Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Europese privacytoezichthouder waarschuwt voor Windows en Office bij overheden

De Europese privacytoezichthouder waarschuwt dat contracten tussen Microsoft en Europese overheden niet volledig voldoen aan de privacywet. De toezichthouder keek daarbij onder andere naar een Nederlands onderzoek.

De waarschuwing komt van de European Data Protection Supervisor, een overkoepelende toezichthouder op Europees niveau. Die is nog bezig met een onderzoek naar Microsofts contracten met overheidsinstituten in Europa, zoals ministeries of zbo's. Die maken vaak gebruik van Microsoft-producten zoals Windows en Office. Die software voldoet volgens de EDPS niet altijd aan de eisen van de Algemene Verordening Gegevensbescherming. Het onderzoek is nog in gang, zegt de waakhond, maar 'voorlopige resultaten laten ernstige zorgen zien' over voldoening aan de wet. Op welke manier dat precies gebeurt, zegt de waakhond niet.

Het onderzoek van de EDPS begon in april 2019. In het onderzoek keek de toezichthouder onder andere welke instituten er allemaal gebruik maakten van welke producten. Ook keken de onderzoekers of er in de contracten genoeg waarborgen stonden om te voldoen aan de wet en of er voldoende maatregelen aanwezig waren om risico's te vermijden. De EDPS verwijst naar een Nederlands onderzoek bij het Ministerie van Justitie & Veiligheid. Daaruit bleek dat Windows 10 Enterprise en Office teveel telemetrische data verzamelen van ambtenaren. Ook na wijzigingen bleek die procedure niet genoeg verbeterd te zijn, maar eind juli concludeerde het ministerie dat de software alsnog aan de eisen voldeed. Op Europees niveau zijn zulke aanpassingen nog wel nodig, schrijft de toezichthouder.

Om de lidstaten en instellingen verder te helpen heeft de EDPS heeft een forum opgericht waarbij lidstaten en andere partijen zich kunnen aansluiten. Daar kunnen zij onderling overleggen over hoe zij hun ict-structuur zo kunnen inrichten dat die aan privacyeisen en -standaarden voldoet.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

22-10-2019 • 10:48

101 Linkedin

Reacties (101)

Wijzig sortering
Ik ben alleen even benieuwd waarom specifiek bij overheden vermeld wordt. Aangezien de GDPR/AVG een wet is, moet het ten alle tijde daaraan voldoen toch en worden er in de GDPR/AVG geen onderscheid gemaakt tussen wel/geen overheid, toch?

Je zou in dat licht dus ook kunnen stellen dat Windows en Office dus inbreuk maken, de wet onderscheid er verder niet in, naar mijn weten.
De EDPS houdt toezicht op de Europese overheden. Het onderzoek richt zich dan ook op de contracten die door Europese instellingen zijn afgesloten. De verschillende toezichthouders in de lidstaten (bijvoorbeeld de AP in Nederland) kunnen toezicht houden op Microsoft en de klanten van Microsoft. En in dit geval is de Nederlandse overheid als inkoper (dus niet als toezichthouder) van producten ook bezig om te zorgen dat ze compliant producten inkopen. Verschillende organisaties dus die elkaar kunnen versterken, maar wel een duidelijke eigen rol hebben.
Overigens wordt er vanuit andere partijen natuurlijk wel gekeken naar wat de Nederlandse overheid al dan niet inkoopt. Als Microsoft niet goed genoeg is voor de overheid, dan gaan anderen (waaronder ik zelf) zich ook achter de oren krabben.

Dan heeft Microsoft de keuze: ofwel accepteren dat de Europese overheden geen producten van Microsoft meer afnemen, ofwel de contracten en/of de software aanpassen. Ik denk, dat men dan voor de tweede optie kiest.

Op deze manier heeft een dergelijke organisatie volgens mij ook een maatschappelijke functie.
Voor individuele gebruikers worden er veel AVG-bezwaren weggenomen door het accepteren van de gebruikersovereenkomst. Zijn ze het er niet mee eens, dan kunnen ze een alternatief OS/ Office pakket kiezen.
Werknemers (waaronder dus ook ambtenaren) hebben echter maar te pikken wat hun werkgever hun voorschotelt. Ontslag nemen omdat je het niet eens bent met de gebruikersovereenkomst van Windows of Office is wel heel erg drastisch en het is maar de vraag om je bij een bedrijf aan de slag kan dat geen Microsoft producten gebruikt.
Los daarvan verwerken overheidsorganisaties ook veel persoonsgegevens van anderen, die ook niet zomaar op de een of andere wijze naar Microsoft verstuurd mogen worden in de telemetrie (als geheugendump o.i.d.). Veel van de Nederlandse bezwaren werden naar ik meen ook weggenomen nadat Microsoft inzage had gegeven in wat voor telemetrie data verstuurd wordt.
Gebruikers hebben ook haast geen keuze.
Pc/ laptop wordt alleen met Windows geïnstalleerd en dat moet je ook verstand hebben om windows uit te knikkeren en alternatieve os installeren.
Zeg maar hoe het nu ook is met smartphone..
+2Anoniem: 426269
@raro00722 oktober 2019 14:34
"Zeg maar hoe het nu ook is met smartphone.."

Nou, een smartphone zelf rooten en er iets anders op installeren is nog effe een stapje verder dan een ander OS op een Windows computer zetten. In mijn directe omgeving hoorde ik al van een aantal mensen dat ze zelf Linux op hun computer hadden gezet. "Oh dat was heel makkelijk", zeiden ze, en "Want met Windows was ie erg traag, en nu is ie retesnel". En ik dacht nog wel dat die lui digibeten waren. :)
Het is lastig maar nog niet onmogelijk.
Je kunt heel beperkt PC's of laptops met Linux kopen, maar zelfbouw of een PC op maat (zonder Windows) laten bouwen is nog steeds goed mogelijk.
Bij smartphones is het inderdaad heel erg lastig.
Ik kom (25 jaar nadat dit onderwerp is benoemd als problematisch) nog steeds regelmatig tegen dat met name Word of Excel bestanden worden aangeboden in de communicatie met overheden als je bijvoorbeeld een zienswijze wil indienen of een beleidsplan wordt gepubliceerd.

Als je daar op wijst, wordt er ook nog steeds soort van nonchalant op gereageerd in de trant van.. Waar maak je je druk over / wat is het probleem?

Dit terwijl er – anders dan 25 jaar geleden – intussen genoeg universele formaten zoals .pdf zijn.

Laatst nog een vliegveld waar je alleen een zienswijze kon indienen als je het Word-bestand daadwerkelijk met Word openende, want alleen dan werkte de pop-up-menu-button om 'dhr/mevr.' te kiezen.

Toen ik zei dat ik geen licentie voor Word had, was de reactie:
Dank voor uw reactie. ik kan me uw bezwaren voorstellen. Ikzelf beschik privé ook niet over Word.
Misschien kunt u voor het invullen van het formulier gebruik maken van Word bij familie, een kennis of op uw werk?
Als dat niet mogelijk is of op bezwaren stuit, mag u het proberen met een andere tekstverwerker.
Zolang we het door u ingevulde formulier administratief kunnen verwerken en daarbij kunnen voldoen aan privacy regelgeving, is er niets aan de hand.

vriendelijke groet,

[blah] (OK, laat ik de naam weg als dat netter is, maar het is wel een publieke functie dus ik vind het dan geen privé-correspondentie.)
secretaris CRO luchthaven Rotterdam

[Reactie gewijzigd door breakers op 22 oktober 2019 14:41]

Ik beheer een nieuwswebsite en wordt knettergek van die persberichten in PDF. Vaak zijn het gewoon word-bestanden geprint als pdf. Tekst is slecht te kopiëren uit die bestanden. Ik mail nu gewoon terug met de vraag om het Word bestand. "Oh, ik dacht dat PDF beter was want dat dat zei neefje, systeembeheerder of ander goedbedoelde adviesgever..."
Ik beheer een nieuwswebsite en wordt knettergek van die persberichten in PDF. Vaak zijn het gewoon word-bestanden geprint als pdf. Tekst is slecht te kopiëren uit die bestanden. Ik mail nu gewoon terug met de vraag om het Word bestand. "Oh, ik dacht dat PDF beter was want dat dat zei neefje, systeembeheerder of ander goedbedoelde adviesgever..."
Wat is er mis met TXT bestanden voor... text?
Niets. TXT is ook prima. Zolang het maar geen PDF is.
0Anoniem: 426269
@HansvDr23 oktober 2019 15:25
Maar een PDF waarvan je de tekst kan selecteren en kopieren is toch gewoon platte tekst die je probleemloos kunt plakken?

Als ik zelf een PDF krijg waarvan tekst niet te selecteren is (o.a. Firefox doet wel eens lastig als mensen daar PDF's mee printen), krijgt diegene ook de vraag ook terug hoor, om een PDF te sturen waar de tekst wel selecteerbaar is, of een ander formaat. Maar als de tekst te selecteren is, heb ik verder nooit een probleem eigenlijk.
Het gaat te vaak fout. En met txt of word nooit.

Iets hieronder gaf ik al aan:

Met PDF heel vaak fout, of het bestaat opeens uit tekstblokken met na elke regel een enter, of het is een volledige afbeelding in pdf ipv tekst..
Ik gebruik de laatste jaren zelf minimaal Word, tenzij ik toevallig bij een klant of zo achter de computer zit en de vraag juist daar om gaat, dus ik kan dit qua actualiteit niet zo goed beoordelen.

Jaren geleden wel vaak genoeg meegemaakt dat programma's als Word zodanig in elkaar staken dat het op het eerste gezicht 'mooie', maar bij nader inzien onhandige documenten (pdf of andere) produceerde.

De vraag is in hoeverre dit bewuste strategie van MS is om het gebruik van openbare formaten te frustreren.

Voor wie dit vergezocht lijkt: Ooit werkte ik als DTP-er met PageMaker en kocht de baas er regelmatig nieuwe 'importfilters' bij om toch maar de diverse .doc formaten zonder problemen te kunnen importeren. Word maakte er in die tijd een zaak vaak het format te veranderen, om het concurrenten zo lastig mogelijk te maken compatible te zijn.

Als ik bijvoorbeeld deze webpagina naar pdf 'print' vanuit Safari, kan ik daaruit gewoon nette teksten kopiëren, met de juiste regelafbrekingen, compleet met 'rijke' opmaakt zoals kleur en vet / cursief etc.
De organisaties en bedrijven die de persberichten sturen hebben belang bij snelle plaatsing dus na 1 mailtje stoppen ze meestal wel met PDF bestanden sturen. Meestal is het dan Word en soms TXT. Opmaak maakt niets uit, het gaat erom dat wij de tekst makkelijk kunnen overnemen. Dat gaat met Word en TXT hier altijd goed. Met PDF heel vaak fout, of het bestaat opeens uit tekstblokken met na elke regel een enter, of het is een volledige afbeelding in pdf ipv tekst..

Een PDF persbericht komt gewoon achter aan de wachtlijst en wordt pas geplaatst als we tijd over hebben.
Daar heb ik als ex collega van je ook ervaring mee. Ik kreeg vaak als argument terug dat de huisstijl of de vormgeving in PDF beter overkomt. Of de inhoud van een persbericht is door een heel comité goedgekeurd....

Ook schitterend is de word versie van een persbericht waar wijzigingen en opmerkingen nog zichtbaar in zijn.

Excuses voor off topic gaan.
Misschien netjes om de naam van de betreffende afzender weg te laten :)
Oei, die reactie is beschamend.
Volgens mij kun je bij Dell prima hardware aanschaffen met Linux. Dell is niet echt "heel beperkt"
Wanneer je die Dell hardware beziet op het totale aanbod van laptops en PC's, dat is het heel beperkt. Maar Dell is inderdaad de aanbieder waar ik aan dacht toen ik het schreef.
De laatste keer dat ik het probeerde kon het alleen als je een top-of-the-line "developer" Dell model kocht. Nou wilde ik toevallig dat model hebben. Maar toen ik dat zelfde ding ergens anders 150 Euro goedkoper kon krijgen vanwege "open doos" maar met Windows heb ik 'm zelf voorzien van service pack Ubuntu, 25 Euro gedoneerd aan Ubuntu en 50 aan libreoffice, en had ik nog geld over voor een etentje.

De lagere licentiekosten vertalen zich in ieder geval niet in een lagere prijs.
Het is nog nooit zo gemakkelijk geweest om een alternatief besturingssysteem te installeren. Bijna alle pc's en laptops werken met huidige Linux kernel, en de installatie van bijvoorbeeld Ubuntu is gemakkelijker en sneller dan een Windows installatie.

Verder zijn er best wat systemen leverbaar met alternatieven voor Windows
Er zijn fabrikanten die alternatieve OS-en installeren, al dan niet erg beperkt. Maar daarnaast kan je ook kiezen voor een Chromebook of een Apple Mac. Al is dan de vraag of die wel zouden voldoen aan deze wetgeving.
Microsoft verzameld vooral data van een systeem en in iets mindere mate van de gebruiker van de computer. In de telemetrie kunnen best veel gegevens omtrent het gebruik van de computer worden opgenomen. Hier zit oa de hele geschiedenis van de geopende websites en bestanden bij.

Bij een vastloper wordt een geheugendump gemaakt. Daarin kunnen in theorie gegevens van derden zitten. Het gaat echter om een geheugendump van het deel waar een programma wordt uitgevoerd. Normaal gesproken staan daar geen gegevens.

Het gebuik van Office-365 en de One-drive is een ander probleem, maar dat is te omzeilen door de One-drive niet te gebruiken en gewone (enterprice) licenties te gebruiken.
Het gaat er dus om dat Microsoft inzage moet geven zodat geconstateerd kan worden dat er geen persoonsgegevens worden verstuurd.

Daarnaast kan ook de browsergeschiedenis beperkte persoonsgegevens bevatten. Veel organisaties gebruiken de browser als front-end voor datasystemen. In de geschiedenis kan bv een verwijzing staan naar de pagina: https://internnetwerk.nl/fraudesysteem/BSN. Waarbij BSN het BSN is van iemand die om de één of andere reden in het fraudesysteem opgenomen is. Dat is informatie die je niet wilt versturen. Dat moet dus uitgeschakeld worden en er moeten garanties gegeven worden dat dat ook gebeurt.
Een front-end waarbij gegevens in de url worden verstuurd zijn een probleem. Als de gegevens als POST variabelen worden verstuurt, dan komen ze niet in de browser geschiedenis. Het is maar de vraag of je dat Microsoft of de maker van de front-end moet aanrekenen. Ik zou de laatste als "schuldige" aanwijzen.
Daar heb je op zich gelijk in.
Maar wanneer het tot op heden geen probleem was, omdat de front-end beveiligd was met een wachtwoord waardoor alleen geautoriseerd personeel bij de data kon en de browser de geschiedenis niet doorgaf, kon het in het verleden een heel verdedigbare keuze zijn. Het vereenvoudigt de front-end en de back-end applicatie.
Het gebuik van Office-365 en de One-drive is een ander probleem, maar dat is te omzeilen door de One-drive niet te gebruiken en gewone (enterprice) licenties te gebruiken.
One Drive is niet direct problematisch. De data kan per container (gebruiker/tenant) worden versleuteld zodanig dat MS er zelf niet bij kan en dit wordt ook op contract niveau afgesproken. Ik kan me vergissen, maar voor zover ik weet is dit geen directe hobbel

De grote uitdagingen die ik nog op mijn netvlies heb (zijn er uiteraard meer).
- Telemetrie => Zero exhaust nog niet mogelijk, schijnt wel te komen.
- Autocorrectie (AI) => Geen idee hoe ze daar mee omgaan.
- Was ook nog wat te doen over mobile.

Pin me er niet op vast,maar data opslaan bij MS was volgens mij niet heel erg spannend qua AVG (dat kan je wel dichttimmeren, zowel technisch als met overeenkomsten), het is alles wat erom heen hangt en wat vooral niet transparant is.
@daredevil__2000
Ook bij Office 365 worden zaken (bestandsnamen en tijden) centraal als geschiedenis bijgehouden. Dat hoeft geen probleem te zijn, maar als men privacy gevoelige gegevens in de naam van het pad of de bestandsnaam zet is dat wel een probleempje.
Al deze zaken kunnen ook via de mobiel gesynchroniseerd worden. De autocorrectie is (voor zover ik weet) gewoon uit te zetten.
Ik ben geen expert, maar er was iets waardoor de autocorrectie terug kwam in slides die ik heb gekregen over de overheids-DPIA, zero-exhaust voor telemetrie was sowieso wel een dingetje, wellicht dat er iets dergelijks speelde met de autocorrectie functie

Maar ik geloof direct dat jij in het algemeen meer weet van deze materie dan ik (Ik krijg eens per maand een globale update vanuit het programma en dat komt neer op 1-2 slides^^).
@WillySis Je loopt wat kennis betreft wat achter op het 365 gebied. je kan alleen zien waar je toegang tot hebt. Daar naast kan je met behulp van ATP en andere beveiliging gewoon afdwingen wat je waar mag zien en door wie en wat iemand met welke gegevens mag doen. Of dat je deze gegevens alleen tussen bepaalde apps/programma's mag gebruiken en bij de rest niet.

Zo kan je bijvoorbeeld een studentenadministratie of een HR toestemming geven om BSN nummers te mogen verwerken waar andere medewerkers deze alleen mogen bekijken wanneer ze zich binnen het bedrijfsnetwerk bevinden en dat de gegevens niet gekopieerd kunnen worden. Probeer je hetzelfde op een mobiel device dan kan het vervolgens gewoon automatisch geblokkeerd worden.

Het opnemen van privacy gevoelige gegevens in de naam van het pad of de bestandsnaam is in welk systeem dan ook een probleempje, dat heeft het 0 met specifiek 365 te maken
Het gaat er niet alleen om wat je naar de overige gebruikers kan afdwingen, maar wat Microsoft voor gegevens verzamelt.
Binnen een administratiepakket zal Microsoft niet veel (kunnen) verzamelen. Wel bij het verzamelen van de geschiedenis in de geopende files. Helaas is het vaak onvermijdelijk om daar soms ook persoonlijke data in op te nemen. Denk maar aan een brief die handmatig moet worden geschreven.
Ik zien niet helemaal waarom Office 365 en OneDrive een probleem zouden moeten zijn. De data blijft netjes binnen de EU grenzen. Iets wat een dropbox bijvoorbeeld niet kan garanderen.
Waar het hier om gaat is het feit dat de Amerikaanse rechter ten alle tijde toegang kan geven tot jou gegevens aan een Amerikaanse overheidsinstantie. Dat is dus tegen de AVG.
Telemetrie en alles leuk, maar dat is verreweg niet het grootste probleem.
Het hangt af van het soort gegevens dat verwerkt wordt of een verwerkingsdoel redelijk is, dus behalve de overheid zal op zijn minst ook de gezondheidszorg getroffen zijn (werken met bijzondere persoonsgegevens). Als MS bepaalde gegevens en doelen zelfs niet vermeldt, zijn ze inderdaad algemeen strafbaar.
Zover ik weet ging het om telemetrie van Windows PC's en inmiddels zijn er genoeg wijzigingen aangebracht dat Microsoft weer voldoet aan de AVG verordening.
De waarschuwing komt van de European Data Protection Supervisor, een overkoepelende toezichthouder op Europees niveau. Die is nog bezig met een onderzoek naar Microsofts contracten met overheidsinstituten in Europa, zoals ministeries of zbo's.
Dus mogelijk spelen dezelfde problemen bij organisaties, maar dat is niet onderzocht.

Verder moet de overheid natuurlijk een goed voorbeeld geven. Daar voldoen ze helaas niet altijd aan. Goed voorbeeld (dat naast dat het moet ook aantoont dat het kan) doet volgen, en daarom is dit gerichte onderzoek ook goed.

[Reactie gewijzigd door The Zep Man op 22 oktober 2019 10:58]

dat is alles waar ze een drol om geven.Zolang de hoge ministers in ons land gmail gebruiken "want dat is makkelijker" zou ik daar maar niet van uit gaan. Zelfs als een Europees vindt dat Microsoft iedere databeveiligingswet overtreedt, zullen de Nederlandse ministeries niet overstappen op een alternatief. Ze kennen Word, misschien zelfs Excel, andere pakketten leren kost ze misschien twee dagen tijd en daarom weigeren ze iets anders te accepteren. Zie de reactie van de medewerkers van de gemeente München maar toen ze een Ubuntu-fork met OpenOffice moesten gebruiken; het is anders, daarom eng en vervelend.

Als de verkoop van Microsoft software en de bijgaande services niet wordt verboden voor consumenten zul je ook geen enkele reactie krijgen van Microsoft buiten een brief die zegt dat ze "het zeer vervelend vinden dat de commissie dit oordeel geveld heeft". Ik ben daarom van mening dat dit hele onderzoek vanwege haar beperkte omvang zwaar nutteloos is.
Waarom zouden ze overstappen. Ze hebben het aan gegeven en het is gefixed.

Tot nu toe verder geen onderzoek dat nog een probleemen heeft gevonden.
Sorry, maar dingen laten onderzoeken omdat je een bepaald gedraag verwacht en de overheid daarbij een voorbeeld laten zijn, lijkt mij nou ook niet de meest logische reden om een onderzoek te doen, laat staan dat de overheid een voorbeeldfunctie kan zijn.

Als de maatschappij immers een bepaald niveau of onderzoek wel zou verwachten, dan zou dat immers ook wel afgetikt zijn in wetgeving, net als bij APK dat geregeld is voor auto's.
voor overheden kunnen wel andere wetten gelden dan voor bedrijven en gebruikers.
Voor sommige gebruikers en bedrijven geeft het niet waar hun data opgeslagen word.
Maar dat ligt gevoeliger bij overheden.
dat wil niet zeggen dat bedrijven en personen ook niet aan de strengere normen kunnen/willen voldoen, maar dat is hun keuze.
voor overheden kunnen wel andere wetten gelden dan voor bedrijven en gebruikers.
Waar baseer je dit op, of heb je wellicht voorbeelden? Dit zou namelijk impliceren dat overheden soms voorgetrokken worden (of dat anderen beter behandeld worden dan de overheid, als de wet strenger zou zijn voor de overheid), terwijl wij in de grondwet hebben opgenomen dat er gelijk gehandeld dient te worden in gelijke situaties. ;) Ook de overheid kan aangeklaagd worden als je van mening bent dat ze onrechtmatig tov de wet handelen. ;)
Voor sommige gebruikers en bedrijven geeft het niet waar hun data opgeslagen word.
De GDPR heeft bedrijven vooral bang gemaakt. De meeste van de klanten op mijn werk geeft het wel degelijk wel waar hun data staat. Sommigen willen bijvoorbeeld niet dat hun webappicatie (die wij voor klanten ontwikkelen) niet gehost wordt op services/servers in Amerika, of zelfs bij bedrijven zoals Google en/of Amazon.
dat wil niet zeggen dat bedrijven en personen ook niet aan de strengere normen kunnen/willen voldoen, maar dat is hun keuze.
Het gaat hier niet om (persoonlijke) voorkeuren, maar om wat de wet aangeeft met de GDPR/AVG.

[Reactie gewijzigd door CH4OS op 22 oktober 2019 14:53]

bigbadbull heeft wel een punt. Ik werk voor een partij binnen de overheid en zo is cloud opslag niet toegestaan wegens privacy gevoelige informatie. Een ander bedrijf kan daar zijn eigen invullingen aangeven.
Dat het niet toegestaan is, hoeft niet per se iets te zijn wat wettelijk is opgelegd, zoals hij het wel brengt, dat is meer mijn punt. :) Natuurlijk staat een bedrijf daar vrijer in, maar dat is de afweging die de overheid maakt, niet de wet die dat bepaald, in dit geval.
[...]
Waar baseer je dit op, of heb je wellicht voorbeelden? Dit zou namelijk impliceren dat overheden soms voorgetrokken worden (of dat anderen beter behandeld worden dan de overheid, als de wet strenger zou zijn voor de overheid), terwijl wij in de grondwet hebben opgenomen dat er gelijk gehandeld dient te worden in gelijke situaties. ;) Ook de overheid kan aangeklaagd worden als je van mening bent dat ze onrechtmatig tov de wet handelen. ;)
Er werden op dit gebied wel degelijk uitzonderingen gemaakt. Zo werk ik in een sector waar we jaren meer vrijheid hadden op het gebied van privacy i.v.m. een vrijstelling vanuit de "Commissaris van de Koningin". Gewoonweg omdat we niet binnen de gestelde periode kunnen voldoen en onze sector niet gestopt kan worden vanwege maatschappelijk belang.

Ik durf er wel een biertje onder te verwedden dat dat soort uitzonderingen er ook waren (misschien zelfs nog wel zijn!)voor de gezondheidszorg. Gewoonweg omdat er krankzinnige hoeveelheden gebruikers/patient data is, die op de gekste plekken in allerlei custom legacy oude rommel zit. En dan gaat het om allemaal organisaties die al dan niet terecht die data uitwisselen en ontelbare systemen/architectuur landschappen per ziekenhuis/zorginstelling/verzekering/etc. etc. etc.

Ik durf er zelfs mijn huis op te zetten dat ze zelfs nu niet weten waar alle gevoelige referenties precies zitten vanwege de complexiteit en de legacy systemen. De grote happen hebben ze natuurlijk wel in de smiezen organisch gegroeid in al die decennia en privacy was niet vaak echt een uitgangspunt. En als je dat niet weet, dan wordt het nogal een lang gevecht voordat je überhaupt echt een sluitend AVG traject in kan.

Met de nieuwe Europese AVG wetgeving is er blijkbaar geen politiek kapitaal binnen Nederland om nog langer dit soort uitwegen te bieden. Je kan namelijk als lidstaat meestal echt wel afwijken van Europese regels, alleen kost het je vaak een bak politiek kapitaal. En ik vind het prima dat we nu wel in de pas gaan lopen, niks mis met betere bescherming.

Maar het idee dat als we MS en Google buiten de deur houden we makkelijker voldoen aan de AVG is discutabel. Een versplinterd applicatielandschap waarbij ambtenaren uit ellende zelf maar omwegen verzinnen (dropbox^^)wordt je ook niet blij van. En alles maar intern hosten ipv de cloud? Duur en het is de vraag of je beter uit bent omdat wat ik nu zie je daar ook niet gelukkig van wordt (volwassenheid van organisaties en hun IT is bedroevend, echt niet alleen bij de overheid).

Er wordt hier ook duidelijk te makkelijk gedaan over de enorme uitdagingen voor de gemeentes... alsof je wel even MS eruit kan zetten en met zijn alle Libre Office implementeren: HOSANNA! Dat zijn dure ingewikkelde trajecten waar de gemeente überhaupt geen kaas van heeft gegeten. Sowieso zijn er nog wel een aantal andere AVG problemen die vermoedelijk veel hoger op de kaart staan (waar zit je data en wie verwerkt hem? Zijn alle overeenkomsten up to date? Hebben we überhaupt wel een sluitend proces voor zowel AVG compliance als contractbeheer?), waar vermoedelijk nu de focus op ligt.

Het is gewoon niet allemaal zo simpel op te lossen...
Wat ik dan weer niet begrijp is dat Microsoft niet direct samenwerkt met de Europese unie om Microsoft producten overheids/GDPR-proof te maken. Dan hoeft bijv de gemeente niet het wiel zelf uit te vinden.
Ze hoeven zelfs niet met EU samen te werken.
Telemetrie UIT en er is geen kans op een privacy lek in welke vorm dan ook in de richting van Microsoft.
(anders dan een vraag om de laatste stand van zaken mbt. versies).
Let wel de PC vraagt uitsluitend om wat de laatste verversie is... en ontvangt vervelgens een lijst van alle producten en courante versies... de PC bepaald daarna zelf welke update evt. nodig is.
Dat gebeurt ook. Er is echt heel wat aan de gang met juristen/adviseurs vanuit zowel overheid als MS waaruit dan aanbevelingen voor MS komen, welke dan weer moeten worden geïmplementeerd.
Dat klopt dus niet zie ook het artikel sinds juli voldoet de software gewoon aan de eisen en is er geen probleem meer.

Denk eerder dat de nieuws waarde hier is dat overheden outdated software gebruiken waardoor ze niet zelf niet voldoen.
Nee, ze voldoen nog niet, maar er is inderdaad al heel wat gebeurd. Naar het schijnt is het binnenkort wel rond. Maar ik kijk van de zijlijn en ik verwacht nog wel wat vertraging (glas is halfleeg^^).
Nou ja geen probleem dan stappen we toch over op het Europese besturingssysteem voor computers en servers..... ......

Wel Fijn dat de EU nu ook eindelijk begint in te zien dat we geheel afhankelijk zijn van de Amerikanen op vrijwel elk gebied... netjes vraagt of ze ons met respect willen behandelen
Linus Torvalds uit Finland heeft anders wel een leuk OS geschreven, maar maakt het eigenlijk uit vanwaar het OS komt zolang het maar vrij is? Een volledig afgesloten Europees OS zou ik even slecht vinden als een Amerikaans.
Precies. Alleen met een vrij OS, maar vooral publiekelijk inkijk-bare broncode, kun je er zeker van zijn dat er niet de verkeerde data wordt opgestuurd naar instanties die daar helemaal geen recht op hebben.
Nadeel van een voledig open OS is dat kwaad willende de code kunnen gebruiken tegen je dat maakt het een heel stuk onveiliger.

En nee kom nu niet met het argument dat veel mensen er naar kijken en dat het dus wel gefixed is voordat het misbruikt kan worden want dat is een fabeltje gezien iemand wel eerst de relaties moet leggen.
Nadeel van een voledig open OS is dat kwaad willende de code kunnen gebruiken tegen je dat maakt het een heel stuk onveiliger.
Net zoals bij een gesloten OS waarbij 'niemand' er naar kan kijken.
Ik had het niet over een gesloten OS.
Logisch dat we dat ook niet zouden willen.

Maar de realiteit op dit moment is dat we niks te willen hebben en overgeleverd zijn aan de genade van USA.
Wellicht zouden overheden het programma 'ShutUp10' kunnen gaan gebruiken om de privacy van het Operating System beter te waarborgen (Windows10 in dit geval).

ShutUp10: https://www.oo-software.com/en/shutup10

Iemand een privacy gerelateerde software suggestie voor Office?
Office kent Group Policy Objects (GPO's) waarmee je de gegevensverzameling kunt inperken. Je kunt het echter niet stoppen. We hebben hier geprobeerd om de datahonger te stoppen door een Pi-hole in het netwerk te zetten, die queries naar de trackingservers van Microsoft tegenhield. Daardoor werd Office onwerkbaar traag (en het duurde even totdat we die relatie hadden gelegd).

Shutup10 doet iets vergelijkbaars maar dan voor Windows. Daarbij is in de Enterprise-versie van Windows 10 meer 'uit te zetten' dan in bijvoorbeeld Home en Professional. Je kunt daar de instellingen wel doen, maar niet alles wordt dor Windows gehonoreerd.
Office kent Group Policy Objects (GPO's) waarmee je de gegevensverzameling kunt inperken. Je kunt het echter niet stoppen. We hebben hier geprobeerd om de datahonger te stoppen door een Pi-hole in het netwerk te zetten, die queries naar de trackingservers van Microsoft tegenhield. Daardoor werd Office onwerkbaar traag (en het duurde even totdat we die relatie hadden gelegd).
Ik doe iets vergelijkbaars voor Windows en nog geen negatieve effecten ervaren. Dat wil zeggen: NXDOMAIN van de DNS server voor deze domeinen en REJECT in de firewall voor de bijbehorende IP-adressen. Ik gebruik verder geen office dus daar geen idee van. Betekent dat ook dat als Microsoft een serverstoring heeft je Office lokaal niet meer kunt gebruiken? Of dat je Office niet kunt gebruiken als je eigen internetverbinding eruit ligt?
Dat hangt van de versie af. Activatie en telemetrie zijn verschillende dingen (en servers). Office 365 wil in elk geval elke 31 dagen met de server babbelen om te controleren of je licentie nog geldig is (activatie dus). Office 2016/2019 hebben die vereiste niet.
Die traagheid komt waarschijnlijk omdat je ook de certificate revocation servers blokkeert. Iedere keer als een executable opstart zal Windows checken of het certificaat niet ingetrokken is. Hier zit een time-out op van 5 tot 30 seconden. Tevens moet je firewall een deny terugsturen en niet het verkeer enkel ‘droppen’. Dan blijven je clients wachten op antwoord.

On-topic. Dit is een nutteloze discussie en onderzoek. Microsoft heeft gewoon offline software zoals Office 2019 die prima zonder internet verbinding draait. Ook voor Windows is dat geen probleem (al wordt het steeds moeilijker gemaakt in toekomstige releases om een lokaal account aan te kunnen maken).

Echter wil de overheid Office 365 gebruiken en andere online diensten. Diensten waar ze nooit volledig inzicht in zullen krijgen en daarnaast diensten die continue bijgewerkt worden. Het is onmogelijk dat Microsoft zijn online diensten af gaat stemmen voor ieder land, dan kunnen ze de boel wel sluiten.

Het is als je een website vraagt geen data meer terug te sturen. Het kan wel maar het ondermijnt de functionaliteit enorm. Geen feedback formulieren, geen analytics, geen optimalisatie, geen interactie. Mogelijk nog wel te doen voor een website maar voor de gehele Office suite (tientallen producten) gaat dit echt niet gebeuren. Microsoft weet dit zelf ook wel en houd ze gewoon aan het lijntje. Af en toe een feature request om de mensen bezig te houden maar een echte fundamentele oplossing streeft tegen hun ‘cloud first’ strategie in.

[Reactie gewijzigd door dycell op 22 oktober 2019 13:24]

gewoon de juiste ms telemetry gerelateerde domeinen blocken op de firewall van het bedrijf voor alle client computers en het probleem is opgelost. Updating loopt daar toch via WSUS en/of SCCM dus mis je niks.
Zo werkt het dus niet (dat heb ik hierboven ook toegelicht).

Daarnaast richt Europa zich op de wet: niet verzamelen betekent dat je het niet verzamelt. Dat is iets anders dan 'de software verzamelt het wel maar je kunt proberen om het tegen te houden'.
Iemand een privacy gerelateerde software suggestie voor Office?
LibreOffice
LibreOffice: het vrije officepakket dat boven de concurrenten uitsteekt.

[Reactie gewijzigd door ThaJay op 22 oktober 2019 12:57]

https://www.onlyoffice.com/ zou een erg goede compatibiliteit hebben met OOXML (Microsoft documenten).
Enterprise omgevingen hebben wel meer (en betere) opties dan een tool als O&O ShutUp te gebruiken. ;)
FreeOffice
LibreOffice
WPS Office
iWork
Calira
OfficeSuite
Polaris Office
OnlyOffice
Word Perfect
Welk alternatief hebben ze? Google? Microsoft is een van de weinige bedrijven die er vrij transparant in is en ook de nodige audits doet om compliant te zijn. Een hoop andere software boeren doen vermoedelijk een stuk meer aan data verzameling zonder daar altijd even transparant in te zijn.
Welk alternatief hebben ze?
Wat dacht je van een vrij en open-source OS zoals Linux distributies, en een vrij en open-source Office pakket zoals LibreOffice?
Dat is leuk, maar je bent aan het denken in traditioneel OS met traditioneel Officepakket, terwijl O365 een complete cloudbased samenwerkingsomgeving is die breed beschikbaar is. Je kan dat in theorie zelf na bouwen met een filer oplossing, maar hoeveel bedrijven zijn er die nog intern een dusdanige IT afdeling hebben rondwandelen die zelf de IT architectuur en applicatielagen kan ondersteunen op een verantwoordelijke manier?

Het is een enorme klus om met allerlei aanbieders iets aan elkaar te knopen wat een moderne samenwerkingsomgeving biedt (mobiele integratie, Chat/WAPP functies met filesharing etc. etc.).En dan heb ik het nog niet over zaken als FLOW waardoor de gebruiker zijn processen kan automatiseren. Die kennis is gewoon zelden in house en het is echt de vraag of je dat zelf moet willen.... hoe vindt je de juiste mensen en maak je het betaalbaar?

Dat is juist de aantrekkingskracht van O365, dan ben je van dat gelazer af en heb je in één klap een harmonisatieslag gemaakt (systemen, contracten, overeenkomsten etc,).
MS geeft zelfs de optie om het puur in de EU te houden, en zelfs geen provisioning buiten de EU te laten gebeuren van data.
Sure, dat beloven ze maar de wetgeving in de Verenigde Staten dwingt ze echter op verzoek de deur open te zetten.
Een wat verwarrend artikel. Er wordt gesproken over contracten en software alsof dit uitwisselbare begrippen zijn due hetzelfde betekenen. Als de contracten het issue zijn is het logisch dat er verschillen bestaan tussen afnemers, maar de software zal overal hetzelfde zijn. De opmerking dat de software voldoet zou dan ook voor alle organisaties voldoende moeten zijn TENZIJ de configuratie hier het issue is, maar dan nog zou de software voldoen.
De software hoeft helemaal niet overal hetzelfde te zijn. Er kunnen verschillen bestaan tussen bijvoorbeeld on-prem en cloud oplossingen. Windows blijft Windows en Office blijft Office. Maar je AD in de cloud of on-prem maakt een groot verschil. Maak je gebruik van Onedrive of heb je lokale storage? Heb je je een office build die telemetry verder uitschakelt dan standaard mogelijk is of heb je een standaard build die meer datz verzamelt.

En dan hebben we het nog niet gehad over welke data er verwerkt wordt door de organisatie.

[Reactie gewijzigd door Blokker_1999 op 22 oktober 2019 11:28]

Windows blijft Windows en Office blijft Office.
Zeer zeker niet, er zijn verschillende versies Windows (10) en ook verschillende versies Office (2019) die verschillende functionaliteit hebben. De versie die je download (Office 2019) van Office 365 Business Premium heeft andere functionaliteit dan een Office 365 Enterprise E3. Dat zou ook heel goed kunnen met de verschillende Microsoft 365 producten.

Daarnaast is er een Office 365 Government optie waarvan ik verwacht dat overheden in de EU deze gebruiken waarin weer andere functionaliteit aanwezig is (of inderdaad zaken ontbreken). Zo is er ook een Microsoft 365 Government voor oa. Windows.

Nu is een contract niet gelijk aan software, maar ik vermoed dat er wordt gedoeld op contractuele verplichtingen die zich moeten uiten in de software. In dit geval het verzamelen van data.
In het artikel is al aangegeven «telemetrische data» en de standaard clausules van MS faciliteren dit. Met name de disclaimer t.b.v. USA instituten.
Nee, de software is juist niet overal hetzelfde. Zelfs binnen Nederland. De Rijksoverheid heeft een andere office versie, best raar dat de eisen van Rijksoverheid schijnbaar niet voor de lagere overheid of bedrijven gelden.

nieuws: Rijksoverheid mag Windows 10 en Office blijven gebruiken na AVG-aanpa...
Nee, de software is juist niet overal hetzelfde. Zelfs binnen Nederland. De Rijksoverheid heeft een andere office versie, best raar dat de eisen van Rijksoverheid schijnbaar niet voor de lagere overheid of bedrijven gelden.

nieuws: Rijksoverheid mag Windows 10 en Office blijven gebruiken na AVG-aanpa...
Nu blijkt dus dat het waarschijnlijk niet 100% conform AVG is. (Waarschijnlijk aangezien het onderzoek nog loopt.)
Gemeentes hebben een zekere vrijheid in IT keuzes. En de semi-overheid valt meestal ook buiten dit soort trajecten.

Vergeet niet dat hoe meer partijen er moeten worden gedekt door een mantel hoe lastiger de aanbesteding. Dat is niet alleen duur (niet super boeiend IMHO), maar vooral tijdrovend. De doorlooptijd van die trajecten is al irritant, je wil dat wel enigszins gelimiteerd houden.
Voor bedrijven en instellingen zijn contracten wat voor individuele gebruikers de gebruikersovereenkomst is waarmee je bij installatie akkoord moet gaan. Daar staan de rechten en plichten van Microsoft en de gebruiker in.
De gebruikersovereenkomst is AVG-proof gemaakt, maar voor bedrijven gelden andere eisen. Het staat een burger vrij om met een muisklik met allerlei zaken akkoord te gaan, maar organisaties die gegevens van burgers verwerken kunnen niet akkoord gaan namens die burgers, dus zullen in de contracten sommige zaken beter afgedicht moeten worden, waardoor Microsoft minder gegevens kan verzamelen (of ze moeten duidelijker aangeven wat ze wel en vooral niet doen).
Zelfs betaalde software wordt voorzien van allerlei phone-home datacollectie. En als je de heimwee van office blokkeert dan wordt het pakket traag als dikke stroop.

Terug naar office 95, uit de tijd dat je software licenties nog kon kopen, en je geen permanente internetverbinding nodig had.
Waarom bestaat dit probleem nog?
Is het een kwestie van niet willen of van niet kunnen?
Van de ene kant kan ik het me niet voorstellen dat een bedrijf als MS niet in staat zou zijn om alle vormen van telemetrie op te sporen en uit te schakelen.
Van de andere kant kan ik me ook niet voorstellen dat ze na alle bezwaren nog steeds niet begrijpen wat het probleem is, of niet willen meewerken.
Als ze nu bakken geld met die data zouden verdienen zou ik weer begrijpen, maar ook dat kan ik me moeilijk voorstellen.
Zoals bij Routers/switchen men "gedwongen" werd voor backdoors.
Kan dat ook gelden voor Windows/Office producten.
Al die data is dan vrijelijke ter inzage (Wettelijk vastgelegd daar)

Zou het anders ook niet weten waarom men zo moeilijk doet om een schone versie te leveren.
Het is blijkbaar niet zo makkelijk, want MS is hierin bepaald niet de lastigste partij. AVG issues spelen bij zo ontzettend veel partijen, wat helemaal naar boven komt omdat de meeste giga-organisaties met een landschap van 30 jaar organisch groeien zitten en echt niet meer helemaal netjes in kaart hebben waar alles staat/wat de datastroom is.

Het is hartstikke terecht dat we zo hard drukken op Microsoft, begrijp me niet verkeerd, maar een van de redenen dat veel organisaties naar Microsoft willen uitwijken is omdat we dan één partner hebben in plaats van een bak andere aanbieders van verschillend volwassenheidsniveau. Harmonisatie van je applicatielandschap is echt een groot goed.. en dat is echt niet omdat het hogere management dom is. We merken gewoon dat het allemaal niet meer te behappen is met contractmanagement, sourcingsmanagement, etc.

Ik zeg dit vooral omdat die invalshoek beter verklaart waarom deze keuzes worden gemaakt (en die keuzes gaat heel, heel veel tijd een heel veel onderzoek in zitten) het is echt niet simpel kortzichtigheid/gemakzucht.
Ik snap de geheimzinnigheid hiervan niet. Lijkt me een omderzoek van publiek belang betaald met belastinggeld, maar we mogen de resultaten niet inzien?
Bovendien is het niet moeilijk om dit te blokkeren met een (bedrijfs)proxy of aangepaste hostfile. Complexer dan een addblocker zal het niet zijn.

[Reactie gewijzigd door Mushroomician op 22 oktober 2019 15:18]

Uit het bericht van EDPS:

"Amended contractual terms, technical safeguards and settings agreed between the Dutch Ministry of Justice and Security and Microsoft to better protect the rights of individuals shows that there is significant scope for improvement in the development of contracts between public administration and the most powerful software developers and online service outsourcers. The EDPS is of the opinion that such solutions should be extended not only to all public and private bodies in the EU, which is our short-term expectation, but also to individuals, the Assistant EDPS said today."
Als je met zo'n statement komt dan mag je daar best een link bijdoen die dit onderbouwd.

Genoeg mensen met aluminium hoedjes die dit beweren maar ik ben nog nooit een onderbouwd artikel tegenkomen wat bewijst dat er bewuste backdoors in windows zitten.
Heb je nog nooit van de patriot act gehoord dan?
Ja, en dat stond ook in je eerste post. Maar een statement dat windows bewust ingebouwde backdoors heeft is wel iets wat je met feiten of referenties zult moeten onderbouwen.
Het feit dat er een patriot act bestaat wil niet automatisch zeggen dat er ook een backdoor in windows zit.
Dude dat is al vaker voorbij gekomen volg je het nieuws überhaupt? Er zitten overal backdoors in...

lees dit maar eens gaat nog veel verder :

https://www.google.com/am...ok-microsoft-others-prism
Dat ken ik. en is ook waar ik op reageerde bij bvdli.

"The US National Security Agency and Federal Bureau of Investigation have been harvesting data such as audio, video, photographs, emails, and documents from the internal servers of nine major technology companies"

Je mag dit best een backdoor noemen naar je data. maar het feit dat er een backdoor zou zitten in bijvoorbeeld outlook.com of onedrive wil niet automatisch zeggen dat er backdoors in Windows zitten.
LOL, jij bent erg goedgelovig ....

MS werkt samen met de NSA om ze backdoors te geven en jij gelooft niet dat ze in Windows zitten |:(

https://www.google.com/am...lains-exploits/index.html
Als er een backdoor in Windows zou zitten waar misbruik van gemaakt zou worden is dat veel zichtbaarder dan dat Microsoft in hun datacenter aan de achterkant van hun servers de data er uit halen.
Een lokaal OS zal verdacht netwerkverkeer moeten laten zien. Er zijn zeer gespecialiseerde netwerk partijen die hier meteen bovenop zouden duiken en de kans dat geen enkele van die medewerkers dit wereldkundig zou maken is vrijwel niet bestaand.
Dit is in tegenstelling tot toegang tot hun datacenters kunnen ze volledig inhouse doen met de NSA.

Ik geloof echt wel dat er meer back doors zijn dan ons lief is. Maar ik geloof ook dat een backdoor in alle windows systemen over de hele wereld wel een stap is die Microsoft niet zal durven nemen, ook niet als de overheid of NSA hun hier om vraagt. China, Rusland en Europa vinden het niet erg als de NSA bij de data van amerikanen kan in de datacenters van MS. Maar die landen zullen niet blij zijn als alle Windows systemen die in hun eigen land zomaar benaderbaar zijn door de NSA of andere geheime dienst.

Je link gaat trouwens over het moedwillig verzwijgen van een gevonden kwetsbaarheid van windows door de NSA. Dat is geen voorbeeld dat Microsoft zelf doelbewust een backdoor in Windows heeft ingebouwd.

[Reactie gewijzigd door Amasik op 24 oktober 2019 16:37]

Specifiek is de cloud act een probleem voor onder andere Microsoft. Deze houdt in dat ze bij een "uitspraak" in de US dat zij data moeten openbaren die zich in de EU bevinden.
Microsoft heeft onder de Cloud ACT geen mogelijkheid hebben om die beslissing aan te vechten en mag klanten niet informeren. Onder Amerikaans recht moeten ze aan de aanvraag voldoen.
Dat gaat over bijvoorbeeld data in Onedrive of in outlook die opgeslagen staat op een van de systemen van Microsoft.

De cloud act geeft bijvoorbeeld geen verplichting aan Microsoft om op een lokale pc van een inwoner van europa te moeten kunnnen kijken. Dus is er geen backdoor verplicht in windows, wat ik bedoelde met mijn eerdere reactie.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True