0 betekend alle interfaces en wordt doorverwezen naar de default gateway. Dit moet 127.0.0.1 (local loopback) zijn imho :?
Het gaat er om dat het echte IP-adres niet uit DNS wordt gehaald. Met 0.0.0.0 leiden deze domeinnamen niet tot een resolve en daarmee is het doel dus bereikt. Ik merk verder nog even op dat DNS niets met routing te maken heeft. Als je op dat vlak zaken wilt blokkeren dan moet je in de router/gateway-firewall zijn. Ook een DNS-entry van 127.0.0.1 blokkeert immers geen uitgaand verkeer als de software het IP-adres hard-coded ingebakken heeft.
Dat het niet naar buiten gaat kun je zo niet zeggen, in veel gevallen wijst 0.0.0.0 standaard naar de default gateway, en daarmee naar buiten. Met het loop-back adres is dat niet het geval. Men kan zich bij een advies beter aan internet standaarden houden.
Er waren ooit programma's die dit voor je deden een ook 127.0.0.1 gebruikten. Zelf liepen we hier pas nog tegenaan met mule die indien externe adressen niet bereiken kon, zijn eigen bereikbaarheid ging testen op 0.0.0.0, waarbij op een windows server deze standaard naar de gateway verwezen werd, naar buiten en dus zichzelf niet kon bereiken en steeds ging herstarten.

https://www.howtogeek.com...en-127.0.0.1-and-0.0.0.0/
Ja maar nogmaals dit gaat over routing en dat is geen DNS. Als ik met mijn pc bijv pizza.com opvraag en de PC krijgt van mijn Pi Hole 0.0.0.0 als DNS lookup terug dan kan de pc dus nooit verbinding leggen met de pizza.com server. En op 0.0.0.0 draait geen server. Voor DNS blokkades bereik je met 0.0.0.0 dus gewoon je doel.
upgrade naar iets beters.


libreoffice.

8-) }>
Begrijp ik het nu goed dat Windows (en/of sommige software) gewoon niet voldoet aan de AVG?
Zouden alle bedrijven niet de zelfde eisen moeten stellen als de Rijksoverheid hier nu doet? Of word dit nu een aparte build waar alle telemetrie uit staat of iets dergelijks.

Edit:
In zeker drie mobiele iOS-apps voor Office wordt data verzameld dat naar een Amerikaans marketingbedrijf gaat dat is gespecialiseerd in voorspellende profilering, stelt Privacy Company.
Dit is du precies wat ik bedoel en het kan gewoon echt niet. Als bedrijf betaal je flink wat geld om software en support te krijgen. Ondertussen word er allerlei telemetrie los gelaten op de eind-gebruiker. Of je nu een gratis versie of een dikke enterprise licentie hebt, maakt dus niet uit.

[Reactie gewijzigd door D0phoofd op 31 juli 2019 11:02]

Suggestief en stemmingmakerij. Dat is het artikel. Bij de juiste GPO's (waarvan ik er zelf een aantal voor de overheid heb gemaakt) zet Telemetry nagenoeg dicht en is volkomen AVG veilig. Mits maar W10 1803/1809 en de juiste Office 2016 (of hoger) versie.

Online is natuurlijk een andere zaak. Maar dat is pertinent verwerking van data bij je cloud provider, ook al is het Microsoft, Google, Amazon, etcetera.

Daarnaast gaat data sowieso niet naar buiten, want daar zitten Application Gateways, proxies en andere beveiligingen tussen. Sommige omgeving hebben helemaal geen Internet (waardoor updaten via packaging moet gebeuren omdat er geen verbinding is te realiseren) en daar komt ook geen Telemetry naar buiten.

En de awareness binnen diverse onderdelen van de overheid is best hoog, hoger dan ik laatste 2 jaar bij commerciële bedrijven heb gezien. Zeker met al die meeluisterende Google, Apple en Amazon medewerkers waar iedere dag informatie naar toe wordt gelekt, vele malen erger dan een foutrapportje van MS.
Bij de juiste GPO's
Dat gaat al tegen de AVG in, waarin 'privacy by default' één van de kernbegrippen is. Dat je het in moet stellen geeft al aan dat ze niet voldoen.
Dat 'meeluisteren' valt wel mee en 'meeluisteren' is het doel ook niet. Net zoiets als dat zinnetje 'dit gesprek kan worden opgenomen om onze diensten te verbeteren' als je een SD belt. Ken niemand die daar ophef over maakt, maar in feite doen die assistenten hetzelfde.
Telemetry heeft ook geen doel om persoonlijke informatie te verzamelen. Het doel is om gebruik en techniek te verbeteren. Bijvoorbeeld om een analyse te maken of mensen op start drukken of juist alleen de windows toets in te drukken. Of binnen Office de juiste optimale positie te bepalen van een lint-item. Dit soort Telemetry gaat vele mensen helpen.

Daar staat tegenover dat bijvoorbeeld bij Alexa en Google Home gewoon hele gesprekken worden opgenomen waar veel meer data lekt. Het is wachten op de Google medewerker die dit gaat misbruiken om de slaapkamer van zijn ex af te luisteren of mensen gericht proberen op functies te komen om bijvoorbeeld belangrijke data te achterhalen over bedrijven of personen.
Eens met telemetrie, en ook helemaal voor. Dat probleem van misbruik door medewerkers speelt overal (RDW, banken), en mag verwachten dat dit afgedekt is door arbeidsovereenkomst en geheimhoudingsplicht. En toch, rotte appels heb je overal, dat kun je zo'n dienst niet verwijten (behalve als ze geen audits doen of slecht omspringen met incidenten).
Precies, er is bij mijn weten geen ‘strengere’ AVG wet voor de overheid. Kan mij overigens wel indenken aangezien het overheidszaken betreft dat hier strengere regels voor nodig zijn, maar dit valt dan volgens mij niet onder AVG. Overigens wil ik ook wel die Windows versie die minder telemetrie data doorstuurt. Dat is mij een doorn in het oog, al speel je als consument in deze kwestie natuurlijk helemaal geen rol van betekenis!
De privacy policy van het Rijk en de AVG zijn twee verschillende dingen.
Ja, alle bedrijven zouden dit moeten stellen maar kunnen dit mogelijk niet (te kleine schaal).
Echter doordat Rijksoverheid dit nu doet gaat het al veel beter, maar nog niet alles (cloud/online gedeelte).
Ook dat gaat nog wel komen.
Waar de andere bedrijven (ik zie de (rijks)overheid als een bedrijf) nog wel aan moeten werken zijn de nadere afspraken die gemaakt worden over data opslag/vernietiging.

Mogelijk over 16 dagen meer informatie
Begrijp ik het nu goed dat Windows (en/of sommige software) gewoon niet voldoet aan de AVG?

Windows 10 Enterprise doet dat niet in de default instellingen aldus deze ingehuurde organisatie. Dat is een professionele mening, maar nog geen feit,. Het is nu de vraag of de overheid dit advies/deze mening ook onderschrijft, en uiteraard krijgt Microsoft de gelegenheid te reageren.

Zoals ik het lees kan Windows 10 Enterprise bijvoorbeeld wel zo ingesteld worden dat het wél voldoet.
Dat staat verderop in het artikel idd wel, maar in de inleiding wordt het tegenovergestelde beweerd.
Goed punt van de inhuur; iedereen lijkt te vergeten dat die privacy club een commerciele tent is.

[Reactie gewijzigd door michelr op 31 juli 2019 20:14]

In de DPIA staat ook advies over hoe het wel goed kan. Het grootste knelpunt zit 'm in Office Online en de mobiele apps waar het advies niet uitgevoerd kan worden.
Het advies KAN zeker wel uitgevoerd worden, maar MS kiest er blijkbaar voor om toch maar zoveel mogelijk gegevens binnen te harken. Data van gebruikers is goud waard en die kip met gouden eieren willen ze nog niet slachten.
Telemetrie is goud waard, daarmee is de dienst te optimaliseren en beter af te stemmen op gebruik. Het is maar net welke clubkleuren je vertegenwoordigd.
De Office-apps zijn vrij te downloaden uit de AppStore en PlayStore. Daar betaal je dus niet direct geld voor.
Het probleem is dat Windows zo is opgebouwd dat elke service een eigen Phone home functie heeft inmiddels, je kunt dan wel in windows 10 Enterprise via een GPO security niveau instellen en je kunt de telemetrie service stoppen maar dan nog maakt windows 10 continue verbinding met Microsoft. Om dit allemaal te blokkeren is vrijwel onmogelijk. Als jij 1 server of IP blokkeert pakt die gewoon een ander, je kunt met een firewall aan de gang maar aangezien die telemetrie verworven is met bestaande services ga je dus ook zo'n service toegang ontzeggen tot het internet. Je kunt windows 10 wel veilig houden maar dan moet die in een volledig geïsoleerd netwerk zetten waar je alleen internet browsen toestaat via een controlerende en filterende proxy.

Microsoft moet gaan zorgen dat men telemetrie volledig kan uitschakelen en niet stiekem overal backdoors in stoppen.
Software is voorgeprogrammeerd om bepaalde IP-adressen te pakken, of op basis van dns namen te werken. Die kan je gewoon blokkeren. Desnoods blokkeer je alle ASN ranges van Microsoft.
Ook kan je DNS blokkeren met een DNS sinkhole, bijv. met Pi Hole. Das gemakkelijker en dan met IP-adressen werken.

https://www.reddit.com/r/...100_windows_10_telemetry/
https://docs.microsoft.co...ge-windows-1809-endpoints

[Reactie gewijzigd door Cyb op 31 juli 2019 11:15]

Ze kunnen gewoon DNS over https/tls gebruiken. Dat ga je echt niet makkelijk blokkeren. Helemaal niet met een pihole.
"Kunnen", maar doen ze dat momenteel ook?

En als ze DNS over HTTPS willen gaan gebruiken, dan kan je toch gewoon de Microsoft DoH server blokkeren? HTTPS speelt zich immers op een hogere OSI laag af, dus dat zou gewoon te blokkeren moeten zijn.
Dat is uiteraard de vraag. Maar als het niet het geval is zal dit er vast en zeker aankomen. Je ziet het helaas steeds meer.

Dit kunnen ze prima draaien op hetzelfde ip als een belangrijke update/authenticatie server.

Kan je uiteraard ook gewoon blokkeren maar zal vast en zeker iets slopen.
Ik heb hier op tweakers al eens begrepen dat er voor Windows Update een aantal DNS entries hardcoded in systeemDLL’s zit. Om te voorkomen dat je door het bewerken van de hosts-file dat verkeer kan tarpitten of omleiden.
Https encrypteert enkel de verbinding tussen jou en je gekozen DNS server. Als jij ervoor kiest om je eigen DNS server te gebruiken, zoals een Pi-hole, heb je daar toch de volledige controle over?
Het is natuurlijk een probleem als de hardware/software zijn eigen "hardcoded" dns server gebruikt. Dus dat je alleen 443 naar buiten ziet gaan.

Net als de Google Chromecast die ook naar 8.8.8.8 verbindt ook al geeft je dhcpserver een ander ip.
pleur dit in je C:\Windows\System32\drivers\etc\hosts bestand.
bestand ff openen met notepad of notepad++ met admin rechten.

0.0.0.0 choice.microsoft.com
0.0.0.0 choice.microsoft.com.nsatc.net
0.0.0.0 compatexchange.cloudapp.net
0.0.0.0 corp.sts.microsoft.com
0.0.0.0 corpext.msitadfs.glbdns2.microsoft.com
0.0.0.0 cs1.wpc.v0cdn.net
0.0.0.0 df.telemetry.microsoft.com
0.0.0.0 diagnostics.support.microsoft.com
0.0.0.0 fe2.update.microsoft.com.akadns.net
0.0.0.0 feedback.microsoft-hohm.com
0.0.0.0 feedback.search.microsoft.com
0.0.0.0 feedback.windows.com
0.0.0.0 i1.services.social.microsoft.com
0.0.0.0 i1.services.social.microsoft.com.nsatc.net
0.0.0.0 oca.telemetry.microsoft.com
0.0.0.0 oca.telemetry.microsoft.com.nsatc.net
0.0.0.0 pre.footprintpredict.com
0.0.0.0 redir.metaservices.microsoft.com
0.0.0.0 reports.wes.df.telemetry.microsoft.com
0.0.0.0 services.wes.df.telemetry.microsoft.com
0.0.0.0 settings-sandbox.data.microsoft.com
0.0.0.0 sls.update.microsoft.com.akadns.net
0.0.0.0 sqm.df.telemetry.microsoft.com
0.0.0.0 sqm.telemetry.microsoft.com
0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net
0.0.0.0 statsfe1.ws.microsoft.com
0.0.0.0 statsfe2.update.microsoft.com.akadns.net
0.0.0.0 statsfe2.ws.microsoft.com
0.0.0.0 survey.watson.microsoft.com
0.0.0.0 telecommand.telemetry.microsoft.com
0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net
0.0.0.0 telemetry.appex.bing.net
0.0.0.0 telemetry.appex.bing.net:443
0.0.0.0 telemetry.microsoft.com
0.0.0.0 telemetry.urs.microsoft.com
0.0.0.0 v10.vortex-win.data.metron.life.com.nsatc.net
0.0.0.0 v10.vortex-win.data.microsoft.com
0.0.0.0 vortex.data.microsoft.com
0.0.0.0 vortex-sandbox.data.microsoft.com
0.0.0.0 vortex-win.data.microsoft.com
0.0.0.0 watson.live.com
0.0.0.0 watson.microsoft.com
0.0.0.0 watson.ppe.telemetry.microsoft.com
0.0.0.0 watson.telemetry.microsoft.com
0.0.0.0 watson.telemetry.microsoft.com.nsatc.net
0.0.0.0 wes.df.telemetry.microsoft.com
0.0.0.0 telemetry.servers.citrixonline.com
0.0.0.0 web.vortex.data.microsoft.com
0.0.0.0 packages.dmd.metaservices.microsoft.com
Dit gaat niet helpen omdat windows 10 dit gewoon negeert hoor.
Zelden zo'n onzin gelezen.
Het is algemeen bekend zelfs maar als je het niet gelooft test het vooral uit. Die lijst gaat niks uithalen.
Heb zo'n lijst (pihole); geen resolving = geen calling home (los van de settings per build 1809)
Ik zou je aanraden om eens tcpview of wireshark te gebruiken. Dan praten we verder.
Jaa... en nu? Noem maar welke build vriend.
Dat "gevoelige telemetrie naar het bedrijf sturen" gebeurt al sedert W10 op de markt kwam, en iedereen wist dat. Maar niemand die er wat om gaf; zelfs artikelen in de media over een "keylogger" in de beta-release konden de massale acceptatie van W10 niet verhinderen. Net als bij Google moest je maar geloven dat MS geen kwade intenties had met je data. Hun EULA ("wij mogen alles op je computer uitvreten, zelfs je e-mails lezen") was echt een mijlpaal in de geschiedenis van de strijd om de privacy.

In een normale maatschappij waar het gevoel voor privacy nog niet zo uitgehold is, had Windows 10 gewoon geen schijn van kans gehad. Zeker overheden en bedrijven hadden zich er ver van verwijderd moeten houden. Maar ja, de macht van de marketing en de onweerstaanbare drang van de consument om toch maar vooral bij de meerderheid te behoren, maakte de introductie van W10 een fluitje van een cent.

En nu gaan ze "er onderzoek naar doen". Eigenlijk is het te belachelijk voor woorden allemaal.
Maar niemand die er wat om gaf;
Toch hebben alle Europese privacytoezichthouders zich gezamenlijk uitgesproken en er zijn ook onderzoeken gestart. https://autoriteitpersoon...zoek-microsoft-windows-10
Maar dat is nog weer een ander proces dan een verantwoordelijke die een eigen risicoanalyse maakt zoals verplicht kan zijn onder de AVG.
Maar dit alles heeft het probleem niet opgelost. En omdat de "overheid" deze producten blijft gebruiken zal de gemiddelde consument, en ook veel bedrijven, denken dat het wel goed zal zitten.
Omdat ze vendor locked-in zijn.
Het vreemde is dat men dan wel, ondanks deze informatie, met deze partij (MS hier dus) overleg voert in plaats van ze buiten te sluiten in een tender omdat ze niet kunnen voldoen aan de voorwaarden qua inkoop. Het is niet heel gebruikelijk dat de overheid zoveel geld uitgeeft aan iets zonder een tender en dan een leverancier toe te laten die eigenlijk buiten de boot zou moeten vallen. Het gebruik van Windows/Office door de overheid stinkt.
Gaan we weer met die keylogger. Toch leuk hoe mensen dat soort dingen blijven gebruiken om Microsoft zwart te maken. Neen, er zat geen keylogger in elke test versie. Wel was in de voorwaarden opgenomen dat Microsoft je toetsaanslagen kon registreren om bepaalde analyses uit te voeren. Iets wat niet eens zo verwonderlijk mag zijn in een test versie die ook nog eens dienst moet doen om de bruikbaarheid van het OS te verbeteren na de bakken kritiek die ze met W8 gekregen hadden.

Dat ze je emails mogen lezen valt trouwens in dezelfde hoek. Straks ga je nog kwaad zijn dat ze je bestanden online mogen zetten terwijl je wel onedrive gebruikt. Het lezen van emails is onderdeel van vele functionaliteiten waaronder de mogelijkheid om te zoeken (ja, je search zoekt ook in emails) alsook de persoonlijke assistent.

Vandaag bekijken mensen dit allemaal door een bril van: ze willen de data enkel maar misbruiken. Maar realistisch zijn en even logisch nadenken welke functionaliteit er in het OS zit dat zulke eisen in de gebruiksvoorwaarden doet opnemen? Neen, dat zit er bij velen niet meer in.

Moeten we op onze hoede zijn? Zeker en vast. Wil dat zeggen dat data verzamelen sowieso tot misbruik zal leiden? Absoluut niet.
"Moeten we op onze hoede zijn? Zeker en vast." en "Wil dat zeggen dat data verzamelen sowieso tot misbruik zal leiden? Absoluut niet.", spreekt dat samen niet een beetje tegen? ;)
Ik zou eerder zeggen: 'Wil dat zeggen dat data verzamelen sowieso tot misbruik zal leiden? Op dit moment nog niets aangetoond dat het voor gebruikers kwaad kan'.

Dan, wat is "misbruik"? Daarover word er al jaren over gediscussieerd wat een bedrijf mag, kan of/en geforceerd mag. Met name over dat advertentie doeleinden over iets dat (nog steeds) 'gratis' aangeboden is, zoals Windows 10 of Google Applicaties.
Gaan we weer met die keylogger. Toch leuk hoe mensen dat soort dingen blijven gebruiken om Microsoft zwart te maken. Neen, er zat geen keylogger in elke test versie. Wel was in de voorwaarden opgenomen dat Microsoft je toetsaanslagen kon registreren om bepaalde analyses uit te voeren.
Duh, keys loggen of toetsaanslagen registreren is dus gewoon precies hetzelfde. En ja natuurlijk, het was/is "om bepaalde analyses uit te voeren", dus dan is het wel goed allemaal. Mensen slikken gewoon alles tegenwoordig.
Iets wat niet eens zo verwonderlijk mag zijn in een test versie die ook nog eens dienst moet doen om de bruikbaarheid van het OS te verbeteren na de bakken kritiek die ze met W8 gekregen hadden.
Ah natuurlijk, het is allemaal "to improve the customer experience", het ultieme argument waarmee je werkelijk alles kunt goedpraten.
Dat ze je emails mogen lezen valt trouwens in dezelfde hoek. Straks ga je nog kwaad zijn dat ze je bestanden online mogen zetten terwijl je wel onedrive gebruikt.
Wie zegt dat ik Onedrive gebruik? Altijd datzelfde "ja maar iedereen doet het toch"-argument. Ik ben iedereen niet. Mijn emails en mijn bestanden zijn van mij en ik bepaal liever zelf wie die mag zien en wie niet.
Het lezen van emails is onderdeel van vele functionaliteiten waaronder de mogelijkheid om te zoeken (ja, je search zoekt ook in emails) alsook de persoonlijke assistent.
"Het is onderdeel van vele functionaliteiten" komt gevaarlijk dicht in de buurt van holle marketingpraat. En zoeken in e-mails kan ook perfect lokaal gebeuren. Kijk, ik zeg niet dat het allemaal niet kan of mag - het zal voor sommigen wel reuzehandig zijn -, het probleem is dat W10 het je allemaal door de strot duwt en je als gebruiker zeer weinig te zeggen hebt over wat er allemaal naar MS gestuurd wordt. Altijd weer grappig trouwens om te lezen dat gebruikers van O&O Shutup de boel opnieuw moeten instellen na elke Windows-update. Waarom kan MS de keuze van de gebruiker niet respecteren en gaan ze ongevraagd het dataverkeer toch weer activeren? Laat me raden: het is voor bepaalde analyses en maakt deel uit van vele functionaliteiten.
Vandaag bekijken mensen dit allemaal door een bril van: ze willen de data enkel maar misbruiken. Maar realistisch zijn en even logisch nadenken welke functionaliteit er in het OS zit dat zulke eisen in de gebruiksvoorwaarden doet opnemen? Neen, dat zit er bij velen niet meer in.
Nee, wat er bij velen niet meer in zit is het gevoel van eigen verantwoordelijkheid over wat er met je persoonlijke data gebeurt. Alles moet maar gedeeld en geshared en gecloud worden en grote techbedrijven (het gaat natuurlijk niet enkel om MS) moeten alles maar mogen en overal toegang toe hebben, dat is het nieuwe normaal. Nu, er zijn nog steeds mensen die zich daartegen willen beschermen en dat moet voor die mensen gewoon mogelijk blijven. Wat er nu gebeurt is dat die grote techbedrijven je op allerlei slinkse manieren dat recht uit handen nemen door ongevraagd in je computer te gaan snuffelen.

Ik blijf erbij dat de massale acceptatie van W10 door bedrijven en overheden een echt keerpunt was in de strijd om de privacy. Ten kwade, helaas, niet ten goede.
Moeten we op onze hoede zijn? Zeker en vast. Wil dat zeggen dat data verzamelen sowieso tot misbruik zal leiden? Absoluut niet.
Jij behoort in ieder niet tot het kamp dat op zijn hoede is, zoveel is wel duidelijk.
Daaruit bleek dat sommige software van Microsoft niet voldeed aan de AVG en gevoelige telemetrie naar het bedrijf stuurde.
Ik neem aan dat de AVG voor de overheid als voor de burger dezelfde regelgeving heeft? Dus als bepaalde softwareprodukten niet voldoen aan de AVG dan heeft dan toch ook effect op mij als ik die produkten gebruik? Gaat Microsoft die aanpassingen ook doorvoeren op alle versie van Windows en Office? Misschien kan tweakers hier eens wat onderzoek en navraag naar doen?
De AVG is er om burgers te bescherming en tegen de willekeur van data verzameling en gebruik door bedrijven en instellingen.
Maar deels voor de burger zelf. Dus die eisen komen niet overeen
Eén woord: *zucht*

Men had twee jaar om zich hiervoor voor te bereiden, twee jaar om tegen Microsoft te zeggen "En jullie komen nu met een versie die voldoet aan de GDPR", maar drie jaar na dato waarvan één waarin het echt menens is met boetes en zo, is het nog niet geregeld.

Ik weet ook wel dat dit niet in drie dagen geregeld is, maar drie jaar ... tijd voor het AP om erin te komen met boetes voor Microsoft en de overheid ?? :? :/ :/
De AP heeft in 2017 reeds, op basis van de voorgaande WBP, een rapport van bevindingen gepubliceerd over dat Windows 10 al niet aan de WBP voldeed https://www.autoriteitper...t_windows_10_okt_2017.pdf
De conclusie was toen al dat MS niet aan de wet( WBP) voldeed met het binnenharken van persoonsgegevens via de opgelegde telemetrie en de huidige conclusie is dat ze nog steeds niet aan de wet (AVG) voldoen. Voor een specifieke versie heeft MS een fix gedaan om minimalisatie mogelijk te maken (waarmee ze nog steeds niet aan de wet voldoen btw) maar dat betekent dat ze voor de consumenten versie nog steeds de AVG overtreden. Ik heb zelf diverse malen contact opgenomen met de AP om het gevecht met MS vooral op Europees niveau aan te gaan en daar voor miljarden boetes te zorgen maar de AP heeft de tanden nog het lef niet om MS aan te pakken dus helaas blijven wetsovertreders als MS ongemoeid. MS is een criminele organisatie die willens en wetens de wet blijft overtreden om hun verdien model in stand te houden. Hopelijk wordt een andere Europese toezichthouder een keer wakker en gaat het gevecht idd aan. Ik blijf door lobbyen om MS een lesje nederigheid te laten leren, helaas duurt dat wel erg lang.
Lees Het artikel eens goed door.
Windows en Office 365 voldoen prima aan de eisen. De titel van het artikel is suggestief.

Microsoft heeft meegewerkt aan het wegwerken van de tekortkomingen. Het is dus niet zo dat ze het tegenwerken. Dus vanwaar die boete dan?

En je wil dan ook dat een Overheidsinstantie de overheid beboet? Schuiven met geld kost ook geld.
De inspanning van Microsoft is minimaal, ze hebben geen enkel belang bij het oplossen van het "probleem" omdat de data op allerlei vlakken van belang is. Microsoft had het "lekken" van dergelijk data al vanaf dag 1 in hun producten kunnen verwerken, wetende dat zijn oa overheden als klant hebben. Daar is bewust niet voor gekozen en nu is het een kat en muis spel tussen klant en leverancier om het lekken te beperken. Het is echt de omgekeerde wereld. Dit gaat allemaal veel verder dan een beetje telemetrie data. Probleem is ook enkel heer gedeeltelijk opgelost voor de rijks overheid, ander (individuele) contracthouders zoals gemeenten, bedrijven en consumenten moeten zelf gaan onderhandelen. Succes!

Boete zal zeker niet helpen, concurrentie wel. Wanneer de overheid zich zich zo afhankelijk blijft maken van een leverancier zal dit probleem gewoon voortduren. Bij ieder onderzoek zal er weer wat worden gevonden dat zal dan weer gedeeltelijk worden opgelost en zo verder...
Eén woord: *zucht*

Neen, men heeft geen 2 jaar gehad om zich voor te bereiden. Sommige adviezen en verduidelijkingen op de GDPR zijn pas gepubliceerd in de weken voordat de GDPR in werking trad.

Je kan je ook afvragen: als de software niet voldoet, waarom wordt ze dan gebruikt?
Je kan je ook afvragen: als de software niet voldoet, waarom wordt ze dan gebruikt?

Omdat er geen alternatief is O-)

Immers, als we al moeilijk doen over Microsoft, dan zou er per direct een verbod moeten komen op alle Google producten. Geen Google Chrome en al helemaal geen Android meer binnen de muren van een overheidsgebouw ...

Let wel, deze controle is absoluut gewenst en niet meer dan normaal, maar telemetrie is (helaas) niet meer weg te denken, en binnen deze discussie is Microsoft niet de ergste speler.
dataverzameling te minimaliseren is het al waar het mis gaat.
het moet voor de overheid niet minimaliseren maar gewoon stoppen.
het is net zeggen ik doe de deur voor de dief niet helemaal open maar wel in een kiertje open laten.. 8)7
En dat is precies wat Microsoft heeft gedaan met Office ProPlus 365, een optie om geen telemetrie te verzamelen.

Voor Windows 10 Enterprise wordt er nog wel telemetrie verzameld (laagste niveau is "Security"). Deze telemetrie heeft geen kritische rest risico's t.o.v. het privacy beleid van het Rijk en de op basis daarvan uitgevoerde DPIA:
The report concludes that if the telemetry is set to Security (or the telemetry traffic is blocked), and if the administrators centrally prohibit the use of the cloud synchronization functionality via Windows timeline, there are no known high data protection risks.
Kortom.. de kop is wel redelijk suggestief. Alleen Office Online en de Office apps komen niet door de DPIA heen (logisch, want werken met de online api's op basis van een persoonlijk identificeerbaar account).
Voor Windows 10 Enterprise wordt er nog wel telemetrie verzameld (laagste niveau is "Security"). Deze telemetrie heeft geen kritische rest risico's t.o.v. het privacy beleid van het Rijk en de op basis daarvan uitgevoerde DPIA:
en ik zeg dat het daar al fout gaat.
er moet van de overheid helemaal geen data verzameld te worden.
het is te gek voor worden dat mensen zoiets accepted.
het is de overheid met miljoenen aan gebruikers data dan wil je niet dat er data naar Microsoft gaat.
Dit is roepen om het roepen, bepaalde data is gewoon nodig om garanties te kunnen afgeven, service te kunnen verlenen en fouten te kunnen opsporen. Waar het om gaat is dat er geen inhoudelijke data wordt verstuurd die privé of zakelijke data bevat.
  • Malware detectie mag niet worden gemeld aan MS?
  • Een programma dat elke keer crsht mag niet worden gerapporteerd?
  • Een systeem dat continue vast loopt mag zijn data niet versturen?
Programma's mogen van mij (en AVG) best rapporteren dat iets niet functioneert, bepaalde meta systeemgegevens en omgevingsvariabelen mogen ze van mij best versturen alleen geen inhoudelijke elementen dus geen privé/zakelijke data.
Klopt. Maar die data kan je ook gewoon kopen.
Maak een knop in windows waarmee je je kan aanmelden voor het delen van je telemetrie, en afhankelijk van het niveau en jouw gebruik, krijg je 1, 2 of x euro per maand. Bijvoorbeeld.
Het is een belachelijke aanname dat die data gratis zou moeten zijn.

[Reactie gewijzigd door Zynth op 31 juli 2019 12:49]

Beetje vreemde reactie dit. Buiten de discussie van inhoudelijke data vind ik dit bijna een plicht van de leverancier.

Even kijken, je koopt of huurt een service, een onderdeel van die service is het leveren van een stabiele oplossing maar je wilt niet meewerken aan stabiliteit door wat diagnostische data te leveren behalve als jouw leverancier jouw daarvoor gaat betalen?
Klopt. Het is de wens en verantwoordelijkheid van de aanbieder om een stabiele oplossing te leveren.
Is hij niet stabiel, dan raakt hij marktaandeel kwijt; daar moet hij als bedrijf voor werken.

Het mag niet de plicht zijn van de consument om daarvoor op te draaien zonder daarvoor gecompenseerd te worden.
Het is niet jouw plicht om een ander zijn service op niveau te houden. Niet zondermeer.
Oneens omdat ik denk dat de wereld minder zwart-wit is dan hier gesteld wordt. Bij een contract, koop, hebben beiden plichten. Bij gebruik van software komt daar ook een stuk verantwoording van de koper bij, een degelijk systeem, stabiele hardware, een goed OS, een goede virus scanner, goede andere applicaties/SW alles up-to date en ga zo maar door. Heel expliciet wordt dit al opgemerkt bij bank en credit card applicaties.

Al deze combinaties zijn door een fabrikant niet af te vangen en daarom is een stukje metadata onontbeerlijk voor het genereren van een stabiele applicatie, goede service en veiligheid.

Wij gaan daar niet uitkomen want het is jouw mening dat je 100% geen informatie hoeft te geven in de richting van de fabrikant maar wel 100% functionaliteit eist.
De realiteit is dat software fouten bevat, foutvrije software bestaat niet, en om stabiele en veilige software te krijgen heb ik geen probleem met diagnostische data die geen privé/zakelijke of andere herleidbare inhoud bevat om daarmee mijn veiligheid op een hoger niveau te zetten.
Jij begrijpt duidelijk niet het gevaar met wat jij zegt of kan gebeuren.
Het is aan de overheid om te bepalen of data naar Microsoft gaat ivm crash, malware of vastlopers.
Dat jij ik geen keuze hebben kan jij dat excuus gebruiken maar voor de overheid gaat dat niet op.
Ik snap dit inderdaad niet na 20+ jaar IT dat klopt. Ik weet wel dat dezelfde mensen die nu bikkelhard roepen dat dit echt niet kan, ook de mensen zijn die hard roepen als hun windows systeem thuis of op het werk het ineens niet meer doet en vervolgens eisen dat er een oplossing komt. Oplossingen weet je pas als de oorzaak bekend is en daarvoor is informatie nodig. Ook data verzameld over meerdere systemen om patronen te herkennen en oplossing te genereren.

Alles houdt een gevaar in. Zonder metadata mee werken aan herkenning van problemen zou dan ook kunnen betekenen dat jij een week zonder werkend systeem zit.

Maar als dumbo zal ik er niets meer over zeggen.

[Reactie gewijzigd door hamsteg op 31 juli 2019 14:30]

Ik zou het toch wel op prijs stellen als ik als gebruiker van de software bepaal of die gegevens gestuurd worden. Niemand kan echt controlleren welke data verstuurd wordt en te vaak blijkt achteraf dat het toch niet helemaal de data is die de leverancier aangegeven heeft (zie de recente verhalen over wie toegang had tot de data van slimme speakers als voorbeeld).
Tot 3 jaar terug had hij die data ook niet, maar was er gewoon een qa afdeling. Ik zie je punt helemaal niet.
Ik vind het anders prima dat Microsoft het functioneren van zijn security functionaliteit in Windows 10 pro-actief verbeterd aan de hand van zeer beperkte en geanonimiseerde telemetrie. Liever een veilig OS dan moeilijk doen over een berichtje naar Microsoft wanneer er een virus op een PC is gedetecteerd.

PS. miljoenen gebruikers? Je snapt wel dat het om de data van de werknemers van het Rijk gaat toch? En nogmaals; sec telemetrie van security functionaliteit - niet herleidbaar tot bedrijf of persoon.

[Reactie gewijzigd door oZy op 31 juli 2019 11:31]

het is goed dat ze functionality verbeteren maar dat hoeft niet te gebeuren met overheid pc.
werknemers van de overheid wat nog gevaarlijk is om te laten lekken idd.
Je bedoelt dus dat het niet moet gebeuren met PCs die een zeer specifiek doelwit kunnen vormen en daardoor speciaal ontwikkelde aanvallen kunnen tegenkomen die je in het wild niet gaat zien.
Eh...bij dat Security (en zelfs bij Basic geloof ik) lekt er geen data die tot medewerker/bedrijf te herleiden is. Snap best dat je geen hogere levels zou willen gebruiken, maar Security is toch wel het minimale. Je wilt toch ook een veilig OS?
Dat is het hele punt niet, geanonimiseerd is het nog steeds telemetrie. Microsoft krijgt genoeg informatie over security van non enterprise versies. Als ik als bedrijf niet wil dat er enige vorm van informatie naar microsoft toe gaat dan moet dit een optie zijn. Het security risico is dan mijn probleem. Ik ben immers degene die deze functionaliteit uitzet en betaal voor een enterprise versie.

Ik als bedrijf of particulier wil zelf kunnen bepalen welk bitje mijn pc binnen komt en welke het systeem verlaat. Als je iets denkt uitgezet te hebben en er gaat alsnog verkeer naar microsoft dan gaat er iets goed mis.

[Reactie gewijzigd door PizZa_CalZone op 31 juli 2019 13:42]

De optie om geen data te versturen zal er bijna zeker zijn, maar daar zal men wel niet voor willen betalen. Als jij zeg met een miljard aankomt bij MS dan spinnen ze voor jou een custom windows image, misschien krijg je er nog wel een jaartje support bij ook.
Nee. Net zoals ze doen met updates zouden die rapporten naar een centrale server van de overheid moeten gaan waar MS op visite kan om te kijken of er bepaalde bugs zijn. Data direct naar MS is niet het belang van de overheid/gebruikers. Zeker als ze aangetoond hebben in staat te zijn updates wel via een door de gebruiker/organisatie gehoste oplossing te kunnen verspreiden.
Een beetje programmeur kan toch data verzamelen van zijn software zonder ook maar enig risico op het verzamelen van persoonlijke data? Bvb pure technische error data, meest gebruikte functies (bvb aantal kliks op pivot table knop). Telemetrie hoeft heus niet slecht te zijn en kan zonder enige vorm van persoonsgegevens een Developer helpen voor verdere ontwikkeling
Nu beschrijf je rapportage van hoe de software zelf wordt gebruikt. Foutrapportage is andere koek.

Stel nou als er een berg foutrapporten binnen komen. Maar die komen maar van één computer van één persoon vandaan. En het blijkt te zijn door faulty hardware of een ander, slecht geprogrammeerde applicatie? Je moet die data kunnen hebben om te kunnen concluderen dat er een meerderheid van je userbase er last van heeft, en dat het daadwerkelijk binnen je scope ligt om het op te lossen.

Edit: Damn autocorrect

[Reactie gewijzigd door RoestVrijStaal op 31 juli 2019 19:25]

Kortom.. de kop is wel redelijk suggestief. Alleen Office Online en de Office apps komen niet door de DPIA heen (logisch, want werken met de online api's op basis van een persoonlijk identificeerbaar account).
Het hele verhaal is onzin. Office 365 is een online dienst... Ook Office 365 Proplus (niet andersom) is gewoon onderdeel van deze online dienst. Je moet inloggen met een online account en authenticeren tegen Azure AD. Weet je wat er tijdens die authenticatie gebeurd?? Alles wat mogelijk is wordt geanalyseerd en gelogd... Hetzelfde met al je instellingen (inclusief je aangepaste woordenboek), die worden allemaal opgeslagen in de cloud... Niet tegen te doen ook. En net of mensen alleen maar Office 365 ProPlus gebruiken, er zit nog een hele sloot andere applicaties bij die nauw integreren.

En dat is prima want zo hoort de dienst te werken. Alleen moeten mensen niet de illusie hebben dat 1 telemetrie onderdeel uitschakelen van een enorme reeks diensten enig verschil maakt...
Het gaat over de online versie. Daar is het niet makkelijk om opslag van data te vermijden zonder de gebruikerservaring aan te tasten. Het gaat om hoe die data gebruikt word.
het moet voor de overheid niet minimaliseren maar gewoon stoppen.

Niet alle telemetrie is in strijd met de AVG of andere wetten.

En minder telemetrie, betekent ook langzamere productontwikkeling, bugs oplossen etc.
Niet dat het uit maakt. Microsoft zit zo elleboog diep in de rijksoverheid dat niets, behalve misschien een (handels-) oorlog met de VS onze overheid naar een concurrent zou doen bewegen. Windows, Office, SharePoint en dergelijke zijn super diep geintegreert en totaal closed source, dus het is niet alsof de rijksoverheid een keuze heeft.
Windows, Office, SharePoint en dergelijke zijn super diep geintegreert en totaal closed source,

Veel Microsoft producten zijn niet closed source voor overheden. Ik weet niet of onze overheid zo'n contract heeft, maar er zijn diverse Microsoft partners en overheden die dat wel hebben.

Verder is machine code met symbols natuurlijk ook een uitstekende wijze om zaken te controleren.

Dus de grens tussen closed en open source is minder zwart-wit dan mensen vaak denken.
Dataverzameling is tegenwoordig de mantra van alle grote techbedrijven. De vraag wat ze ermee willen wordt meestal niet duidelijk beantwoord. Toch is het bedenkelijk dat alle grote techbedrijven zoveel inzetten op artificiële intelligentie. Dit lijkt mij de enige reden te zijn voor het onbeperkt verzamelen van gegevens.
Echt, het lijkt wel of de overheid er niets van snapt: Microsoft ontwikkeld enkel nog cloud applicaties dus gaan nooit voldoen aan de eisen die de overheid stelt...

Daaruit bleek dat sommige software van Microsoft niet voldeed aan de AVG en gevoelige telemetrie naar het bedrijf stuurde.

Office Online en alle mobile apps (Outlook) werken enkel via Microsoft. Alle data gaat daar heen en wordt daar verwerkt. Dat is ook dus in amerika of met partners in andere landen. Die tekenen netjes een formuliertje dat ze aan alle eisen voldoen. Mooi voor de audits maar betekent vrij weinig.

Office 365 zelf is 1 grote analytische machine waarbij gebruikers op iedere mogelijke manier worden gevolgd en geanalyseerd. Dit is de kracht en kern van Office 365 en daarom kan deze zelf acties ondernemen en 'slim' zijn.
Iedere gebruiker krijgt er ook regelmatig een rapport van (MyAnalytics):
https://products.office.c...lytics-personal-analytics

Dus Microsoft moet dit allemaal even gaan afbouwen voor de overheid. Dit gaat echt nooit gebeuren...
Ze hebben daar wel een speciaal softwarepakket voor uitgebracht, het heet Office 2019.
Daarmee kun je helemaal mooi offline je ding doen.

Persoonlijk snap ik helemaal niets van de idioten die Office 365 willen draaien bij de rijksoverheid. De gehele overheid in 1 klap totaal afhankelijk van een amerikaans bedrijf met alle data volledig onder hun controle. Kijk maar naar Huawai, als die in Office 365 zat waren ze nu al hun data gewoon kwijt...
Cloud hoeft niet tegenstrijdig te zijn. Het is niet omdat je data in de cloud staat dat Microsoft deze daarom moet delen met derden bijvoorbeeld.
Dit hoeft niet perse maar met de enorme hoeveelheid services en diensten waar je gebruik van maakt bij Microsoft is het niet mogelijk dat jijzelf deze controle houdt. De overheid heeft de illusie dat ze dit wel kunnen. Ze denken dat Microsoft wel even een switchje maakt zodat alles goed komt..

Een switch die tegen de philosophie van het hele product in gaat.. Terwijl Microsoft prima een product op de plank heeft liggen die voldoet aan de eisen: Office 2019.

Denk je echt dat Microsoft deze switch in gaat bouwen in:
  • Azure AD
  • Office online
  • Sharepoint Online
  • Onedrive
  • Exchange online en Exchange online protection
  • Intune
  • Teams (en de meer dan tientallen ingebouwde apps die daar onderhangen)
  • Yammer
  • Delve
  • Onenote
  • Power Bi
  • Planner
  • Powerapps
  • Stream
  • ToDo
  • Tasks
  • Forms
  • en whatever ze volgende week uitbrengen.
Zodat er geen telemetrie wordt verzameld over deze diensten?
Alleen voor Forms dan, ik zie die knop al voor me. Alle gegevensverzameling uitschakelen voor maximale privacy? OK! Heerlijke 1 april grap :+

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Raspberry Pi 3

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True