Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

'Meeste Europese bedrijven overtreden AVG door Amerikaanse clouddiensten'

Een netwerk van ruim honderddertig Nederlandse chief information officers zegt dat de meeste Nederlandse en Europese bedrijven niet aan de AVG voldoen. Dit zou komen door het gebruik van Amerikaanse clouddiensten die de wet overtreden.

Deze Amerikaanse clouddiensten zouden de afnemende bedrijven niet in staat stellen om aan de Europese privacywet te voldoen en zouden niet transparant zijn over wat ze doen met klantdata. Dat zegt het CIO Platform tegen het Financieele Dagblad. Het platform vraagt in de krant overheden daarom om softwareleveranciers te dwingen aan de AVG-wetgeving te voldoen. Wat de cio's betreft zouden bedrijven als Amazon, Google of Microsoft hun clouddiensten alleen in de EU mogen aanbieden als ze zelf aan de regels voldoen.

Volgens CIO Platform-voorzitter Arthur Govaert zit er een fout in de AVG waarbij de gebruiker moet zorgen voor software die aan de wet voldoet. Govaert, tevens cio van Radboudumc, stelt dat de maker van de software verantwoordelijk moet zijn voor de privacyveiligheid van een dienst. De voorzitter zegt dat bedrijven 'nauwelijks' een onderhandelingspositie hebben tegenover de Amerikaanse cloudaanbieders, waardoor Nederlandse en Europese bedrijven bijna volledig de kosten moeten dragen om aan de privacywet te kunnen voldoen.

Govaert geeft als voorbeeld dat het softwaregebruik en de productiviteit van artsen en verplegers van het Radboudumc door Microsoft in de Verenigde Staten kon worden gevolgd. Pas toen de Nederlandse overheid anderhalf jaar met Microsoft onderhandelde en daarbij 'grote druk' uitvoerde, kon Microsoft garanderen dat de privacy van werknemers bij ministeries, universitaire ziekenhuizen en andere overheidsorganen beschermd was. Losse bedrijven zouden zo'n onderhandelingspositie niet hebben; overstappen naar een andere leverancier zou door de kosten en de tijd daarbij 'praktisch onmogelijk' zijn.

De Autoriteit Persoonsgegevens zegt tegen de krant dat Amerikaanse clouddiensten 'lang niet altijd' aan de AVG voldoen. De AP noemt het daarnaast zorgelijk dat afnemende bedrijven daar veel over moeten uitzoeken. De toezichthouder zou bedrijven daar 'graag bij helpen', maar vanwege geldgebrek zou dat niet lukken.

Amazon zegt tegen de krant sinds 2018 aan de AVG te voldoen, Microsoft zegt er altijd voor te zorgen aan alle wetgeving te voldoen. Google meldt in een reactie dat dataveiligheid 'aan de kern staat' van hoe producten bij het bedrijf worden ontworpen en gebouwd.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Hayte Hugo

Nieuwsredacteur

06-04-2021 • 10:40

152 Linkedin

Reacties (152)

Wijzig sortering
Gefeliciteerd, ze hebben juridisch gelijk. Het is inmiddels een geopolitieke discussie aan het worden. De incompatibiliteit van AVG en Cloud Act moet op supra-nationaal niveau opgelost worden. Niet op bedrijfs/lokaal niveau.

En kiezen voor EU dienstverleners is leuk, maar dan moet je overnames door niet EU partijen verbieden. En het is maar de vraag of dat lukt.

Ben je net gemigreerd in een EU DC, wordt ie overgenomen door een VS/Chinees bedrijf. Kun je weer opnieuw beginnen met ergens heen migreren. En zeg ondertussen maar vaarwel tegen je compliance en investering.

Dan daarbij, de grootste cyberrisico's (datalekken en ransomware) voor mij als burger ontstaan door de lokale en EU bedrijven die het zelf wel denken te kunnen doen (ahum). Of die ICT bedrijven inhuren die Security lang niet zo vanzelfsprekend vinden als de grote tech.

De AVG heeft mij geleerd dat compliance iets heel anders is dan veiligheid.

[Reactie gewijzigd door teusink op 6 april 2021 12:55]

Er blijkt geen juridisch gelijk door selectief in de wet te noemen wat niet bevalt. Een wet is niet fout doordat iemand iets moet doen en stelt dat niet te kunnen. Of dat werkelijk niet kan en waaruit dat blijkt leggen ze niet uit. Clouddiensten zijn mede populair geworden omdat ondernemers geld willen besparen, niet alleen om concurentie aan te gaan met niet-EU concurrentie. Er zijn miljoenen bedrijven in de EU en nergens een redelijke uitleg of die echt zo afhankelijk zijn van cloudaanbieders van buiten de EU. Hooguit dat ze liever de keuze maken om te besparen door genoegen te nemen met gebrek aan inzicht of ze genoeg verantwoordelijkheid kunnen nemen over de persoonsgegevens. Ik wil van al die bedrijven anders wel eens zien hoe ze in hun onderhandeling en keuze rekening houden met hun verantwoordelijkheid.

Als bedrijven worden overgenomen door niet-EU bedrijven dan vervallen overigens niet zomaar onze rechten. Dat overnemen willen verbieden klinkt dus niet redelijk.
Ik denk wel dat overname door niet EU bedrijven wel degelijk een bedreiging is, want bij een overname door een VS bedrijf komt dat gewoon onder de Cloud Act te vallen. Er zal vast een tussen-fase zijn, maar die is simpelweg niet langdurig.

Ik zeg overigens ook niet dat de GDPR niet zijn werk doet. Ik zeg alleen dat compliance iets anders is dan privacy bescherming, wat ook nog weer eens iets ander is dan security. En dat de Cloud Act en GDPR niet compatible zijn moet in de eerste plaats door de EU en VS beslecht worden.

Maar als blijkt dat de VS diensten echt niet kunnen met de GDPR, dan moeten we ze gewoon gaan verbieden of afnemers ervan beboeten. Toch? Want om tot een overeenkomst te komen met dergelijke Tech bedrijven, worden er altijd wel persoonsgegevens uitgewisseld.

Ik stel alleen de vraag of onze veiligheid wel bij gebaat is om van de zijlijn te roepen dat VS-bedrijven onze privacy zouden schenden, omdat er sprake is van nationale wetgeving. En dan heb je het nog wel degelijk over 'absoluut' schenden (een VS medewerker levert support aan EU klant -- wat dan niet mag) of 'in de geest van' schenden van de wet (dat er meer verwerkingen plaatsvinden met de data dan afgesproken).

Liever zou ik dus zien dat dergelijke CISOs aan de EU deur gaan rammelen i.p.v. een populistisch voor de hand liggend verhaal de wereld in te helpen. Want zolang deze diensten niet expliciet verboden (lees: gedoogd) worden (of op zijn minst de afnemers ervan beboeten door de autoriteiten), dan zullen ze geconsumeerd blijven worden. Nog beter is geen anti-VS houding aan te nemen en met hen de discussie aan te gaan om wederkerigheid te creëren rondom de GDPR en de Cloud Act. Wederzijds gelijke rechten en plichten bijvoorbeeld.

Zelf denk ik dat er op Cyber gebied grotere problemen zijn dan dit vraagstuk (namelijk achterblijvende security hygiene bij bedrijven in NL en EU). En over soortgelijke vraagstukken i.c.m. diensten in andere delen van de wereld dan de VS hoor je weinig tot niets. Terwijl daar de situatie niet veel anders is.
Op dit moment, en ik denk zeker nog de komende jaren, zijn de belangen over privacy tussen EU en andere landen tegenstrijdig. Natuurlijk is het goed om naar gezamenlijke belangen te zoeken, maar we hebben in de afgelopen halve eeuw niet zomaar gekozen om onze privacywetgeving strenger te maken. Dan kan je al die ondernemers wel de hand boven het hoofd houden alsof we als land onwettige zaken zouden gedogen door weinig te handhaven, maar dan lijken al de strengere eisen en meer en meer waarschuwingen gewoon niet begrepen en genegeerd. Het is immers een feit dat niet alles aangepakt kan worden ook al mag het niet.

Ondertussen stelt de wet ook eisen aan veroordeling. Iets kan niet mogen, maar als je het bewijs niet rond krijgt of verkrijgen door andere rechten te veel tijd en geld kost, wil dat niet zeggen dat de werkwijze niet verboden is. Het vraagt dus ook voldoende wil van ondernemers om zich aan de wet te willen houden in plaats van er mee weg te proberen blijven komen, nauwelijks interesse in de wet te hebben. Dat is overigens ook aan de gebruikers. Als klant ondernemers niet ter verantwoording roepen en hopen dat een ander voor je recht op komt wil niet zeggen dat je het dus maar prima zou vinden, hooguit een verschil van mening wie het moet oplossen. Alleen kan de AP moeilijk gaan vragen om geen klachten in te dienen en hoor ik de beslissers over wat de AP moet kunnen niet stellen dat het dus prima is als ondernemers geld boven privacy stellen.
Poeh, ik blijf het heel theoretisch vinden (en dat siert je principes wel trouwens!), maar praktisch loop je dan wel eens vast denk ik.

Want van oudsher was er Safe Harbour, en later Privacy Shield. Nu is er 'niks', en ondernemers zijn wel onder die mom (en de AVG) contracten aangegaan.

Dat dergelijke raamwerken opgeschort worden is begrijpelijk, maar dat betekent niet gelijk dat ondernemers maar 'even' gaan overstappen. Dat vergt tijd, geld en andere risoc's. Mogelijk is er morgen een Privacy Shield 2.0 (bij wijze van spreken).

Dus, dit dient eerst op EU niveau geadresseerd te worden. Of EU moet aangeven dat er geen PS2.0 komt. Dan is er duidelijkheid over de toekomst.

Maar zonder handhaving is er simpelweg geen actieve wetgeving. Dus de AP moet ook gewoon een keer over de brug komen.

En of het uiteindelijk echt niet kan dient denk ik in de rechtbank beslecht te worden. Dan is er een onafhankelijk oordeel en interpretatie van de wetgeving inzake dergelijke tech providers.

[Reactie gewijzigd door teusink op 6 april 2021 17:27]

Mijn kijk is dat er geen spraken is van 'even' overstappen. Dat ondernemers daar al jaren rekening mee hoorden te houden door kennisnemen van plannen en veranderingen in wetgeving, de mogelijke inspraak via volksvertegenwoordiging in de voorgenomen wetgeving en de gegeven termijnen om jaren lang terughoudend te zijn met handhaven op het kunnen voldoen. Dan maar blijven kiezen en vasthouden aan cloudiensten waarbij je als ondernemer nauwelijks zelf controle neemt en blijven wijzen naar anderen is eerder teken dat die ondernemes andere prioriteiten hadden en nig steeds hebben terwijl democratisch keer op keer duidelijk is gemaakt dat dit niet de bedoeling is. Ondernemen is niet alleen verantwoordelijkheid nemen over wat je zelf het beste uit komt maar ook wat we wettelijk besluiten wat belangrijk is, zoals op gebied van hygiene of privacy.
Er is waarschijnlijk gebrek aan handhaving, maar niet aan onduidelijkheid dat het niet alleen aan anderen ligt om je als ondernemer aan de wet te houden. Dit soort waarschuwingen komen er keer op keer meestal niet voor niets. Dan valt er bij de rechter namelijk waarschijnlijk moeilijk te klagen dat men het niet wist of zelfs na vele jaren niet anders kon zonder dat heel duidelijk te kunnen maken dat er echt geen andere opties aan aanbieders of buiten de cloud was. De cloud lijkt namelijk vooral afschuiven en besparen, maar dat vraagt de wet niet.
Stel een EU dienstverlener wordt overgenomen door een VS bedrijf. Vindt jij dat de klanten dan moeten migreren naar een andere EU dienstverlener? En op welk termijn?
Dit, zit zelf gelukkig niet in het oog van de storm maar ook bij mijn werkgever is het 'gewoon' een keuze om niet compliant te zijn. Of in andere woorden; de waarschuwing vanuit de verantwoordelijke medewerker(s) wordt in de wind geslagen want: 'te veel werk/prioriteit/minder functionaliteit'.

Mooie is ook elke webshop die Shopify gebruikt is ook niet compliant dus kan je gelijk maar de autoriteit persoonsgegevens doorzetten. Jammer dat er alleen dan weinig mee gebeurt...
Over dat er duidelijkheid is ben ik het niet mee eens. De toezichthouder AP schittert in haar afwezigheid. En uiteindelijk is dat orgaan leidend t.a.v. de interpretatie van de wetgeving.
Het is echt niet zo ingewikkeld als dat het door sommige gemaakt wordt.
Leverancier Amerikaans.. Andere leverancier zoeken.
Leverancier overgenomen door Amerikaan? Andere leverancier zoeken.

Dus stel jezelf de vraag: Wat moet ik kopen/afnemen zodat ik daar zo min mogelijk last van heb?

Wat er nu gebeurt: Ondernemer negeert alle adviezen en signalen en klaagt dat het niet meer anders kan.
Maar er zijn ook ondernemingen die prima draaien zonder Amerikaanse leveranciers. Die hebben nergens last van.
Heb je zelf wel een eigen onderneming waarbij je zorgvuldig om moet gaan met je investeringen?

Maar goed, wellicht kun je je verhelderende advies verkopen aan de bedrijven die worstelen met dit vraagstuk. Een dergelijke eenvoudige aanvliegroute is vast goed te verkopen.

[Reactie gewijzigd door teusink op 7 april 2021 18:20]

En moet je voorstellen dat de Amerikaanse Stonepeak KPN overneemt? Alle klanten hebben dan last van de Cloud Act waar KPN dan ook onder gaat vallen...

https://www.rtlnieuws.nl/...peak-13-miljard-glasvezel
Het hele verhaal is wel wat gecompliceerder dan hier is voorgeschoteld. Gelukkig is het ook minder negatief dan de AP voorschoteld.
Bedrijven als Microsoft en Google slaan data van Europese bedrijven in Europa op. De Europese takken voldoen nu ook (grotendeels) aan de Europese regels (AVG) en zijn voor de dataopslag losgekoppeld van de moederbedrijven.
Overnames zijn wel iets vervelends. Een 100% Nederlandse provider kan zomaar door een Amerikaans bedrijf worden overgenomen en dat valt de data van de ene op de andere dag (volgens Amerika) onder de Amerikaanse wet. Als bedrijf kan je je daar overigens wel tegen wapenen door alles encrypted op te slaan. Gelukkig zijn er ook Amerikaanse bedrijven die dat aanbieden. Dan is de toegang van buiten Europa wel voldoende om aan de AVG te voldoen.

Ik zou overigens graag zien dat de AP extra geld zou krijgen om ook de voorlichtende rol op zich te kunnen nemen. Zeker voor kleine bedrijven is de AVG niet altijd even duidelijk. Onder collega's merk ik veel behoefte aan een centrale voorlichting, liefst van dezelfde partij die ook de handhaving doet.
Hear hear, helemaal eens!
Het gaat er niet om waar de persoonsgegevens opgeslagen worden. Het gaat erom dat de Cloudact de Amerikaanse overheid data op te vragen bij ALLE Amerikaanse bedrijven en hun dochters ongeacht waar de data staat.

Dus alleen data in de EU opslaan is niet voldoende.
Heeft zich dat al zo in de praktijk bewezen trouwens (claim van data van EU burgers op EU grondgebied)? Kon zelf geen voorbeelden vinden... :|

[Reactie gewijzigd door teusink op 7 april 2021 18:20]

Daarom hebben Microsoft en Google hun Europese vestigingen juridisch losgekoppeld van Amerika. In de CloudAct wordt dat niet erkent, maar binnen Europa gaan de lokale wetten boven de wetten van andere landen. Daarbij is het niet toegestaan om data van Europese burgers, en van de burgers die in Europa wonen aan bedrijven of staten buiten de EU te geven zonder uitdrukkelijke toestemming van de persoon zelf.
Het maakt wel veel uit waar je data is opgeslagen. Als de data in Amerika is opgeslagen gaat de Amerikaanse wet echter voor en dan is de kans groot dat je data gewoon wordt doorgegeven. Er zijn al een aantal data aanvragen door Microsoft en Google geweigerd. Binnen Amerika werkten de bedrijven voorheen als makke lammetjes mee, maar onder invloed van de Europese regels wacht men meestal een gerechtelijke uitspraak af voordat data wordt gedeeld.
Heb je een bron van dat laatste? Volgens mij staat er in de Cloud Act dat je 1) moet meewerken én 2) daar komt ie: "je moet het geheim houden".
Dus volgens mij overtreden Amerikaanse bedrijven de Amerikaanse wet als ze dit "even gaan toetsen", en voor de Cloud act is het helemaal niet van belang dat er ook een Microsoft EU tak is, want dat is gewoon Microsoft en dus een Amerikaans bedrijf. Net als (voor de Amerikaanse wet) ieder bedrijf wat ergens een paar bakstenen met een huisnummer in Amerika heeft. De Europese wet is ook niet relevant, want die gaat niet boven hun eigen wetten.
Technisch is het heel simpel: ze hebben toegang als je het hebt over de globale cloudproviders(en niet b.v. de Duitse Azure), en kunnen dus bij de data.

Het feit(tenminste, dat heb ik zo begrepen, maar ik hoor graag hoe het nu écht zit) dat het bovenstaande zo is, is ook de reden dat je als Europees bedrijf gewoon niet exact kunt overleggen waar je gegevens uithangen, en dat is wel noodzakelijk vanwege de GDPR.

Dus wie heeft nu gelijk, jij óf deze 130 CIO's ?

[Reactie gewijzigd door YoMarK op 12 april 2021 11:10]

Zelfs in Amerika is de goedgelovigheid afgenomen. In de Cloud Act staat inderdaad dat men MOET meewerken, maar daarbij zijn alleen de CIA en de federale overheid genoemd. De federale overheid bestaat niet als orgaan en kan gewoon als een Federale rechter worden gezien. Google en Apple hebben te kennen gegeven dat ze alleen bereid zijn om mee te werken al ze daartoe een officieel bevel krijgen.
Men mag van individuele gevallen niet laten weten of en wat men deelt, maar in algemene zin mag men dat wel.
Voor de cloud-act zijn de Europese data-centers met een speciale constructie losgemaakt van het moederbedrijf. Zelfs zonder die constructie mag men data van in Europa woonachtige personen niet delen. Als de data buiten Europa is opgeslagen kan de EU niets doen, maar voor in Europa opgeslagen data kan men wel fikse boetes uitdelen als die wordt gedeeld. De Cloud Act is dan niet geldig, ook al is het bedrijf 100% Amerikaans.

MicroSoft heeft dat al jaren geleden eens op de spits gedreven door te weigeren data van een in Europa wonende Amerikaan af te staan. Uiteindelijk heeft Microsoft de gerechtelijke strijd ook gewonnen.

Volgens de Amerikanen geldt de Cloud Act wereldwijd, maar in de praktijk laat geen enkel land toe dat wetten van andere landen boven de eigen wet gaan.
Veel grote providers slaan (volgens eigen zeggen) Europese data in Europa op. Of dat in werkelijkheid ook zo is weet ik niet, maar Google, Apple en MicroSoft gaan daar gewoon van uit.
Wij zijn als bedrijf die opslag biedt voor gevoelige B2C informatie bewust niet gegaan voor opslag bij Amerikaanse giganten. Onze primaire redenering was dat de GDPR en de Patriot Act niet samen kunnen gaan. Dit zijn Amerikaanse bedrijven, dus de Amerikaanse wet "Trumped" de Europese wet. Ze kunnen er niet aan voldoen, ook al doen ze op technisch vlak alles er aan om veiliger te zijn dan menig alternatief.

Daarentegen is het praktisch onmogelijk om een gecertificeerd datacenter te vinden die niet werkt met bijvoorbeeld Equinox (US). Als iemand er een weet hoor ik het graag. Wij encrypten overigens zelf al onze relevante data en vertrouwen dus niet op (bv) een S3 encryptie.

[Reactie gewijzigd door Zebby op 6 april 2021 11:11]

Is inderdaad moeilijker dan je zou denken!

Weet niet of je er iets aan hebt, maar Exoscale is volgens mij aardig europees.

Uiteraard heb je niet alle opties van AWS. Ook zie ik dat een aantal van hun datacenters bij Equinix* zitten.

Hun bg-sof-1 datacenter zit echter bij A1. Onderdeel van "A1 Group" in Europa, en América Móvil (Een Mexicaans bedrijf) globaal.

Volgens mij blijf je hier redelijk ver weg van de US, zonder al te veel in te leveren op mogelijkheden.
Qua mogelijkheden hebben we maar weinig nodig, werken juist vanuit zo min mogelijk om problemen te voorkomen. Een CentOS image is tot versie 7 niet meer ondersteund wordt alles dat we nodig hebben, in combinatie met een minstens ISO 27001 gecertificeerd datacenter :)
Open je met Bulgarije niet weer de Rusland can of worms? :Y)

Ga er wel even naar kijken, goed om opties te kennen. Helemaal vrij lijkt niet te kunnen, maar in de vage woorden van de GDPR moet je er alles aan doen om het veilig te houden, en om dat op vlak van datacenter een compromis te maken lijkt me acceptabel? Zolang alle data via beschermde/encrypte kanalen gaat lijkt me, maar daar laat mijn kennis wel wat te wensen over.
Ben helemaal voor vrije marktwerking. Maar het mogelijke maken van gelijkwaardige europesche infra zou een heel erg stuk hoger op de politieke agenda moeten staan.

We doen wel wat. Maar het is langzaam en onhandig, zoals het nu gaat.
Vrije markten functioneren alleen als er sprake is van een gelijk speelveld, en dat is hier helaas niet het geval. Zwakke privacywetgeving in de VS, weinig tot geen uitwijkmogelijkheden naar niet-VS-clouddiensten.

Overigens gaan ook Europese bedrijven hun boekje vaak ver te buiten als het gaat om de AVG door een 'gerechtvaardigd belang' voor te wenden. Die uitzonderingsgrond wordt doorlopend misbruikt om veel meer dan de strikt noodzakelijke toegestane persoonsgegevens te verzamelen ('fraudebestrijding', iemand?). Tenzij je als consument bereid bent om een dure rechtszaak aan te spannen, sta je machteloos. Dat is wellicht deels een andere discussie dan waar het in bovenstaand artikel over gaat, maar ook in deze situatie is geen sprake van een gelijk speelveld. Ook in Europa valt er een hoop te verbeteren als het gaat om het afdwingen van het voldoen aan AVG-wet- en regelgeving door hier gevestigde bedrijven.
ISO 27001 zegt overigens niks over hoe veilig het is. En alleen over hoe security management georganiseerd is.

Mijn inziens ruim onvoldoende als een DC alleen die certificering heeft.

[Reactie gewijzigd door teusink op 6 april 2021 12:38]

Er komen er wel bij hoor.

Exoscale is een mooi voorbeeld, maar dichter bij huis is https://whitesky.cloud/ een europees initiatief die hier net op inzet. Maar de dominantie van de Hyperscalers is idd niet zo best.
Zolang je zelf geen fysieke toegang hebt tot de servers en deze compleet zelf beheert, loop je altijd risico. En juist in oosteuropese landen zou ik heel voorzichtig zijn.
Probleem is ook gewoon dat men wel leuk en aardig dit allemaal zo 'AVG' wil, maar in de praktijk is het vaak gewoon (financieel) onmogelijk. Het is allemaal wel makkelijk vingertje wijzen als jij zelf niet voor de kosten op hoeft te draaien of uberhaupt nergens rekening mee hoeft te houden. Als de overheid zelf hun zaakjes niet eens op orde heeft, en de komende 10 jaar ook zeker nog niet zal hebben, dan is het wel heel hypocriet om dan vingertjes te gaan wijzen.
Volgens mij zijn er meerdere die dat bieden, zoals een Proact bijvoorbeeld. Alle data blijft in Europa en dit bedrijf is een puur op de Europese markt geënt. Alleen zijn ze natuurlijk niet zo groot als bijvoorbeeld een MS, Google en AWS.
Als de Europese bedrijven zich juist op dit soort Europese spelers in de IT wereld gingen richten, zou dit probleem ook minder groot zijn.
Alle wetten en regeltjes op papier zijn geen flikker waard als er een paar mensen van de lokale inlichtingendienst je data centrum binnen komen lopen.
Dit begrijpen we klaarblijkelijk als het over Huawei gaat maar met Amazon is het net zo.
upcloud.com is in Finland gevestigd als hoofdkantoor zijnde, misschien kun je bij hun eens koekeloeren of ze aan alles voldoen qua certificeringen (lijkt het wel op)
Wat zijn je eisen bij die certificering dan en waar komen die vandaan? De AVG eist namelijk geen certificering, hooguit dat jij kan aantonen dat jij voldoende verantwoordelijkheid neemt en de bedrijven die je inhuurt daaraan voldoen.
Daarbij leg je helaas niet uit hoe je aanbieders zoekt. De EU is nogal groot en zelf Nederland heeft zeer veel verschillende datacenters.
Die zijn er gewoon.
MainCubes
BIT
Een mooi achtergrondartikel over wat er wel kan heeft eerder op Tweakers gestaan: nieuws: Google en de overheid: hoe doe je daar privacyonderzoek naar?
Misschien dat we toch eens moeten kijken om dit soort afhankelijkheid af te bouwen. Meer EU software/opensource/locally hosted solutions.

Maar ja, als je als bedrijf niet eens de voorwaarden van de dienst die je af gaat nemen doorneemt, dan gebeuren dit soort dingen...
Alsof het nu niet mogelijk zou zijn om de boel (hoe groot je ook bent) in te richten volgens de lokale wetgeving.

I.M.O. Moet je een dienst niet willen gebruiken als je de voorwaarden niet 'wilt' accepteren.

Edit:typo

[Reactie gewijzigd door Vinnie2k op 6 april 2021 10:45]

Ik weet sowieso niet of ik iets zou willen gebruiken in beheer van de EU, gezien hun haat voor encryptie (willen ze afschaffen -edit-: beter verwoord, men wil betrouwbare encryptie verbieden) en het democratisch gebrek.

[Reactie gewijzigd door WhatsappHack op 6 april 2021 12:21]

Ik weet sowieso niet of ik iets zou willen gebruiken in beheer van de EU, gezien hun haat voor encryptie (willen ze afschaffen) en het democratisch gebrek.
De EU wil helemaal geen encryptie afschaffen, of heb je daar bronnen voor? De EU zit met encryptie in de maag dat gebruikt wordt voor criminele activiteiten en wil geen encryptie afschaffen, maar ziet graag dat encryptie wordt afgezwakt met het inbouwen van backdoors zodat de opsporingsdiensten deze versleutelde data alsnog kunnen inzien als dat (volgens hun) nodig is.
Exact wat je zegt, encryptie dus afschaffen... De discussie is of als er een backdoor zit in een encryptie methode of we het dan nog over encryptie kunnen hebben. Het is dan het niveau van die sloten die je vroeger had op die diskette bakken waarmee je met een paperclip dat ding nog steeds open kreeg....
Encryptie met een backdoor is nog steeds encryptie, alleen heeft het een extra mogelijkheid om toegang tot de data te krijgen. In plaats van één persoon kan er nog een extra persoon bij de data. Het maakt wel dat de encryptie niet meer persoonlijk is.
Het is dan het niveau van die sloten die je vroeger had op die diskette bakken waarmee je met een paperclip dat ding nog steeds open kreeg....
Dat vind ik niet, wat jij noemt kan iedereen doen. Encryptie met een backdoor is niet door iedereen te ontsleutelen, dat is alleen mogelijk door de encryptiesleutel te hebben of de backdoortoegang.
Het kraken van de sleutel(s) is natuurlijk door iedereen te doen, maar dat was ook al mogelijk voor de backdoor.
En hoe wordt er gewaarborgd dat die extra toegang middels een backdoor niet misbruikt wordt? Sorry, maar wat Cergorach zegt klopt eigenlijk wel. Je kan niet echt meer spreken van een volledige encryptie als er een backdoor is.
Die hadden allemaal dezelfde sleutel. Het slot was meer om te voorkomen dat ze onderweg open vielen. En zo'n plastic bak krijg je ook met een beetje geweld wel open.
encryptie wordt afgezwakt met het inbouwen van backdoors zodat de opsporingsdiensten deze versleutelde data alsnog kunnen inzien als dat (volgens hun) nodig is.
Afschaffing dus, wat mij betreft. Maar laat ik het anders verwoorden dan om het technisch accuraat te maken, immers is het beter dan alles volledig in plain-text: men wil betrouwbare encryptie afschaffen. Backdoored encryptie verliest immers alle vorm van betrouwbaarheid, je kan er niet meer vanuit gaan dat de inhoud niet plain-text accessible is of aangepast wordt. Met de overheid als adversary, had het dan net zo goed plain-text kunnen zijn. Encryptie heeft dan nog wel zo z'n doelen, maar die zijn beperkter en je kan er simpelweg niet meer op vertrouwen dat het veilig is en blijft.

[Reactie gewijzigd door WhatsappHack op 6 april 2021 12:22]

Het wil niet zeggen dat encryptie met backdoor aangepast kan worden mogelijk heeft de overheid daar dan namelijk ook de private key voor nodig ...
Afschaffing wat jouw betreft, dat is al wat anders dat je in je vorige reactie stelde dat de EU encryptie zou willen afschaffen. :)

Afgezien van het feit dat encryptie met een achterdeur onwenselijk is hoeft een encryptie niet pese onbetrouwbaar te worden door een backdoor. Het hangt natuurlijk af wat hoe de backdoor wordt geïmplementeerd. Encryptie wordt hierdoor niet meer prive.
Afgezien van het feit dat encryptie met een achterdeur onwenselijk is hoeft een encryptie niet perse onbetrouwbaar te worden door een backdoor.
Natuurlijk wel, als er een backdoor in zit kan je er per definitie niet op vertrouwen... Ik bedoel, met die redenatie kunnen we ook het backdoored Dual_EC_DRBG weer veilig gaan toepassen - ja toch? We kiezen voor encryptie niet voor niets voor betrouwbare en non-backdoored libraries: anders is de encryptie onbetrouwbaar.
Een crimineel heeft wat te beschermen van waarde. Nu wil iemand dat bescherming weg nemen dus wat denk je dat het crimineel gaat doen?

1) "Oh nou jammer dan maar dit is het enige optie wat ik kan gebruiken dus ik ga lekker zo door."
of
2)"Het huidige systeem wordt overboord gegooid en we pakken het eerst volgende methode waar niemand aan zit."

Het argument om jouw als (mogelijk)non crimineel te overtuigen is dat het een goed idee is om de eerste aanname te gebruiken c.q alle criminele zijn achterlijk.
Als ze zo dom zijn waarom dan zoveel moeite doen om ze te pakken??? Moet toch niet zo moeilijk zijn gezien hoe dom de criminelen zijn?
Ondertussen is niks van jou beveiligd omdat je toch de systemen gaat gebruiken dat iedereen al gebruikt. Het creëert een sociale barrière als je het niet doet.

De criminelen zitten dan weer lekker veilig hun ding te doen omdat er iets van waarde beschermd moet worden en jij de normale sociale medemens bent vogelvrij voor elke opsporingsdienst en hacker groep.
Oh en niet vergeten als je dan toch je spullen wil beschermen tegen hackers dan ben je automatisch een verdachte bij de opsporingsdiensten omdat ze je niet kunnen volgen...
[...]

De EU wil helemaal geen encryptie afschaffen, of heb je daar bronnen voor? De EU zit met encryptie in de maag dat gebruikt wordt voor criminele activiteiten en wil geen encryptie afschaffen, maar ziet graag dat encryptie wordt afgezwakt met het inbouwen van backdoors zodat de opsporingsdiensten deze versleutelde data alsnog kunnen inzien als dat (volgens hun) nodig is.
Afzwakken backdoors zijn een net mooi verpakt woord om encryptie af te schaffen.

Wat zijn criminele activiteiten ?
als de belastingdienst van mening is dat je geen belasting betaald hebt als bedrijf kun je ook stellen dat het crimineel is, mag men dan ook alles inzien ?
Je weet ondertussen toch ook hoe het werkt. Men begint met het argument terrorist en pedofiel om encryptie af te schaffen, dan verplaatst het zich naar zware criminaliteit en schuiven we steeds een stuk op.

Als er een backdoor is betekend dat ook dat die gegevens gelekt kunnen worden en zie daar een crimineel die iemand in overheidsdienst betaald (waar hebben we dat gehoord) kan dan na betaling over een sleutel beschikken om zo de concurrentie af te luisteren. Of sterker nog bedrijfsspionage wordt zo wel heel eenvoudig.

Dus ja de EU wil encryptie afschaffen maar verpakt het voor de buitenwereld in een heel mooi jasje. Komt uiteindelijk zoals @WhatsappHack ook schrijft op hetzelfde neer.
Ken je de TSA sloten voor op vliegvelden? Ook een slot met een backdoor voor de overheid. Vervolgvraag: ken je kwaadwillenden (bijvoorbeeld smokkelaars) die niet na verloop van tijd een TSA sleutel weten te bemachtigen?
Hoe zorg je ervoor dat encryptie niet lek raakt en je erop kunt vertrouwen? Door geen backdoor in te bouwen die ongetwijfeld na verloop van tijd door de verkeerde personen kan en zal worden misbruikt.

[Reactie gewijzigd door mac1987 op 6 april 2021 14:59]

Dezelfde discussie over encryptie speelt ook in Amerika.

Uiteindelijk zal verwerking van data binnen een Europese organisatie afhangen van wetgeving en de keuze van bedrijven om hun gegevens daar neer te zetten.
Natuurlijk moeten ze weer het wiel opnieuw uitvinden. We hebben toch al vergelijkbare initiatieven, zoals Cozy?
https://cozy.io/en/
Wat nota bene ook EU-financiering heeft gekregen.
precies wat ik daar in de comments ook al zei, maar daar werd op gereageerd dat het opzetten van hosting in de EU te duur zou zijn..

Maar het is duidelijk, wil je je diensten in de EU aanbieden, dan moet je aan de EU regels voldoen - als dat duurder is, dan is dat maar zo - en het wordt toch wel doorberekend aan de klant.

In China kun je alles namaak/goedkoop kopen, waarom? Omdat zij zich niet aan onze standaarden houden en dus goedkoper kunnen produceren.

Maar de vraag is, als Huawei en Google een apart bedrijf in de EU registreren, wat wel aan de wetgeving voldoet, hoe groot is dan de kans dat ze via hun moederbedrijf/holding toch bij de data kunnen en die gevorderd kan worden door hun overheden?
En hoe regel je dit met alle users? Die vervolgens waarschijnlijk ook met de users op het andere platform willen communiceren?

Bijv Slack/Discord, je zegt wel, maak een EU alternatief in zo'n geval.. maar dat betekent dat ik basically niet met de rest van wereld kan communiceren via die middelen, want die blijven lekker op Slack/Discord, daarnaast moet je "open source alternatief" ook net zo lekker/fijn werken, want als je met half de features aankomt en of een boel bugs of slechte connectie, of alsnog een security hole te hebben omdat random mensen dan die servers zelf moeten hosten, is het uiteindelijk nog niks..
We hebben het hier over dataopslag, niet over applicaties. Nemen we bijvoorbeeld je Slack of Discord voorbeeld. Je hoeft helemaal geen alternatief te maken. Wat je echter wel zou willen is dat je voor je Slack kanaal aan kunt geven waar de data bewaard wordt. De chat historie, de geuploade media. Een Amerikaan kan rustig meechatten, maar het is voor de Amerikaanse overheid niet meer mogelijk om de gegevens op te eisen.

Het is keurig mogelijk om ook bij AWS, Azure of de google cloud aan te geven dat je je instanties expliciet bij de Europese datacenters afneemt waardoor ze onder de Europese poot van die bedrijven valt. Dat veel bedrijven dat vervolgens niet doen heeft meer met onkunde, onbekendheid en krenterigheid te maken.
Zolang die Europese poot van een bedrijf ook maar enige connectie heeft met de Amerikaanse, maakt het niet uit waar die data opgeslagen is. De Patriot Act kan ieder bedrijf verplichten al haar data in te laten zien. Ook als deze data buiten de VS opgeslagen is. Naar mijn weten is de Europese tak van zo'n beetje elk groot bedrijf altijd nog op een of andere manier verbonden met de Amerikaanse.
(...) krenterigheid te maken
Is dat duurder dan om het in Europa te houden? Want dan vraag ik me af waarom in America dan goedkoper is. Wat maakt het dat ze het dan goedkoper kunnen aanbieden?

Daarnaast snap ik niet helemaal waarom je het als Europese klant moet instellen als het blijkbaar wettelijk nodig is. Aan de wet voldoen zou dan toch juist standaard moeten zijn?
Edit:
Bedankt voor alle duidelijke uitleg!

[Reactie gewijzigd door pookie79 op 6 april 2021 13:58]

Is dat duurder dan om het in Europa te houden? Want dan vraag ik me af waarom in America dan goedkoper is. Wat maakt het dat ze het dan goedkoper kunnen aanbieden?
De schaalgrootte, waarschijnlijk. En misschien lagere salarissen.
Daarnaast snap ik niet helemaal waarom je het als Europese klant moet instellen als het blijkbaar wettelijk nodig is. Aan de wet voldoen zou dan toch juist standaard moeten zijn?
Je kunt binnen AWS over de hele wereld je instances (en services) deployen. Je moet dus zelf zorgen dat je alleen de EU regions pakt om het in de EU te houden.

[Reactie gewijzigd door u34186 op 6 april 2021 13:01]

Als ik het dus goed begrijp, gaat je maandbedrag direct omhoog als je in de instellingen "binnen EU" aanklikt?
Of is het wat genuanceerder?
Elke region heeft gewoon zijn eigen pricing. Zo betaal je voor de een t3.medium instance in US-EAST (N. Virginia) bijvoorbeeld $0.0416 per uur terwijl je voor diezelfde type instance in Europe - Frankfurt $0.048 per uur betaalt. Kies je Europe - Ireland, betaal je maar weer $0.0456 per uur.

Zo heeft elke regio dus zijn prijs en over het algemeen is US-EAST de goedkoopste bij AWS. Microsoft en Google hanteren volgens mij een gelijke prijsstrategie.
Is dat duurder dan om het in Europa te houden?
Ja, dat is duurder. En als je de zekerheid wil dat er geen Amerikaans moederbedrijf is dat via een omweg toch bij de data kan dan wordt het nog veel duurder.
Want dan vraag ik me af waarom in America dan goedkoper is. Wat maakt het dat ze het dan goedkoper kunnen aanbieden?
Verschillende redenen.
Ten eerste schaalvoordeel. De Amerikaanse bedrijven zij zo ontzettende veel groter dat ze alleen al daaruit voordeel hebben. Indirect hebben ze nog meer voordelen doordat ze bijvoorbeeld hardware op maat kunnen laten maken terwijl kleinere bedrijven het moeten doen met kant-en-klare hardware.

Ten tweede gelden er in Europa veel meer en strengere eisen aan van alles en nogwat. Van milieuwetgeving tot de rechten van werknemers tot de prijs van elektriciteit tot de GDPR. Enerzijds drijft dat de kosten op en anderzijds beperkt dat de mogelijkheden voor secundaire inkomsten, zoals het verzamelen en verkopen van data over je klanten.
Daarnaast snap ik niet helemaal waarom je het als Europese klant moet instellen als het blijkbaar wettelijk nodig is. Aan de wet voldoen zou dan toch juist standaard moeten zijn?
Amazon (of welk bedrijf dan ook) weet niet wat jij gaat doen met de servers/diensten die je van ze afneemt. Ze kunnen vooraf niet ruiken het bedrijf zich op Europese klanten richt of niet. Wettelijk gezien is het dan ook de afnemer die er voor verantwoordelijk is, die weet wat de bedoeling is.
Wel zou je kunnen stellen dat ze er bij Europese bedrijven misschien maar van uit moeten gaan dat ze de Europese regels moeten volgen, maar strict genomen is dat niet hun verantwoordelijkheid. Aangezien dit soort bedrijven het moeten hebben van krappe marges en schaalvoordeel is er weinig ruimte voor persoonlijke begeleiding of een aanbod op maat. Alle verantwoordelijkheid ligt bij de klant.

Er zit een moeilijke realiteit achter die gevoelsmatig ergens tussen afpersing en een natuurwet in zit.
IT is moeilijk en duur. Veilige IT nog veel moeilijker en duurder. Veilige IT die ook nog eens aan alle wetten en regels voldoet is praktisch onmogelijk moelijk en duur. Het is meestal gewoon niet te krijgen want niemand kan betalen wat nodig is om het echt goed te doen. Dat kost meer dan je er ooit mee terug kan verdienen. De paar bedrijven die het proberen die kunnen niet concurreren met bedrijven die wat minder moeite doen en daardoor veel goedkoper zijn.
Natuurlijk heb je in alle sectoren de bekende afweging tussen goed - snel - goedkoop (kies er twee) maar in de IT is die keuze heel extreem waardoor er eigenlijk altijd wordt gekozen voor snel en goedkoop.
Is dat duurder dan om het in Europa te houden? Want dan vraag ik me af waarom in America dan goedkoper is. Wat maakt het dat ze het dan goedkoper kunnen aanbieden?
In amerika is het niet perse goedkoper. Het is duurder omdat je extra eisen hebt en beperkingen oplegt. Als Google zelf mag bepalen waar de data neergezet wordt kunnen ze dat op de voor hun goedkoopste plek doen. Wil je perse dat het in het datacenter in de Eemshaven staat, dan zullen ze daar de capaciteit moeten reserveren en vrijhouden.
En hoe zie je dat dan met internationaal opererende bedrijven?
Met (bijvoorbeeld) vestigingen in Europa en de US-of-A?

Of wat dichter bij huis: Nederland en Duitsland?
https://docs.microsoft.co...germany?view=o365-germany
Het bedrijf in Europa moet eigenlijk geen banden meer hebben met het bedrijf in Amerika, volgens mij. Dat is de enige manier waarop je kan voorkomen dat Amerika gegevens gaat opeisen, bijvoorbeeld. Een in Ierland geregistreerde Google is nog steeds onderdeel van Google en daarmee problematisch, als ik me niet vergis.
Microsoft is ook problematisch. Wel opslag in EU maar DNS, certificate signing, IP-adressen en routing loopt via de VS zodat Amerikaanse overheidsdiensten altijd verkeer (authenticatie) kunnen omleiden om gebruiker/wachtwoord informatie te onderscheppen.

Je hebt niets aan opslag in de EU als de toegang tot de data zo gemakkelijk te verkrijgen is. Helaas kiezen veel onderwijsinstellingen in Nederland toch voor Microsoft-diensten. Wat mij betreft onacceptabel.
Opslag van data in EU is een wassen neus wat Google, Microsoft en Amazon betreft. Al die bedrijven komen uit Amerika en vallen direct onder de Patriot Act. Wat betekent dat ze alle data moeten overhandigen aan Amerika als die daar om vraagt, ongeacht waar dit opgeslagen is. En ze mogen daar niets over communiceren naar de klant waar het over gaat.
Bijvoorbeeld Gaia-x bedoel je?
Gaia-x is een lege doos met veel papier... en ik vermoed dat dit ook zo gaat blijven.
Je bedoeld dat Europees vehikel dat volgepropt is met buiten Europese entiteiten, zoals dat bedrijf (Palantir) dat aan spionnage doet voor de NSA en CIA, en Google, de grootste dataslurper ter wereld ?
Het punt wat ze stellen is dat die bedrijven hun diensten gewoon niet mogen aanbieden als ze niet aan de wetgeving voldoen. En daardoor lopen diensten die wel aan de wet voldoen achteraan, want voldoen aan de wet is over het algemeen niet gratis.

Het is een beetje alsof je in elke supermarkt vuurwerk kan kopen, en dan in twee varianten die even duur zijn: sterretjes of een mooie fontein. De fontein voldoet niet aan de wet, maar word wel gewoon verkocht zonder duidelijke disclaimer erbij. En als jij het afsteekt krijg jij een boete. Dat is scheef, dat vuurwerk zou gewoon niet verkocht mogen worden als het niet aan de wet voldoet.
Dat klinkt leuk, maar dan vallen alle Amerikaanse bedrijven of bedrijven met een Amerikaanse relatie direct af. Dat zijn zo goed als alle bedrijven die geavanceerde PAAS / SAAS platformen aanbieden. Dus geen Google Cloud, Azure, AWS, SAP, SalesForce, etc...

Die vallen allemaal onder de Patriot Act wat direct betekend dat ze niet kunnen voldoen aan de wet van Europese landen.

[Reactie gewijzigd door gedonie op 6 april 2021 16:20]

Misschien dat we toch eens moeten kijken om dit soort afhankelijkheid af te bouwen. Meer EU software/opensource/locally hosted solutions.
En dat garandeert nog steeds niet dat een EU bedrijf voldoet aan de EU/NL regelgeving, hoeveel Nederlandse bedrijven en overheidsinstanties voldoen daar niet aan. En als we het over een EU bedrijf hebben, dan zijn er geen garanties dat dit een EU bedrijf blijft. Als dit een bedrijf gaat worden wat nooit verkocht mag worden of buitenlandse investeerders = eigenaren mag hebben wie gaat zoiets starten, je kan over het algemeen je geld dan in betere projecten steken.
Maar ja, als je als bedrijf niet eens de voorwaarden van de dienst die je af gaat nemen doorneemt, dan gebeuren dit soort dingen...
Alsof het nu niet mogelijk zou zijn om de boel (hoe groot je ook bent) in te richten volgens de lokale wetgeving.
Met die redenatie gaat het juist mis. Je kunt toch niet verwachten dat de loodgieter/ timmerman / bakker / groetenboer / makelaar etc. de voorwaarden van google of microsoft doorneemt en deze daardoor juist niet of wel kiezen om de cloud dienst te gebruiken.
Dat zijn juist de 9 op de 10 bedrijven die niet aan de AVG (kunnen) voldoen voornamelijk door kennisgebrek. En dat kun je die mensen niet eens kwalijk nemen.
Er is zoiets als verantwoordelijkheid voor wat je doet. Dus ook begrijpen wat je afsluit.

Het is je eigen verantwoordelijkheid en je eigen risico als je er niet aan voldoet
Volgens CIO Platform-voorzitter Arthur Govaert zit er een fout in de AVG waarbij de gebruiker moet zorgen voor software die aan de wet voldoet. Govaert, tevens cio van Radboudumc, stelt dat de maker van de software verantwoordelijk moet zijn voor de privacyveiligheid van een dienst.
Degene over wie de data gaat heeft geen afspraak met de softwareleverancier, maar wel met de gebruiker van de software. Dit lijkt op een webwinkel die wettelijk garantie wil afschuiven op de leverancier, wat mij ongewenst lijkt. De webwinkel/softwaregebruiker blijft zelf eindverantwoordelijk, want zonder die webwinkel verkoopt de leverancier niets/zonder de softwaregebruiker zal de software niets opslaan.
De voorzitter zegt dat bedrijven 'nauwelijks' een onderhandelingspositie hebben tegenover de Amerikaanse cloudaanbieders, waardoor Nederlandse en Europese bedrijven bijna volledig de kosten moeten dragen om aan de privacywet te kunnen voldoen.
Ik zeg: gat in de markt. :) Als de betreffende bedrijven vanaf moment X software/datacenters moeten gebruiken van leveranciers die voldoen aan AVG, dan springt er vanzelf een partij op om in de periode tussen nu en X een AVG compliant alternatief aan te bieden. Dat maakt de afzetmarkt namelijk groot genoeg om een (duurder, maar AVG compliant) alternatief aan te bieden.

[Reactie gewijzigd door The Zep Man op 6 april 2021 11:01]

Volgens mij wil hij niets afschuiven maar geeft hij aan dat het nog niet zo makkelijk is om te zeggen dat het bedrijf er maar voor moet zorgen dat alles GDPR compliant is wanneer je als bedrijf geen sterke vuist kunt maken bij een leverancier. Als alle vier de leveranciers van een bepaalde dienst Amerikaanse bedrijven zijn die tientallen of honderden keren groter zijn dan jouw bedrijf dan kun je niets afdwingen.

Hij geeft dus aan dat er in het ontwikkelen van de GDPR wat hem betreft een steekje is laten vallen door geen drukmiddel te hebben richting leveranciers. En daar heeft hij denk ik best een punt.

Maar, er ligt inderdaad een gat in de markt voor Europese bedrijven om in te springen. Je hoeft ook niet meteen zo groot te zijn als Google, zolang jij een GDPR compatible alternatief biedt en Google niet dan win je de strijd dus op dat punt.

[Reactie gewijzigd door Maurits van Baerle op 6 april 2021 11:05]

Groot gelijk: de fout ligt echt niet bij de avg, die is er vooral om regels te stellen, daar zijn 'we' het 'met zijn allen' al Europees breed over eens.

Het probleem is bij de aanbieders en de afnemers van de diensten. Het valt mij op dat de grote (amerikaanse) aanbieders altijd stellen dat zij aan DE regels voldoen en ALLE richtlijnen (gaan) volgen. Maar daarbij wordt altijd heel politiek niet vermeldt welke regels en van welke instanties. Daar boven komt nog dat zij zich op voorhand niet uitspreken als er een conflict in de regels is, dat doen ze meestal pas als er detail vragen komen.

Wat mij betreft zouden de regel stellers meer moeten doen aan het handhaven.

Terug kijkend vraat ik mij af waarom de Europese overheden speciale afspraken en dergelijke met google en microsoft moeten maken om aan de regels te voldoen? (zie bijvoorbeeld: nieuws: Google en de overheid: hoe doe je daar privacyonderzoek naar?) De andere organisaties in Europa moeten ook allemaal aan de zelfde avg regels voldoen.
Nederlandse datacentra proberen ook al sterk op deze manier klanten te werven (bijvoorbeeld https://www.previder.com/...lled-how-why-and-what-now ).
hmm wij zijn net over naar office 365 en onedrive op het werk.. Nu voldoen we blijkbaar niet ben benieuwd hoe dat gaat worden opgelost.
Volgens mij staat hier nergens dat ALLE Amerikaanse cloud diensten de wet overtreden. Volgens mij zit je met Office 365 en one drive nog steeds goed.
Nee in feite ben je niet compliant. Vorig jaar juli is het privacy shield ongeldig verklaard door het Europese hof van Justitie. Dat privacy shield was al een wassen neus, maar wel de enige wassen neus waar de Europese klanten van Microsoft, Google, Facebook, Amazon, etc, etc zich achter konden verschuilen.
Vanaf dat moment is er binnen Europa geen manier meer om legaal dit soort diensten te gebruiken. Doe je dat toch, dan moet je een zogenaamd modelcontract afsluiten met je Amerikaanse leverancier. Ook een wassen neus, want zo'n contract kan nooit zwaarder wegen dan de Amerikaanse Cloud Act.
De enige uitweg is dat de autoriteit persoonsgegevens een oogje dicht gaat knijpen. Als dat gebeurt, zullen er veel rechtzaken gaan volgen door bezorgde burgers.
Office365 is nog steeds Microsoft en een Azure omgeving. Die zijn dus evengoed niet compliant met AVG
Kun je dat toelichten? Ik ben erg benieuwd hoe het zit namelijk. Ik dacht juist dat die Amerikaanse bedrijven daarom zo hebben geinvesteerd in datacenters op het Europese land, zodat ze wel aan de AVG konden en moesten voldoen. Ik meen dat je bij Office 365 als afnemer ervoor kan kiezen om alleen van de Europese cloudversie van het product gebruik te maken, die compliant is aan de AVG?
Een aspect is de opslag op EU grond, maar dat is onvoldoende op zichzelf. De leverancier dient te stoppen met het verzamelen van persoonlijke informatie, zoals gebruik van de software. Dat is een van de belangrijke zaken die aan de orde kwamen in het onderzoek van de Nederlandse overheid naar het gebruik van Office 365. De DPIA kun je hier vinden.
Ik begreep dat zodra er ergens in de keten een Amerikaans bedrijf zit, de Amerikaanse overheid het recht heeft gegevens op te vragen, waar deze ook staat. Het betreffende bedrijf is verplicht daar aan mee te werken, tegen hoge boetes en/of sancties.
Dus ook al heeft Microsoft een EU -cloud, de Amerikaanse overheid kan daar nog steeds vrijelijk in rondneuzen en zal zich niets aan (hoeven) trekken van de GDPR.
De oplossing met de Duitse provider die (delen van) de Microsoft diensten in EU levert zou werken, maar zoals hierboven al is gemeld kun je daar niet meer op inschrijven. En zolang die aanbieder geen vestiging op Amerikaans grondgebied heeft :)
Ik dacht juist dat die Amerikaanse bedrijven daarom zo hebben geinvesteerd in datacenters op het Europese land, zodat ze wel aan de AVG konden en moesten voldoen.
De data mag niet in de US worden opgeslagen nu Privacy Shield en Safe Harbour niet meer geldig zijn. Maar zoals boven beschreven maakt dat voor de US Gov niet uit; ze kunnen het nog steeds opvragen.
Office 365 bestaat uit een shitload aan applicaties / eilandjes. Nog los van dat je niet (echt) kan controleren waar je data blijft(dat is een kwestie van vertrouwen), moet je ook de zaken goed configureren, want e.e.a is soms behoorlijk onlogisch. Voorbeeldje, als je in Europa Yammer aanzet, dan komt de data dan op Amerikaanse servers, want dat is de standaard instelling. Die setting moet je dan ook echt in de backend(powershell) zelf goed zetten, en dat moet je maar net weten te vinden.

[Reactie gewijzigd door YoMarK op 6 april 2021 12:26]

Klopt,

Onder de FISA en Patriot Act moet een bedrijf daaraan meewerken onafhankelijk van waar de data staat en dan maakt het niet uit of de data opgeslagen is in de EU of niet.

Ik heb reeds een aantal van deze gesprekken gevoerd met Amazon. De data staat in de region van keuze en dit is volledig compliant aan de AVG. Het punt blijft dat amerikaanse medewerkers aan deze data kunnen en verplicht kunnen worden om ze over te dragen aan de amerikaanse overheid als die vraag komt
Bovendien kan Microsoft, als het echt zou willen, zich toegang verschaffen tot zowat elke computer wereldwijd.
Ze moeten daarvoor enkel via het update mechanisme een software pushen die de computer toegankelijk maakt voor hen (en de Amerikaanse overheid).
Recent hebben ze ook een extra mega contract afgesloten met het Amerikaanse leger.
Volgens mij voldoet alleen de Office 365 E5 voor rijksoverheid (extra amendement) strikt genomen aan de AVG.
Hier meer informatie: https://www.rijksoverheid...eb-and-mobile-office-apps
In het kort: "met Office 365 en Onedrive zit je nog steeds goed" --> niet echt. Complexe materie.

Om eerlijk te zijn denk ik dat iedere "CIO" dit eigenlijk wel weet, of zou moeten weten. Maar omdat bijvoorbeeld Office365 zo breed ingezet en gebruikt wordt, wordt er een beetje het argument gebruikt "iedereen doet het, dus we zien wel".
Al staat je data in de EU, als het bedrijf Amerikaans ben je niet 100% AVG compliant.
Ligt eraan hoe je het geconfigureerd heb.
Is heel erg afhankelijk van hoe het is ingesteld EN hoe ver je het KAN instellen.
Veel instellingen zijn enkel maar toe te passen met bijvoorbeeld een E5 licentie.
Dit is bijvoorbeeld nodig om bepaalde Autopilot loggings uit te kunnen zetten die anders wel door Microsoft "om statistische redenen" worden bijgehouden
Is het niet zo dat door een Amerikaanse wet, de Amerikanen ter aller tijde toegang hebben zodra het bedrijf of bovenliggende bedrijven Amerikaans zijn? Geloof dat dat een beetje het grote probleem is.
Vaag stukje.. Als je bijvoorbeeld in Azure iets host kun je gewoon aangeven dat je jouw data binnen de EU wenst te houden toch? En klantdata zoals je zelf upload naar de cloud of klantdata als je eigen bedrijfsgegevens (Bedrijf x heeft 10 VMs etc) of (Bedrijf x heeft deze data van klant y in onze database staan)?
Gaat niet alleen om waar de data staat. De Amerikaanse overheid kan via Microsoft ook bij de gegevens in Europa. Die wetten gaan erg ver namelijk. Volgens mij kunnen ze via elke Amerikaans entiteit / bedrijf gegevens opeisen.

Ik vraag me alleen af hoe Microsoft die garantie heeft kunnen afgeven??

Edit: blijkbaar zijn hun regels al erg vaag en voldoen ze niet aan de AVG, wellicht dat ze daar mee op doelen ipv patriot act regels.

[Reactie gewijzigd door jDuke op 6 april 2021 10:53]

Als ik het me goed herinner heeft Microsoft een overeenkomst afgesloten met een Duits bedrijf voor de hosting van sommige MS diensten. Aangezien dat bedrijf geen dochteronderneming van Microsoft is blijft dat zo buiten bereik van de CLOUD Act.
Dat is helaas al weer over:
nieuws: Microsoft laat geen nieuwe klanten meer toe tot speciale Duitse opsla...

Duitsland werkt nu aan een nieuwe clouddienst:

[Reactie gewijzigd door pk128934 op 6 april 2021 11:16]

Het schijnt nogal wat ingewikkelder in elkaar ze zitten. Het hangt er vanaf welke wetgeving MS wil overtreden. Wat niet van Europa mag is iets wat wel van Amerika moet.
Dat heeft dan alleen betrekking op zaken die uberhaupt publiek zijn. De meeste aanvragen gaan in Amerika via de Fisa, wat geheime rechtbanken zijn met absolute geheimhoudingsplicht vanuit alle betrokken partijen.
Ik ga er vanuit dat dit niet gaat over álle diensten van Google, Microsoft, Amazon etc. maar over sommige van hun diensten waar veel bedrijven maar moeilijk omheen kunnen. Google Analytics is zo'n voorbeeld waar veel bedrijven moeite hebben een alternatief voor te vinden (hoewel Matomo mij zelf wel bevalt, maar ik run dan ook alleen maar kleine bedrijven) maar waar er toch best wat AVG problemen mee zijn.

Het lijkt me dat als jij je eigen VM's draait op bijvoorbeeld AWS en je daar encryptie gebruikt zodat Amazon niet zomaar mee kan kijken dat je dan niet valt onder de voorbeelden waar hier over wordt gesproken.
Hekkenleverancier Hexta werkt met het Amerikaanse cloud bedrijf Brivo. Je toegangs administratie wordt "in the cloud" bijgehouden. Wat dacht je van de ICT kwaliteiten van een bedrijf als Hexta?

En zo zijn er talloze voorbeelden te vinden als je zoekt.
Daar heb ik nog steeds geen sluitend antwoord op gehad: Hoe zit het met Amerikaanse (dochter-) ondernemingen?

Een rede waarom er een streep is gegaan door de Safe Harbor en Privacy shield, is de verrijkende macht van de Amerikaanse overheid waardoor de rechter oordeelde dat het hosten bij Amerikanen niet genoeg privacy biedt voor Europese burgers. Ik zie dat niet anders bij Azure of AWS in Ierland, maar daar heb ik nog geen gerechtelijk oordeel over gezien.
Ik vat het zo samen: Google e.a. zijn Amerikaanse bedrijven. De Amerikaanse wet weegt daarmee zwaarder dan de Europese wet, waar alleen een vestiging is. Patriot Act > GDPR, dus niet GDPR compliant. Dat kan niet samengaan.
De AVG zegt niet zoveel over waar de data staat, dus EU of USA is niet het probleem. Het is meer wat de aanbieder ermee kan doen/welke garanties men geeft. Als MS iedere muisklik doorverkoopt aan een reclameburo is dat het probleem. Als je die clausule uit je contract wilt hebben met MS maak je meer kans als je groot en sterk bent. Als kleine club verlies je die strijd of zegt MS dat je ergens anders naar toe mag (die paar euro misgelopen omzet is de ellende niet waard).
Doet mij denken aan dit eerdere artikel ook, waarin in dit geval Microsoft een andere versie van W10 / O365 ging aanbieden voor de overheid. Over reguliere burgers en Nederlandse bedrijven werd niets gezegd. Daar moet onze overheid ook veel beter in vertegenwoordigen wat mij betreft.

[Reactie gewijzigd door Venator op 6 april 2021 11:06]

Of gewoon stemmen met je voeten en die spullen niet gebruiken. Met een rechts liberale overheid is de kans dat die zoiets voor je regelen nihil.
Kun je inderdaad doen, maar dan kom je snel bij de andere in dit artikel genoemde providers uit.
Dataopslag in EU alleen is niet genoeg, het gaat er zeker om wat er daarna met die data gedaan wordt en hoe dit als keuzen dan wel configuratiemogeljikheden aangeboden wordt aan het bedrijfsleven dan wel de burger. Inmiddels gaat het ook allang niet meer om een enkel product, maar om de integratie die geboden wordt vanuit een hele suite en de daarop volgende gebruikers ervaring waar je de afnemers mee pleziert. Of juist niet, als het onsamenhangende, niet-geintegreerde applicaties betreft.

Met als achtergrond de integratie in security/management systemen, die je dan ook even in ogenschouw moet nemen. Mijn werkgever (multinational) is bijv. geswitched van Google- naar het MS-ecosysteem en dan kom je heel veel integratie-topics tegen die tussen de eco-systemen nogal verschillen.
Die kosten veel tijd en resources om goed te krijgen. Ik denk dat de stap andersom nog lastiger was geweest, omdat MS voor veel zaken juist de integratie commercieel als pluspunt ziet om je binnen hun ecosysteem te houden. Tel daar bij op dat veel bedrijven er met hun processen nauwelijks over nadenken hoe je van cloud switched of een goede multicloud-strategie bouwt.
De spullen niet gebruiken, zoals jij aangeeft, is en wordt dan steeds lastiger. Uiteraard doen wij onszelf dat voor een deel ook aan door a) te stemmen op rechts liberale partijen en b) niet genoeg na te denken over een cloud exit-strategie :)
Kijk eens terug in de geschiedenis: Hoeveel tijd/werk heeft die organisatie er in gestoken om van de eigen omgeving over te schakelen naar de google omgeving? En eventueel nog verder terug: Hoeveel tijd is er gestoken in de overgang van analoog/papier naar digitaal?

De organisaties zoals google en microsoft doen al jaren hun uiterste best om zieltjes te winnen. Eenmaal gewonnen is het binnen houden. En zij weten al jaren dat ze dat veel beter met stroop en honing kunnen doen dan met prikkeldraad. Maar bedenk dat die stroop en honing maar een klein beetje meer beweging toelaten dan prikkeldraad. Uiteindelijk zit je wel zwaar onder de plak.
tja, maar MS levert dan ook gewoon goede producten, en het is dan verre van stroop en honing.. Komt ook nog bij dat alternatieven gewoon heel veel extra geld kosten maar vaak niet beter, zelfs slechter en dan nog geen garantie/zekerheid geven.
Het is waar dat microsoft een aantal goede producten levert. Maar dat wil niet zeggen dat er geen betere zijn.

En met stroop en honing: Tussen zoom, meet en teams is het bij teams het moeilijkste om zonder software te installeren mee te doen. Op mijn (dichtgeschreven) zakelijke laptop kan ik niet eens met microsoft support video vergaderen terwijl zowel zoom als meet wel via de browser werken.
Daarnaast heb ik dus de software wel geïnstalleerd op mijn prive systeem. Nu komt bij iedere herstart de teams software boven drijven met daarin blijkbaar mijn volgende microsoft account waarvan ik helemaal niet weet dat die heb. De zoom en meet software zeurt niet. Ook staat er plotseling weer onenote op mijn systeem, dat heb ik er ondertussen meer dan 20 keer af gegooid.
Ondertussen heb ik deze zelfde ervaring ook als organisator van een video-bijeenkomst. microsoft doet haar uiterste best om je vast te grijpen en in te kapselen.

En waar is de microsoft software beter? Als operating sytseem hebben ze hun best gedaan tussen 1995 en 2015 al is er steeds vreemde software mee gekomen waar ik nu ook niets meer mee kan. Met de tekstverwerker? Na word 2003 zijn er voor mij als tik-geit niet echt veel nieuwe zaken bij gekomen, het is vooral meer van het zelfde. Spreadsheets? Excel is nog steeds niet consistent en ondertussen kan ik met goolge-sheet en libre office wel met reguliere expressies werken. Email? thunderbird (en voorgangers zoals netscape) bieden mij al 25 jaar betere aansluiting dan outlook ooit kan doen. Agenda? okee, daar heb je een punt. Maar verder? welke functionaliteit biedt microsoft voor particulieren nu echt beter dan de alternatieven? Enneh, nee ik bedoel niet dat je iets met msOffice gaat vergelijken, of dat je aansluiting moet hebben bij een ms server gebaseerd platform. Op de zaak hebben we nog wat oudere sharepoint servers staan. Daar kunnen we nu vanaf onze microsoft desktop ook niet meer goed bij.
huh? teams werkt toch ook puur in de browser, ook de videoconference?
Snap nooit zo waarom er in Europa, waar toch meer mensen wonen dan in de VS dat we zo volgzaam zijn. Waar zijn onze tech-reuzen met een Cloud dienst op het niveau van Azure en AWS?? Maken wij het bedrijven te moeilijk met verschillende wetgeving in verschillende landen? Staan wij overnames door Amerikaanse partijen te makkelijk toe?

Wat is het, waar ligt nu feitelijk het probleem?
Omdat wij als EU nog steeds te verdeeld zijn?
Omdat de Amerikanen zich hier nu eenmaal in gespecialiseerd hebben. Zij hebben de kennis, een enorm kenniscentrum (silicon valley), enorm goede universiteit op dit gebied (caltech, e.d.). Net zoals wij in europa ook weer onze specialismen hebben, zoals het ontwerpen van machines, e.d. (vooral de Duitsers en Zwitsers).

Dit is dus meer een voorbeeld van comparative advantage (van Ricardo), waarin elk land doet waar ze - comparatief - goed in zijn.
Ik denk ook dat wij te laat erkend hebben hoe essentieel onderdeel van de infrastructuur en economische basisvoorzieningen dit geworden is.

Het is hoog tijd dat we dit hetzelfde gaan behandelen als telecom/water e.d.
Het balletje ligt nu bij de Autoriteit Persoonsgegevens om een grens te stellen en om deze te verdedigen.

De grote vraag die bij mij nog steeds speelt, wat is de juridische status van Amerikaanse (dochter-) ondernemingen binnen de EU? Eerst was er Safe Harbour, toen Privacy Shield, en nu model-contracten... Maar allemaal zijn dat natuurlijk een doekje tegen het bloeden van privégegevens. Wanneer gaat er ook een streep door de model-contracten en besluiten Europese bedrijven ook daadwerkelijk hun data bij Europese partijen te plaatsen?
Er zijn geen Europese partijen die aanbieden wat de andere niet-Europese partijen aanbieden, punt.
Irrelevant. Je moet je aan de wet houden. Sterker nog, zeggen dat je graag zaken wilt doen met een bepaalde partij, wetende dat je daarmee privacy wetten overtreedt, zou extra zwaar beboet moeten worden.

Economisch gezien, zodra tientallen bedrijven in de EU opeens noodgedwongen lokaal moeten investeren, dan zul je snel zien dat lokale partijen concurrerende producten kunnen gaan leveren. Economisch gezien heeft dit alles ook niets met privacy te maken maar is het simpelweg een verkapte vorm van markt-bescherming.
Ok, dan sluiten we alle universiteiten en hogescholen voor een paar jaar terwijl alles voor omgebouwd. En als in 2025 de studenten weer welkom zijn betalen ze een 10 keer zo hoog collegegeld.
Je bedoeld dat we in 2021 alle scholen moeten sluiten tot 2025, voor een wet die in 2016 al is aangekondigd? Lijkt mij een beetje overdreven... beter dat enkele bestuurders en ministers uit hun post worden ontzet.
Al die bestuurders en ministers uit hun post ontzetten veranderd niets aan het feit dat op dit moment een groot deel van het hoger onderwijs volkomen afhankelijk is van de cloud. Dat terugbouwen naar servers in eigen beheer gaat heel veel tijd en geld kosten. En aangezien de privacy boven alles gaat zullen we gedurende die tijd te scholen moeten sluiten en daarna de collegegelden verhogen.

Of we moeten toegeven dat die wet in de praktijk niet werkbaar is en hem een beetje aanpassen. Maar dat zou betekenen dat politici vrijwillig een fout moeten toegeven en de kans daarop is verwaarloosbaar.
Om als bedrijf te kijken of ik zaken kan doen met een bedrijf ga ik kijken naar welke standaarden die partij volgt. Als dat positief is ben ik er klaar mee. Die certificatie krijg je alleen via de Europese instellingen. Als het voor hun in orde is, hoef ik als bedrijf daar geen verdere vragen bij te stellen, tenzij in zeer specifieke gevallen.

En ben ik dus wettelijk in orde.
Voor Auto's worden ook speciale versies voor de amerikaanse en europese markt gemaakt omdat ze niet aan elkaars regels en richtlijnen voldoen. Dat is vooral een kwestie van handhaven.
Klopt. Maar als een auto dus voldoet aan Amerikaanse en/of Europese standaarden, dan wil dat zeggen dat ie goedgekeurd is door desbetreffende instanties. Eens die sticker erop kleeft, heb ik, als consument, een zekere zekerheid dat het in orde is.
Moet daar toezicht op gehouden worden? Absoluut.
Moet ik dat daarna constant in twijfel trekken? Nee, dat is de taak van toezichthouders die dat dan moeten uitklaren met de vendors. En is dat niet in orde, dan moet er een revoke gebeuren van het certificaat.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True