Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

'AP adviseert onderwijs te stoppen met Google Workspace wegens AVG-zorgen'

De Autoriteit Persoonsgegevens twijfelt of Google Workspace voldoet aan de AVG en adviseert dat scholen en universiteiten daarom moeten stoppen met het gebruik van de online kantoorsuite. Dat meldt althans het FD op basis van vertrouwelijke stukken.

De verwerking van persoonsgegevens door Google voor Workspace zou onrechtmatig kunnen zijn omdat scholen en universiteiten geen zicht hebben hoe, waar en met welk doel de informatie over scholieren en studenten gebruikt wordt. Workspace-diensten als Gmail, Meet, Classroom en Docs voldoen daarom niet aan de AVG. Dat schrijft de Autoriteit Persoonsgegevens volgens het FD in twee vertrouwelijke adviezen.

De ministeries van Justitie en Onderwijs hadden om een advies van de privacy-autoriteit gevraagd. Het ministerie van Justitie is zelf in onderhandeling over de overstap naar Google Workspace. De Autoriteit Persoonsgegevens adviseert dit niet te doen vanwege 'fundamentele vragen die eerst dienen te worden beantwoord'.

Het Rijk meldt de krant dat de ministeries en onderwijsorganisaties in overleg zijn met Google en het bedrijf dringend verzocht hebben 'om de risico's weg te nemen en privacy van leerlingen en studenten te waarborgen'. Google zelf verklaart zich te houden aan de AVG.

Al eerder bleek uit privacyonderzoek naar het gebruik van G Suite Enterprise binnen de overheid dat er privacyrisico's verbonden waren aan de inzet van de Google-diensten.

Update, 17.45: Volgens Google heeft de Autoriteit Persoonsgegevens nog geen conclusie getrokken over de naleving van de AVG door Google, maar 'gewezen op enkele vragen die Google en het Nederlandse ministerie van Justitie samen verder moeten oplossen'.

Update 2, woensdag, 09.00: De adviezen staan online op de site van de Rijksoverheid. In het advies aan het onderwijs staat: "De AP adviseert u (SURF en Sivon, red.), en daarmee de Nederlandse onderwijsinstellingen, op basis van het bovenstaande de inzet van Google G Suite for Education niet aan te vangen dan wel voort te zetten, nu er onduidelijkheden bestaan op een aantal fundamentele vragen die dienen te worden beantwoord." Die onduidelijkheden betreffen onder meer de verwerkingen van persoonsgegevens, de doeleinden waarvoor deze verwerkingen plaatsvinden en de grondslag.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

08-06-2021 • 07:35

155 Linkedin

Submitter: StephanVierkant

Reacties (155)

Wijzig sortering
Het gebruik van Google Classroom & Meet is ook niet helemaal netjes gegaan. Op de school van mijn vriendin moesten ouders/voogden altijd eerst toestemming gegeven voordat er ergens een account aangemaakt kon worden voor hun kind(eren) voor bijv. een speciale variant van Office 365. Bij Google Classroom & Meet werd dit compleet genegeerd en werd het onder het mom van "maar de kinderen blijven hun bestaande Moo account gebruiken en krijgen geen Google account" naar binnen gefietst. Toen ik zei dat er onderwater gewoon een Google account aangemaakt wordt werd ik aangekeken alsof men water zag branden.
Volgens mij maakt het niet uit wat het product is.

Ik heb als MR lid op school deze discussie andersom gevoerd over office 365. De school van mijn kinderen was als vele niet voorbereid op corona, na eerst zoom te hebben gebruikt moesten ze vanuit het bestuur over stappen op teams. Argumentatie was dat Zoom niet veilig was (IMO politieke wassenneus, gaat om hoe je het organiseert), etc.

Vervolgens werden centraal zonder vooraankondiging buiten de school om de mailadressen van de ouders gekoppeld voor de kinderaccounts, dit mocht volgens het bestuur omdat er corona noodzaak was. Voor een dergelijk actie moet je natuurlijk eerst toestemming hebben en een vooraankondiging. Als je een nette implementatie zou doen is dit gewoon een checklijstje.

Het blijft mensenwerk en de wil om het te begrijpen. Privacy gaat verder dan welk kind wel en niet op de foto mag, het is ook digitaal organiseren. Nu wachten ze nog steeds op een correcte teams implementatie

edit: typo

[Reactie gewijzigd door BrennuS op 8 juni 2021 09:08]

Maar als de interne structuur van de software in kwestie niet conform het AVG verhaal is dan maakt de rest natuurlijk niet meer uit. Verder eens, en een goed voorbeeld, hoe ga je er mee om. Zo'n overhaaste actie zoals jij beschrijft lijkt me idd niet slim, blijf dan even op zoom hangen tot je eigen kinder accounts hebt aangemaakt etc..
Helemaal mee eens en als ICT-er ben je je daar misschien meer bewust van en stel je die vragen wel.

Ik mocht nu als MR lid een gesprek gaan voeren met het stichting bestuur omdat dit ook een conflict is tussen leerplicht en AVG en dat je dat niet als breekijzer mag gebruiken voor een versnelde ongecontroleerde uitrol. Dit ging ver boven de pet van de directeur (terecht) en die was vooral bezig met de school draaiende te houden.

Ik hoop dat we na corona al deze versneld ingevoerde middelen nalopen met wat we nu eigenlijk allemaal hebben ingevoerd zonder na te denken over consequenties.
Hebben ze tegenwoordig op basisscholen überhaupt IT personeel rondlopen (dat daar werkt)? Dan ook nog eens IT personeel dat weet hoe Google Workspace of Office 365 werkt (en het kunnen implementeren)?

Ik weet dat al jaren geleden Google Workspace of Office 365 in het voortgezet onderwijs is binnen gefietst, dat is toen ook flink onder de loep genomen en wel goedgekeurd. Wat is er sindsdien veranderd? Regelgeving hier omtrent is al jaren actief en al vele jaren hiervoor bekend dat het geïmplementeerd zou worden. Het kan natuurlijk zo zijn dat Google zich niet aan eerder gemaakte afspraken houd, maar het voelt eerder aan alsof de AP eens lekker een ander advies is gaan geven wat nu lekker woke is...
Tegenwoordig gaan basisscholen vaker wel dan niet op in een samenwerkingsverband of "koepel". Losse scholen zijn waarschijnlijk te klein om een dedicated IT'er, financiële administrateur, etc. in dienst te hebben, maar door deze stafdiensten te centraliseren (en te standaardiseren) kan het vaak prima uit.

In Rotterdam bijvoorbeeld heb je de "RVKO", een koepel van scholen met een katholieke onderwijsvisie... die bestaat uit zo'n 30 scholen, met een centrale directie, MR, college van bestuur en stafdiensten er boven. Dat voelt als een vrij top-zware organisatie, maar in de praktijk loopt het eigenlijk best lekker. Als ouder heb je eigenlijk alleen contact met de directie van jouw eigen school.
Laat RVKO nu net de grote scholengemeenschap zijn waar ze de met het ICT beleid juist compleet de mist in gaan:

Vorig jaar nog MOO (Heutink) draaiend op Google accounts zonder medeweten van ouders. En dan dit jaar op Aerobe, een Google only platform dat zelf geen privacy verklaring op de website heeft staan. RVKO heeft een ICT afdeling en ook een FG. Beiden zijn niet kritisch en volgen de kudde. Sivon heeft in de laatste aanbesteding van hardware de Chromebooks nog altijd een prominente plek gegeven. Hardnekkig die lobby...

RVKO had met de mogelijkheden die ze heeft als grote club zelf een onderzoek naar Google kunnen starten en tot de conclusie moeten komen dat de vermoedens die al jaren rondgaan ook echt kloppen.

Zelfs na 1 maart (publicatie DPIA resultaten van overheid) nul komma nul communicatie richting ouders over deze dagelijkse privacy schendingen bij hun kinderen als zij op de Chromebooks "aan het werk zijn".

Goed voorbeeld dus van een grote club die, tegen de verwachting in, juist geen ICT kennis van zaken heeft.
Heutink ‘zegt’ meer dan de helft van de Nederlandse basisscholen te bedienen. Ze hebben dus een behoorlijk stuk taart. Ze nemen daarbij vaak de gehele IT over met aan de voorkant MOO.

Aan de achterkant is het allemaal Office 365 of Google (wat de school wil).
Volgens mij stappen steeds meer (hogere) scholen af van dit systeem vanwege kosten. MS en Google bieden immers veelal de gehele oplossing die er achter draait.

Onderwijs instellingen krijgen zowel Office 365 als Google Workspace vrijwel gratis beschikbaar.

De AP heeft zich hier nog nooit in verdiept maar doet dit dus nu wel. Maar het is best een wassen neus, beide diensten verzamelen heel veel data. Vrijwel alle cloud diensten doen dat. Zo zou je Office 365 moeten gebruiken zonder cloudservices om ‘veilig’ te werken maar daar schaf je natuurlijk Office 365 niet voor aan.
Hoe men een account op een externe dienst naar binnen fietst is een andere discussie.

Google zegt zich wel aan de AVG te houden, maar de AP heeft daar een aantal vragen bij. Dat een organisatie geen (100%) inzicht heeft is logisch zodra men een deel van de ICT aan een derde partij overlaat. Of dat nu een Amerikaans bedrijf of een bedrijf in de straat is maakt niet eens zoveel uit. Ook bij systemen als Magister zijn er wel vragen te stellen.

Als de AP zijn werk goed wil doen moet men een onderzoek starten en concrete vragen aan Google te stellen. Zeker voor onderwijs instanties is Google een goedkope en gemakkelijke oplossing. Het is waarschijnlijk veel gemakkelijker om er samen met Google voor te zorgen dat de onduidelijkheden worden opgelost en problemen worden aangepast. Als Google niet aan de AVG voldoet heeft de AP de mogelijkheid om boetes uit te delen.

In het geval van een Google account maakt het wel uit hoe je dat gebruikt. Als je het school account ook voor je Android telefoon als primair account gebruikt wordt je ook privé gevolgd. Daar zou men wel voorlichting over moeten geven.
In het geval van een Google account maakt het wel uit hoe je dat gebruikt. Als je het school account ook voor je Android telefoon als primair account gebruikt wordt je ook privé gevolgd. Daar zou men wel voorlichting over moeten geven.
Is dat zo?
Je kan het school of werk account gewoon gebruiken om je Android telefoon mee te activeren. Op dat moment wordt het account ook gelijk als een willekeurig ander account gezien.
Je werk of school accounts ook privé gebruiken is sowieso niet slim, maar met een Google account zeker niet. Als je een telefoon van de zaak hebt, kan je die ook beter met een apart (eigen) account activeren.

Met school en zakelijke accounts doet Google veel minder. De geschiedenis van al jouw zoekopdrachten enz. wordt ook korter bewaard. Voor zakelijke accounts is dat maar drie maanden, voor privé accounts is dat sinds 2019 nog standaard drie jaar, maar dat kan je wel beperken tot 18 maanden.
@WillySis
hoe weet je zeker dat Google het devicetype (Android telefoon) leidend laat zijn t.o.v. van het gebruikte type account (zakelijk/school vs privé). Staat dat ergens?
Android is van Google en je hebt een Google account nodig om een Android telefoon te kunnen gebruiken. Daar kan je je school/werk account voor gebruiken.
Google verzameld via Android best heel wat gegevens. Daarbij maakt Google geen onderscheid in het type account. Op andere devices kan Google alleen via de browser (zoekfunctie en tracking-cookies) gegevens verzamelen.
Wie met zijn school/werk account zijn geschiedenis van zoekopdrachten enz. gaat bekijken zal zien dat de geschiedenis niet verder terug gaat dan drie maanden. Gegevens van een particulier account worden veel langer bewaard. Alles wat via het Android besturingssysteem wordt verzameld wordt altijd langer bewaard.

Zoals veel dingen van Google staat dit nergens en mag je dat lekker zelf gaan ontdekken. De bewaar periodes kunnen ook zomaar aangepast worden. Dit soort onduidelijkheden zijn ook mede de rede dat de AP zo zijn bedenkingen bij Google Works heeft.
Ik denk daarom dat het belangrijk is dat er vanuit de overheid een informatriecampagne komt naar scholen om hen te wijzen op hoe belangrijk het is om ook bij online diensten rekening te houden met de AVG. Vele mensen staan nog altijd niet stil bij wat een bedrijf als Google allemaal met je data doet en waarom of hoe diensten elkaars accounts ondersteunen en wat dat inhoudt.
Misschien moet de overheid in deze tijden en een ongelijkheid in AVG regels over de hele wereld geld pompen in een beter systeem.
Nee, de overheid moet meer geld 'pompen' in betere handhaving. Qua wetgeving zit het best goed met de
AVG / GDPR (verbeterpunten daargelaten). Het is toch wel 's werelds belangrijkste wet wat dit betreft. Iedere ontwikkelaar die data verwerkt van Europeanen moet z'n product / dienst erop aanpassen.
Zolang ze vertrouwen op systemen gemaakt door bedrijven (en vooral Amerikaanse) maakt het niet uit hoeveel wetgeving je maakt, ze zullen toch altijd proberen zo minimaal mogelijk te moeten buigen hiervoor. Op zoek naar de randjes en hoe je er overheen kunt gaan zonder in de problemen te komen. Want privacy schenden levert helaas geld op in deze wereld, en geld is hun enige drijfveer (moraliteit kennen ze daar niet, vooral niet op de marketing afdeling). Daarom is die AVG maar een druppel op een gloeiende plaat en moet je het onderliggende probleem aanpakken: dat we massaal afhankelijk zijn geworden en worden gemaakt van Amerikaanse multinationals. Dus wat meer investeren in privacy-vriendelijke Europese alternatieven ben ik ook een voorstander van.
De AP staat te popelen om je wens in vervulling te laten gaan. Ze willen graag verdubbelen in het aantal werknemers.
Daar de AVG / GDPR een vooral een Europese wet is, lijkt het mij ook goed om een Europese AP of een goede samenwerking tussen de verschillende landelijke AP's op te zetten. Daar nee kan men veel beter een vuist maken naar de Amerikaanse en Chinese tech-giganten.
Er is nu al de overkoepelende European Data Protection Board (EDPB) waar alle nationale toezichthouders in samenwerken. Daar binnen wordt nu voor zover ik weet ook al flink gecoördineerd.

Ik denk dat we op termijn meer gaan zien dan alleen een koepelorganisatie voor nationale toezichthouders en dat sommige zaken overgeheveld gaan worden naar een gezamenlijke toezichthouder voor de grote zaken.

Op dit moment is het zo dat de Ierse toezichthouder, de Data Protection Commission, met maar 150 personeelsleden in feite namens de hele EU de toezichthouder is voor onder andere Facebook, Google, Twitter en TikTok omdat al die bedrijven hun Europese hoofdkwartier daar hebben. Dat zet ontzettend veel druk op zo’n kleine toezichthouder. Bovendien brengt het ook het theoretische risico mee dat Ierland, wat economisch belang heeft bij de vestiging van al die techreuzen in het land, last heeft van belangenverstrengeling. Wie weet oefent de Ierse regering af en toe wel eens druk uit op de DPC om die bedrijven niet al te veel voor het hoofd te stoten. Luxemburg heeft hetzelfde probleem, piepklein land maar hun toezichthouder is wel de ‘lead investigator’ voor Amazon.

Het Europees Parlement ziet dit allemaal met lede ogen aan en hebben al een motie aangenomen die de Europese Commissie aandringt om een procedure te starten tegen de Ierse DPC omdat ze veel te slap en langzaam zouden optreden tegen Facebook.

Het is dus ook geen toeval dat er vanuit verschillende kanten (en niet de minste!) stemmen op gaan om een centrale toezichthouder te maken die dit soort grotere zaken oppakt.

[Reactie gewijzigd door Maurits van Baerle op 8 juni 2021 10:58]

De EDPB functioneert helaas niet zoals bedoeld. De toestand tussen de Ierse DPC en Facebook is daar een mooi voorbeeld van. Door de huidige regels kan de EDPB het onderzoek niet overnemen of gaan coördineren. De Ierse DPC heeft doordat veel bedrijven hun Europese hoofdkantoor in Ierland hebben gegevens buitengewoon veel werk en heeft ook nog eens te maken met tech-giganten met enorme budgetten. Ook een klein landje als Luxemburg zou het niet op moeten nemen tegen een wereldgigant als Amazon.

De EDPB zou eigenlijk de onderzoeken tegen grote internationale bedrijven en zaken op heel Europa betrekking hebben naar zich toe moeten trekken. Of ze dat nu zelf uit gaan voeren of (internationale) teams uit de verschillende landen kunnen samenstellen die maakt niet uit.
Ben het er mee eens dat er meer (iig, naar het publiek toe) samengewerkt mag worden.

De EDPB is geen toezichthouder en moet dus geen onderzoek willen doen. EDPB is meer een beleidsmaker. Zie ook de taken zoals beschreven in 70 AVG. Dan zou ik eerder een Unie toezichthouder aanwijzen separaat van EDPB.

Wat ik mij afvraag, aangezien ik daarover niks lees in het nieuws, is in hoeverre er wordt samengewerkt tussen de toezichthouders. Als ik de artikelen 60, 61 en 62 AVG lees is dat namelijk wel mogelijk. Ik vind de artikelen niet optimaal ogen voor een lastenverdeling, maar ik zie wel mogelijkheden. Ik ben ook benieuwd tot in hoeverre gebruikt wordt van dergelijke samenwerkingsmechanieken.
Ik weet dat Luxemburg wel met andere landen samen werkt in het onderzoek naar Amazon. Ierland moet het onderzoek tegen Facebook alleen doen. De AP in Nederland werkt maar heel sporadisch samen met andere landen.
Samenwerkingen zijn wel mogelijk, maar het ontbreekt aan een goede structuur en een financiële regeling. De nationale instanties zien internationale samenwerkingen daardoor als het inleveren van personeel. De eigen onderzoeken raken daardoor nog verder achter. Ondertussen gebeuren er onderzoeken dubbel, of worden er boetes opgelegd voor "overtredingen" die men in andere landen helemaal niet als overtreding ziet.

Gelukkig wordt er wel steeds harder geroepen dat de aanpak van de tech-giganten door nationale instanties niet werkt en dat dat eigenlijk Europees aangepakt moet worden. Dan heb je ook niet meer te maken met verschillende interpretaties van de AVG en zaken als "machtsmisbruik". Omdat je dan namens veel meer gebruikers optreed kunnen er ook veel hogere boetes opgelegd worden.

Het opzetten van een gestructureerde samenwerking kost wel wat geld, maar dat hoeft niet eens zo veel extra te kosten. Als alle nationale instellingen gewoon verplicht worden om 10% van de capaciteit (FTE) aan internationale samenwerkingen te besteden, dan zijn er niet eens veel extra kosten. Met de Corona-pandemie heeft men al veel ervaring opgedaan met het samenwerken vanuit vele (thuis)locaties. Daaruit blijkt dat een gezamenlijk kantoor niet eens nodig is.
Nee, de volgorde is niet regels/wetten bedenken dan handhaving opschalen en dan inzien dat het niet haalbaar is.
Geef scholen dan ook de kans (en de middelen) om het beter te regelen.
Dit geldt voor de meeste nieuw bedachte regels & wetten.
Hoeft amper, betere systemen qua GDPR zijn er maar ze willen er niet aan want wat de boer niet kent dat eet 'ie niet...
Vele mensen staan nog altijd niet stil bij wat een bedrijf als Google allemaal met je data doet
Google doet niet zoveel met je data als je een zakelijk contract hebt. Gezien de onderwijs licenties onder een ander programma vallen dan de zakelijke contracten of de algemene gratis accounts, zal daar ook veel meer rekening worden gehouden met leerlingen informatie. Jaren geleden in de non-profit contracten gedoken en dat was hele andere koek ivm. waar je akkoord mee gaat met de gratis meuk. De aanname dat Google (of wie dan ook) op dezelfde manier omgaat met je data ongeacht hoe dat contractueel is geregeld... Check eerst hoe dat contractueel is vastgelegd voordat je dit roept.

Het kan natuurlijk altijd dat wat contractueel is vastgelegd niet wordt nagekomen, maar dat kan met elk bedrijf/werknemer.
Is dat zo? Waarom heeft de overheid het gebruik van Google Workspace dan afgeblazen na publicatie van de DPIA resultaten?

Ook bij zakelijke contracten wordt alle metadata die gebruikers in Workspace generen door Google als Google's eigen data gezien, waarmee Google doet wat ze wil.

Hou het wel bij de feiten s.v.p.
Chrome (OS) wordt op dezelfde stapel issues gegooit als Workspace zelf, terwijl dit imho aparte producten zijn. Chrome (OS) gebruiken met O365 zou dezelfde issues hebben (als ik het zo lees).

Bij verschillende van die items vraag ik me erg af of dezelfde persoon die dit rapport heeft geschreven wel dezelfde persoon is die het rapport over O365 heeft geschreven. Want als ik naar de O365 Enterprise versie kijk, zie ik verschillende van die punten ook gewoon niet fatsoenlijk terug.

Wat ik trouwens bijzonder vind is dat er een Office 365 for government is, specifiek voor de overheid. Er is ook een Google Workspace for government, waarom is de Enterprise versie dan beoordeelt?

Daarnaast zie ik verschillende punten die oa. Google niet correct doen, voor al hun klanten. Zoals die cookie ongein, dat is al jaren 'verplicht', we hebben al jaren een AP, er is nog steeds niet iets structureels aan gedaan! Dit had allang gefixed moeten zijn.

Daarnaast verwijst het eerdere onderzoek naar MS alleen naar MS Office (ProPlus), Windows 10 Enterprise en blijkblaar niet naar Office 365 (of IE/Edge) zelf:
SLM Microsoft heeft een Data Protection Impact Assessment (DPIA) laten uitvoeren op diagnostische dataverzamelingen (dat is data over het gebruik van de software) in nieuwe versies van Microsoft Office.
En vergeet ook niet dat daar ook 8 punten naar voren kwamen die MS mogelijk heeft opgelost:
https://zoek.officielebekendmakingen.nl/kst-26643-622.html

Imho wordt er hier met twee maatstaven gemeten, namelijk MS Office (ProPlus) en Google Workspace for Enterprise. Zoals eerder in deze discussies aangegeven, zet ik zware vraagtekens bij de onafhankelijkheid van die onderzoeken.
Verschilt dat bij Google? Ik nam aan dat non-profit vergelijkbaar is met het instapabonnement (in ieder geval met de non-Enterprise bundels), maar ik heb ze niet allemaal vergeleken.
Wat was jouw conclusie over Google for non-profits? Wij gebruiken dat voor onze (kleine) vereniging.
Enno van der Velde
Hou er rekening mee dat dit ~13 jaar geleden is geweest. Dat was toen prima, zelfs nog iemand van legal naar laten kijken. Maar vergeet niet dat de wet/regelgeving sinds die tijd flink is veranderd en dat Google natuurlijk ook niet meer dezelfde voorwaarden heeft als toen.

Sinds die tijd verschillende keren met verschillende leveranciers het GDPR 'geneuzel' gehad en de conclusie lijkt bijna te zijn dat het resultaat afhangt van het gewilde resultaat...

Persoonlijk zou ik echter, als het even kan, geen Google Workplace meer uitrollen. Niet eens om het privacy 'issue', maar puur om functionaliteit. Zowel aan de frontend als de backend. Vroeger was de kracht van Google de email webinterface, die is zowaar achteruitgegaan en de O365 email interface is van vreselijk slecht naar werkbaar gegaan. De mailflow in O365 is prima in te zien als beheerder, bij Google eigenlijk niet (of niet compleet), als je vervolgens support nodig hebt is dat een hele slechte ervaring (onkunde). De support van MS is ook niet altijd zaligmakend, want daar mag je door verschillende niveau's heen en elke keer weer helemaal het issue uitleggen (ook al staat het heel duidelijk uitgeschreven in de ticket). Imho kan je als beheerder veel meer zelf fixen in O365 en hoeft dus veel minder snel naar support te grijpen dan bij Google waar je als beheerder gewoon heel veel tooling mist. Dat is een punt wat door veel beslissers over het hoofd wordt gezien en komt pas naar voren als je beide heel lang gebruikt.
Ik weet wel iets van security en tracking maar het is gewoon niet te volgen hoe je gevolgd wordt.

En ja de juffen in de klas gebruiken zonder blikken of blozen ook youtube filmpjes in de klas, met reclames en al. Gelukkig hebben we al twee scholen zover dat ze daarvoor in ieder geval met ad-blockers gaan draaien.

Dus ja basic training is nodig, maar ik denk dat de overheid het hier goed doet.
Als er teveel risico's aanzitten gewoon verbieden het te gebruiken.
Waarom zou dit vanuit de overheid moeten? Wat verhinder jou om bij je school een presentatie te geven over IT security/weerbaar maken van kinderen? Dacht je, dat als je een presentatie geeft naar de kinderen dat de leraren niet mee luisteren? Je zou bijvoorbeeld zelf ook een youtube filmpje kunnen maken als je niet durft voor een klas te staan ( ja ik weet dat hypocriet is om een filmpje op youtube te plaatsen om te klagen over het AVG beleid van google ). Je zou kinderen die presentatie willen geven over IT securtiy kunnen helpen met hun presentatie.

Echte langdurige veranderingen komen van onderlagen en worden niet vanuit boven opgelegd. Het kost meer tijd, maar het is iets, wat jij nu kan doen en zal een beter gevoel dat je iets hieraan hebt gedaan, ipv reaguurder spelen hier op tweakers. En de kinderen zullen hiervoor dankbaar zijn.
Ja handige jongens van heutink. En dan hebben we het nog niet eens over het wachtwoord beleid.

[Reactie gewijzigd door Skywalker27 op 8 juni 2021 08:39]

Er is daar veel meer mis dan die wachtwoord ellende.
Na een paar keer bellen heb ik het opgegeven en mijn pi-hole/firewall aangepast.
Daarna belde ik om de haverklap de school omdat het kind account is gedeactiveerd door Heutink.
Vast omdat ze "data" missen.

Heb zoon een website gegeven om via unicode de tekst op de kop te typen.
Toen terroriseerde hij Google classroom en heeft de juf de chat uitgeschakeld 😂

(Volgende AP nieuwsbericht over klassefoto's?)

[Reactie gewijzigd door DJMaze op 8 juni 2021 09:25]

Ja maar onder tussen schermen met de formuliertjes voor toestemming om foto's op het www te zetten. Maar ondertussen wordt de ziel van je kind verkocht zodat de school goedkoper uit is. Beetje kort door de bocht misschien maar zo werkt het wel. Die van mij werken op school gewoon met hun eigen O365 account.

[Reactie gewijzigd door Skywalker27 op 8 juni 2021 09:31]

Dit is de grootste leugen die de Techbedrijven als Facebook en Google ons proberen in te lepelen. Dat je zelf je privacy kunt beheren door een foto wel of niet te uploaden.

De echte privacyschending gaat niet om wat je deelt (dat doe je immers sowieso al bewust), maar wat er onder water, ondoorzichtig voor de gebruiker, aan (meta)data wordt geprofileerd. En dat gaat lustig door, óók als je je facebookpagina op "privé" zet. Zelfs als je helemaal geen diensten van Google of Facebook gebruikt val je hieraan ten prooi.
YUP we zijn straks allemaal FUBAR of juist niet ;), en als je het probeert uit te leggen denkt iedereen dat je wappie bent.

[Reactie gewijzigd door Skywalker27 op 8 juni 2021 10:40]

Als je bij Google of Microsoft aangeeft dat het accounts voor educatie is krijg je korting en worden de analytics uitgezet behalve om de dienst te monitoren op errors. Hetzelfde als je een fatsoenlijk enterprise contract neemt. Daarbij beide zijn redelijk ontvankelijk voor verbeteringen, maar vele komen aan met hun gratis Microsoft of Google account en gaan dan klagen dat ze met hun privacy moeten betalen.
I weet het zelfs een paar euro per kind is al te veel. Kan je nagaan wat de prijzen zijn als fam abo voor 6 accounts maar 10 euro in de maand kost.
Voor schoolkinderen is het meestal gratis, bij beide. Net zoals bij elke dealer de eerste keer gratis is.
Klopt ze willen dat iedereen gewend raakt aan office ;)
Als of microsoft met binnen fietsen van bing overal en edge default forceren, na updates etc niet exact hetzelfde doet, om profielen op te kunnen stellen en data te verkopen...
Nee dat doen ze niet zoals Google het doet je betaald voor een dienst en je hebt een overeenkomst ze mogen de data alleen voor het beheer van de service gebruiken ze gaan dus niet al je documenten scannen om je reclames te laten zien. We scannen ze plaatjes op bepaalde signatures om bepaalde type mensen te pakken.
Heb zoon een website gegeven om via unicode de tekst op de kop te typen.
Mooi man
Samen met ParnasSys zeker een onderzoekje van de AP waard....
Ligt eens toe, ben wel benieuwd. Ik heb me altijd verbaasd over de gebrekkige 2FA bij Parnassys bijv, zeer ondermaats; gebruikers kunnen het zelf weer uitzetten en als organisatie kun je het niet verplicht aanzetten. Gelukkig is er bijv. een Azure login mogelijkheid waardoor je toch prima 2FA er op kunt zetten. Verder vind ik de (beperking van) toegang van users tot leerlingdata niet top geregeld. Een user aan 1 kind koppelen kan bijv niet. Ik vind ze ook traag met innovatie. Een LVS is een gigantische bak persoonsoonsgegevens met BSN's en zorg informatie. Ik zou daar wat meer urgentie willen voelen.

[Reactie gewijzigd door maratropa op 8 juni 2021 09:56]

Voeg aerobe daaraan toe. Die aanbieder spoort nóg minder.

Ik vraag mij oprecht af hoeveel tijd de sector zichzelf nog gunt voordat het definitief met Google en de andere van de big five stopt en vol gaat voor een "eigen" platform/systeem.

Sivon quote Google en ondersteunt daarmee impliciet dat het erop vertrouwt dat Google zich aan de regels gaat houden. Google doet immers altijd wat het zegt. De zelfreflectie en het zelfbewustzijn worden nog even uitgesteld.

https://www.sivon.nl/actu...olen-kent-teveel-risicos/

[Reactie gewijzigd door Drupp op 8 juni 2021 10:02]

Het gebruik van bijvoorbeeld Libreoffice, en andere opensource pakketten zo al kunnen helpen om het verzamelen te verminderen.
Dan moet er wel een wil zijn om dit op te pakken.
Het zou me niet verbazen als ze het gewoon daadwerkelijk niet begrijpen.
Dat was bij de school van die van ons ook zeker het geval. We hadden een situatie waar een formulier ingevuld moest worden, maar uiteindelijk hebben ze het fysiek gedaan omdat zelfs de systeembeheerder niet wist hoe ze dat binnen Gsuite moesten doen. Daarna tijdens de lockdown Classroom moeten gebruiken en dat werd een soort van Facebook voor de juffen waar alles in één lijst stond, ondanks dat Classroom best wel wat functionaliteit heeft om dingen beter op te splitsen.

Het gebrek aan IT-kennis in het onderwijs is soms gewoon echt te gek voor woorden
Qua gebrek aan IT-kennis is het onderwijs een afspiegeling van de samenleving. Ik kom zelfs in de IT wereld mensen tegen die niet doorhebben dat hun google account continu gebruiken omdat ze een Android telefoon gebruiken.
Ja maar kinderen tegenwoordig zijn zo goed met computers, ze zitten de hele dag op facebook!

/s

Het is inderdaad een beetje belachelijk hoeveel onderliggende basiskennis mist. Ik merk ook bijvoorbeeld in development steeds meer dat er mensen zijn die wel één programmeertaal kennen, maar eigenlijk heel weinig snappen van programmeren, omdat die onderliggende kennis steeds minder benadrukt wordt.
Ik denk ook wel dat het een groter probleem is dat alleen maar erger gaat worden. Maar juist binnen onderwijs vind ik het erg kwalijk, want het zijn wel kinderen die nu vaak in een onveilige omgeving gegevens delen.
Denk je nu echt dat mensen zich daar niet bewust van zijn?

Zolang bedrijven hun medewerkers Android telefoons geven of laten uitzoeken dan houd je dit. Bedenk ook dat veel bedrijven helemaal niet gecharmeerd zijn van Apple toestellen omdat ze duur zijn.

En er is natuurlijk een verschil tussen bedrijfsspionage en je youtube geschiedenis.

IT bedrijven die gebruik maken van Google diensten weten vaak dondersgoed wat ze aan het doen zijn. Hun intellectuele bezit is hun kapitaal en ze laten niet toe dat Google met alles meeleest.
Het onderwijs is niet gebonden om te voldoen aan iso normeringen. Zou wel goed zijn, zonder zulke verplichtingen blijft het altijd vaag wat je aan beleid en volwassenheidsniveau op het gebied van informatiemanagement kunt verwachten. De verwachting mag hoog zijn, juist vanwege de verzamelingen bijzondere persoonsgegevens die er in het onderwijs rondgaan. Dat de leerkracht hier allemaal niet van op de hoogte is, komt doordat de kaders ontbreken. De leerkracht krijgt geen tijd en wordt niet gestuurd om zich met privacy en behoorlijk informatiebeheer bezig te houden. De leerkracht heeft zijn handen vol aan lesgeven, administreren en vergaderen over lestaken.
Tja, maar dat heeft niets te maken met Google (of Office 365). MOO is de authenticatie provider en logt met SSO in op de achterliggende diensten. Uiteraard moeten de ouders geïnformeerd worden maar dat is aan MOO / de school. Daar heet Google (of Microsoft) niets mee van doen.
Hoe zit dit dan met klein en MKB bedrijven? Zeker in Nederland met de ZZP cultuur welke relatief groot geworden is zullen er bedrijfjes gebruik maken van een G-Suite en/of de online omgevingen, heb ik het nog niet over de drive functies.

Is dit advies wel echt alleen voor scholen te interpreteren....

edit:
@reactie
Kleine bedrijfsjes slaan al snel voor/achternaam+bedrijfsnaam+mailadres+telefoonnummer op. Soms ook rekeningnummer/kvk etc.
Dat zou allicht issues op kunnen leveren

[Reactie gewijzigd door Suicyder op 8 juni 2021 09:29]

Al die persoonsgegevens moet ook een klein bedrijf conform de AVG verwerken en bewaren. Het zomaar op een of andere Amerikaanse cloud zetten voldoet daar waarschijnlijk niet aan. Dat is trouwens al een tijdje zo. ;)
Dat klopt, maar meeste (kleine) bedrijven weten dat niet goed en denken "Dat staat toch ergens in Europa?".
Uit dit artikel kunnen ook zij dus meer informatie halen. Ergens in het topic staat ook een link dat MS bezig is alle EU data in de EU op te slaan, die werken er dus kennelijk aan (allicht onder druk i.v.m. kosten).

Uiteindelijk wordt er aan dit artikel meer aandacht besteed, wellicht ook op andere sites, mede omdat het over informatie van kinderen gaat. Dit mag ook het nodige aan aandacht brengen voor andere organisaties, graag zelf.
Hangt er vanaf hoeveel persoonlijke informatie je van je klanten opslaat.
Geef je je klanten een cijfer voor hun Nederlands/Wiskunde, medische gegevens, foto?
Als je gewoon betaalt voor de omgevingen is jouw data gewoon jouw data. Er is dus helemaal geen problemen voor bedrijven, ZZP-ers of andere zakelijke gebruikers.

Het probleem hier is dat Google simpelweg geen antwoord geeft op een aantal zaken:
De Autoriteit Persoonsgegevens adviseert dit niet te doen vanwege 'fundamentele vragen die eerst dienen te worden beantwoord'.

Je moet je voorstellen dat deze cloud omgevingen zeer groot en complex zijn. Je kunt niet zomaar alles simpelweg overhandigen aan de AP. Die eist namelijk geen stapels papier maar uitgewerkte stukken. Dat heb je niet zo liggen.

Dat gezegd te hebben, cloud is inherent incompatible met overheid (en daarmee mogelijk semi-overheid). Het is echter het enige wat nog ontwikkeld wordt door de 'grote' jongens. De overheid zit dus nu in een spagaat waarbij ze adviseren niet over te gaan maar ondertussen kunnen ze helemaal niet anders en zijn ze zelfs al halverwege of volledig over (naar bijvoorbeeld Microsoft). Het is weer zo'n typisch overheid ding.
Workspace is gewoon troep.

https://www.rijksoverheid...kspace-dpia-for-dutch-dpa
With regard to the Google Account, Google explained that there is no distinction
between the consumer Google Account and the G Suite Enterprise Google Account.
Google noted that although end users have to accept the (consumer) Privacy Policy
when creating a Google Account for their use of G Suite Enterprise
, when they access the Core Services in the G Suite Enterprise environment, Google processes the
account data as processor...

Features are automatically available for all G Suite Enterprise end users, and cannot
be disabled by administrators. Google explains that the Spellchecker is included in
Google Docs, and is based on machine learning. 32 Admins cannot prevent Google
from reusing the contents of spellchecked words and sentences for this purpose of
machine learning...

~170 pagina's etc..
Voor Microsoft net zulke rapporten, waarbij vrij vertaald MS voor de Enterprise/GOV noodgedwongen zaken aan het bij sturen is, maar de non-enterprise gewoon door de stront mag zakken.

[Reactie gewijzigd door URKb8DvHFz op 8 juni 2021 08:21]

Kan best zijn, maar de online 'office' tools van google werken 10x beter dan die zwaar beperkte MS online 'office' troep, simpele dingen die met offline office van MS gewoon kunnen, kunnen niet met de webbased versie, zwaar irritant.
Zoals?
De laatste tijd is office online van MS toch enorm verbeterd, zeker met het wegvallen van ie support. Ik doe veel van mijn office werk tegenwoordig online.
Het is heel moeilijk te vergelijken maar een echt fijne werkervaring geeft Office online helaas nog steeds niet. Enkel alleen al op niveau van snelheid en eenvoud is het echter al groot verschil. Je kunt het simpel zelf testen door een Google docs document te openen samen met office online document.

Als ik een normaal document pak (600KB) en ik open deze tegelijkertijd dan is Google docs 2x zo snel (5 seconden teggen 10 seconden). Dan heb ik het nog niet eens over navigeren in Sharepoint vs Google drive.
Iets simpels als textboxen en dan lijntjes er tussen zetten die wel automatisch meelopen (zowel in Word en in Powerpoint). Online versie van OneNote is zwaar beperkt, bijna zo erg dat het gewoon onbruikbaar is als je er normaal mee wilt werken.
De Vlaamse overheid publiceerde recent ook enkele adviezen die hier redelijk goed op aansluiten.

https://overheid.vlaander...gisprong-in-het-onderwijs
Dat komt omdat ze beide hetzelfde bron onderzoek gebruiken:
https://www.privacycompan...-over-hoge-privacyrisicos

Verder vind ik het een waardeloos advies. Er is geen geld en men moet maar 'van de beschikbare alternatieven die te kiezen die de meeste mogelijkheden bieden om effectieve privacyinstellingen af te stellen, en de nodige maatregelen te treffen om die dan ook effectief juist en voldoende privacygericht in te stellen'.

Welke alternatieven zijn dat dan? En wie gaat die dingen betalen? Wat een onzinnig papieren advies.
Het onderwijs is al volledig uitgekleed waarbij zelfs de onderwijzers onbetaald overuren moeten maken.
Hopelijk wil de overheid nu serieus aan de slag met het regelen van Nextcloud voor het onderwijs. Samenwerken en vergaderen kan tegenwoordig prima zonder Amerikaanse cloudboeren.
Overal waar ik kom zie ik restanten van Nextcloud implementaties (vooral gemeenten, zeker 3x). Geen idee waarom maar al die projecten zijn helaas volledig gefaald. Zelf geen ervaring met Nextcloud maar ik kan mij voorstellen dat het niet zomaar voldoet.
Eigenlijk best jammer. Ik denk dat het ook stiekem best veel expertise vergt om het goed en updatebaar te implementeren. Dat is natuurlijk ook de reden om het te outsourcen, zoals we eigenlijk met Microsoft 365 en Google Workspaces ook al doen.
Hoeft toch niet perse de overheid te zijn? Lijkt me al prima als Nederlandse onderwijsleveranciers dit kunnen aanbieden als alternatief?
Het fijne aan Nextcloud is dat het op meerdere manieren uit te rollen is. Ik ben het zelf momenteel op kleine schaal voor een project op een k3s-cluster uit aan het rollen, waarbij ik helaas niet genoeg resources heb om persistent storage met Longhorn te doen, maar het is maar om een beeld te geven. Het is goed op een Kubernetes-cluster uit te rollen en inderdaad ook nog bij een partner in te kopen met support. Het lijkt mij op zich geen gek idee om dit in de cloud van het rijk te doen, omdat je dan eindelijk de afhankelijkheid van een derde partij en de daarbij eventueel komende privacyproblemen kunt voorkomen.
En Microsoft dan met al zijn online en offline diensten? Is die dan beter op AVG gebied?
Ja, zolang je de on-prem applicaties gebruikt mét de juist (via gpo) instellingen. Niet de Word online, Word mobole enz!

Let wel, bijna alles is contractueel afgesproken. MS krijgt de data deels nog wel, maar 'belooft' het niet te gebruiken.
Maar dat is toch net wat je wenst, een gebruiksovereenkomst waarin exact wordt bepaald wat MS wel en niet met de data kan en mag doen. En op enterprise niveau kan MS ze meestal ook niet gewoon eenzijdig aanpassen zoals ze wel kunnen bij consumenten. Het is dus geen belofte, het is een bindende afspraak.

Dit in tegenstelling tot Google waarbij je Enterprise account onder dezelfde voorwaarden valt als je consumentenaccount en je als admin geen enkele controle hebt over functionaliteit.
En dan word onder de Partiot Act alle data 'netjes' naar de VS gestuurd, zonder dat ze daar iets over 'mogen' zeggen. Om nog maar te zwijgen over FISA procedures...

Dit soort 'cloud diensten' zouden gewoon verboden moeten worden voor inzet bij dit soort publieke instellingen. Gewoon een eigen 'cloud' optuigen op eigen grondgebied, zonder dat de achterliggende organisatie banden heeft met het buitenland.
Dat zegt niets. Het gaat erom dat het bedrijf zelf nog steeds banden heeft met de VS. Waar de data staat is totaal irrelevant voor die wetgeving.

Om die reden heeft bijvoorbeeld OVH ook een compleet losstaande entiteit voor Amerika opgericht, die op geen enkele manier gelinkt is aan de Europese. Andere raad van bestuur, directie, etc. Alleen op die manier ontkomen ze aan de grillen van de wet.

[Reactie gewijzigd door Joseph op 8 juni 2021 08:26]

De CLOUD Act is in strijd met AVG.
artikel 48 AVG:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Een bevel onder de CLOUD Act voldoet niet aan de eisen van dit artikel. De Europese dochter moet dit dus naast zich neerleggen, op straffe van hoge boetes (in theorie 20 miljoen Euro, art. 48 jo. 83 lid 5 AVG).
bron: https://blog.iusmentis.co...-is-de-cloud-act-nu-echt/
Ja, dat zal de Europese dochter moeten, maar onder de Amerikaanse wet mogen ze dat niet. Dus ze moeten kiezen welke wet ze willen overtreden. Daar de boete van de EU alleen komt als het uitkomt terwijl het weigeren van een bevel uit de VS direct tot problemen leid, lijkt het me logisch dat deze boetes van de EU weinig verschil maken. Zeker als het geheel onder een 'gag order' valt, dan komt de EU er toch (voorlopig) niet achter.

Het zou toch niet de eerste keer zijn dat Amerikanen/Amerikaanse bedrijven lokale wetten met voeten treden, toch?
Je bedoelt NextCloud met OnlyOffice? Kost je een kwartier om op te zetten.
Waarom zou ik OnlyOffice meer vertrouwen dan Google of Microsoft? Een bedrijf uit Letland wat "gratis" Office software aanbiedt?
Omdat het opensource en zelf gehost is natuurlijk, het feit dat je dat gelijk stelt aan de bekende cloud oplossingen zegt wel veel trouwens.
Andersom zegt het ook veel dat je dus blijkbaar denkt dat opensource en self-hosted automatisch betekent dat je veiliger met gegevens omgaat.

Ik zie nog wel meer beren op de weg bij zo'n pakket en inrichting dan bij Gsuite of Office365. Er kan nóg meer verkeerd worden ingesteld, er wordt minder mee gewerkt, dus minder bugtesting, je bent volledig afhankelijk van hoe competent de beheerorganisatie is etc.
Er kan nóg meer verkeerd worden ingesteld, er wordt minder mee gewerkt, dus minder bugtesting, je bent volledig afhankelijk van hoe competent de beheerorganisatie is etc.
Een risico op gegevenslek is altijd nog wenselijker dan een systematische gegevenslek natuurlijk. Als ik kan kiezen om gegevens op papier op tafel te laten liggen of gelijk aan een advertentieboer te geven, dan laat ik ze wel op tafel liggen. Heb je in ieder geval nog invloed op de toegang daartoe en is er nog bedrijfsvoering waar op valt te verbeteren.
Ik ben een groot voorstander van opensource software (overheid zou ook alles wat ze ontwikkelen vrij moeten geven) maar open source of zelf hosten zegt natuurlijk niets AVG compliancy.
Als het alternatief is dat al je communicatie tot op het hoogste nivo wordt meegelezen door een buitenlandse mogendheid en op basis daarvan ons land politiek en economisch wordt beïnvloed waarbij onze belangen absoluut niet op de prioriteitenlijst staan begint pen en papier toch wel een aantrekkelijke optie te worden...
Als het alternatief is dat al je communicatie tot op het hoogste nivo wordt meegelezen door een buitenlandse mogendheid en op basis daarvan ons land politiek en economisch wordt beïnvloed waarbij onze belangen absoluut niet op de prioriteitenlijst staan

En je denkt dat dat niet gebeurt als de Google Suite niet wordt gebruikt? Al laat je een Nederlands bedrijf nieuwe software schrijven, ook daar zullen binnen een jaar loopholes in worden gevonden.
Tuurlijk. Pen en papier klinkt steeds minder slecht zo...
De Patriot Act is al sinds 2015 niet meer actief. Die is opgevolgd door de CLOUD act.
Tja dan krijg je weer zo'n draak vol met spaghetti code geproduceerd door een van de middelmatige toko's voor een budget dat drie keer over de kop gaat.

Zeker op een kleine, Nederlandse schaal is goede software ontwikkeling niet echt aan de orde. Het ontbreekt aan budget en expertise. Op EU niveau zou je misschien wat kunnen doen, maar voordat men het daar eens is over de specs ben je decennia verder...

Klinkt cynisch misschien, maar is al zo vaak mis gegaan.
Dit in tegenstelling tot Google waarbij je Enterprise account onder dezelfde voorwaarden valt als je consumentenaccount en je als admin geen enkele controle hebt over functionaliteit.

Voor de mensen die hierbij twijfelen, uiteraard is hier niets van waar. De voorwaarden voor Office 365 en Google Workspace zijn vrijwel hetzelfde (en daarom beide niet geschikt voor scholen).

Met beide ben je gewoon eigenaar van je data en kun je deze beheren zonder veel moeite of kennis.

En ja, ook Microsoft verandert regelmatig zijn enterprise agreements. Dat is heel normaal en komt iedere licentie onderhandeling gewoon naar voren.

/edit: hoe is dit in vredesnaam niet on-topic...

[Reactie gewijzigd door dycell op 8 juni 2021 15:19]

on-prem hoeft nog geeneens (is alleen maar onnodig duur, dat geld kan je beter besteden aan je core business). Ook de cloud based versie voldoet gewoon aan de AVG, inclusief de vorowaarden.
Niet volgens de DPIA die de overheid heeft uitgevoerd op Office 365 (ProPlus)

"Stel beleid op om werknemers te waarschuwen dat zij de mobiele Office apps en de
Controller Connected Experiences niet mogen gebruiken"

Bron:
Kies Office 365 (3e download) vanaf de volgende link:

https://www.rijksoverheid...ent-windows-10-enterprise

En ook leuk:
"Microsoft erkent dat zij als verwerker voor de verwerking van gegevens over het gebruik van
Office 365 ProPlus, de meeste Connected Experiences en de cloud opslagdiensten
persoonsgegevens verwerkt [...]"

[Reactie gewijzigd door Triblade_8472 op 8 juni 2021 08:33]

Let wel op dat artikel / onderzoek is 3 jaar oud, de hele cloud is iniddels veranderd
Precies 2 jaar sinds dat document. Maar wat is er veranderd dan...?
Dec 2018 was het onderzoek dus 2,5 jaar,

in 2019 heeft men het over het overeengekomen verbeter plan ism MS. Weet niet wat er allemaal in dat plan zit maar volgenmij zijn veel dingen al in productie

Aanpassingen zijn bijvoorbeeld hele Implementatie van GDPR en compliance,

verder zou je eens naar de roadmap kunnen kijken bijna wekelijks updates en soms ook complaincy updates.

Zie ook artikel hier onder van @Ves

[Reactie gewijzigd door Scriptkid op 8 juni 2021 09:41]

Lol, dat artikel gaat precies over wat ik schrijf!

Er is dus gewoon niks veranderd in de tussentijd.
Er is inderdaad vrijwel niets veranderd. Enkel heeft Office 365 ProPlus een 0 (nul) telemetrie optie gekregen zodat er niet meer zoveel data de cloud in gaat. Maar zoals je zelf al aangeeft werkt dit niet met alles wat cloud-based is zoals Office online of de apps.

Cloud is in essentie ook helemaal niet compatible met wat de overheid ermee wil bereiken (soortgelijk aan een on-premise omgeving). Office 365 is bedoeld om online te gebruiken en leunt zwaar op de externe cloud diensten. Gezien zelfs de spellingscontrole al in de cloud wordt opgeslagen zullen deze diensten nooit zijn wat de overheid ervan vereist.

Google en Microsoft zullen echt niet hun businessmodel aan gaan passen omdat de overheid in europa er niet uit kan komen..
Let wel, bijna alles is contractueel afgesproken. MS krijgt de data deels nog wel, maar 'belooft' het niet te gebruiken.
Als overheid zou ik daar niet op willen vertrouwen.

Persoonlijk wil ik daar overigens ook niet op vertrouwen maar ik kan snappen dat er organisaties zijn voor wie een afspraak met MS goed genoeg is. Pragmatisch gezien kun je er bijna niet om heen. En als je zelf niet heel veel kennis in huis hebt ga je met geen enkel bedrijf afspraken kunnen maken die ook maar enige vorm van zekerheid geven. Het blijft voor 90% vertrouwen op de reputatie van het bedrijf.
Volgens mij is hier een follow-up geweest (https://deprivacyconsulta...og-steeds-niet-aan-de-avg) , dat zelfs na de aanpassingen het nog steeds niet AVG proof was. En wat echt raar is, is dat de overheid constateert dat een product niet AVG compliant is, en vervolgens alleen voor zich zelf werk van maakt, en accepteert dat de "patch" alleen voor de overheid beschikbaar komt, en de rest van Nederland/EU moet dus maar blijven werken met een pakket wat niet AVG compliant is.....

[Reactie gewijzigd door NLWildcard op 8 juni 2021 16:41]

Microsoft maakt al een verschil in type accounts. Zo heb je een zakelijk account (hoort bij het domein van je organisatie en persoonlijke accounts, zoals live.com of outlook.com. Bij Google is die onderscheid er niet.
Ook bij google heb je verschil in accounts, je hebt "Google Workspace" accounts (organisational) en "Personal" accounts, vergelijkbaar als bij Microsoft. Maar er kan natuurlijk een wereld van verschil in de voorwaarden en afspraken zitten.
Zeker wel, Workspace / G Suite is bedoeld voor "zakelijk", dat koppel je aan een domein.
Een ander google account is persoonlijk, dat is een gmail account.

Binnen de Workspace / G Suite kun je makkelijk direct met elkaar delen, kun je de accounts beheren, rechten instellen, bepaalde producten aanzetten (drive, docs, enz.), en globaal de accounts in de gaten houden, ...
https://workspace.google.com/intl/en_ie/products/admin/
Het hele verdienmodel van Microsoft is anders. Zijn hebben hun licentieovereenkomsten met bedrijven en overheden, Azure, Office (maar ook PowerBI, etc.), en daarnaast de licentie van Windows bij zowat elke computer/laptop dat verkocht wordt. Microsoft heeft ook graag telemetrie, maar het is niet hun primaire inkomstenbron, en dus is er veel minder druk op die tak van inkomsten om het maximale er uit te halen.
Zelf denk ik niet dat Google met die telemetrie perse veel geld verdient, het is veel meer dat ze een aanpak/opzet van hun infrastructuur hebben die ze niet willen aanpassen aan de AVG. Google verdient in het onderwijs op dezelfde manier geld als Microsoft, gewoon betaling voor accounts/platform.
Telemetrie wordt bij Google gebruikt voor advertenties, bij Microsoft gebeurd dat veel minder.
Daarnaast kun je bij Microsoft aangeven waar je data mag staan, dus in Europa, of Australie, of de USA als je daarvoor kiest. Je kunt er zelfs voor kiezen om je data alleen in China te plaatsen, mocht je dat willen.

Bij Google (en overigens ook bij Amazon) heb je die keuze niet. De hoster bepaald waar jouw data staat en als er om redundantie redenen door de hoster wordt bepaald dat een kopie van jouw data in de USA komt te staan, dan doen ze dat. En op dat moment gaat de AVG in een flinke botsing komen met Amerikaans recht.
Voor de AVG telt meer of minder verwerken niet mee. Je doet het, of je doet het niet. Dus als Microsoft het minder doet, dan doet het dus wel.

En bij Google kun je ook voor EU opslag kiezen. En dit geldt dan voor alle apps die onderdeel uitmaken van Workspace.
Maar wat je er mee doet, geldt voor de AVG dan weer wel. En wat Google er mee doet, gaat veel verder dan wat Microsoft er mee doet.

Ook waar data wordt opgeslagen is Google (en ook Amazon) niet transparant over. Die het originele artikel op FD.
bron
Eerder waarschuwde ook een groep van ruim 130 grote bedrijven er al voor dat zij onmogelijk aan de Europese privacywet konden voldoen omdat zij zo afhankelijk zijn van Amerikaanse partijen als Google, Amazon en Microsoft, die het niet zo nauw nemen met de privacy. Met name die eerste twee stallen persoonsgegevens van klanten veelal buiten Europa en zijn niet transparant over hoe zij die verwerken en hoe zij het gebruik volgen.
KrazyJay heeft het over het basale verdienmodel van het bedrijf.
Microsoft verdient, in de basis, nagenoeg al zijn geld met het verkopen van producten en diensten aan de gebruikers van hun producten.
Google verdient, in de basis, nagenoeg al zijn geld met het verkopen van de gegevens van de gebruikers van hun producten.

Daarmee is alles wat Google doet suspect als het aan komt op privacy. Bij Microsoft (en zo ook Apple) geld dat minder omdat het basis verdienmodel anders is.

Het "Follow the money" concept komt altijd terug bij de vraag: Hoe kan het bedrijf hier meer geld mee verdienen? Bij Apple is het antwoord, over het algemeen (extreem gesimplificeerd) door het gebruiksvriendelijker te maken. Bij Microsoft door een groter publiek te bereiken en bij Google door meer over de gebruiker te weten te komen.
(Nogmaals: Extreem gesimplificeerd. In complexe vraagstukken zoals deze spelen er altijd veel meer factoren)
KrazyJay heeft het over het basale verdienmodel van het bedrijf.
Microsoft verdient, in de basis, nagenoeg al zijn geld met het verkopen van producten en diensten aan de gebruikers van hun producten.
Google verdient, in de basis, nagenoeg al zijn geld met het verkopen van de gegevens van de gebruikers van hun producten.

Daarmee is alles wat Google doet suspect als het aan komt op privacy. Bij Microsoft (en zo ook Apple) geld dat minder omdat het basis verdienmodel anders is.
Dat maakt ook dat de klant iemand anders is. De klant van Google is de adverteerder, niet de gebruiker. Bij de betaalde varianten van Google is dat hybride.

Alhoewel, is MS niet ook meer de kant op aan het gaan van dataverzamelaar?
Alhoewel, is MS niet ook meer de kant op aan het gaan van dataverzamelaar?
Ja en nee....
Waar Google de data gebruikt om hun klanten (de adverteerders) beter te kunnen voorzien zie ik dat bij Microsoft niet gebeuren (ten minste niet op korte termijn). Microsoft is nogsteeds een software bedrijf waar Google een advertentie bedrijf is.

Aan de andere kant zie ik Microsoft wel steeds meer de gegevens die ze hebben gebruiken om hun klanten van meer informatie te voorzien. En die "meer" is, in mijn ogen, niet altijd ook "beter". Dashboards waarop mensen kunnen zien hoeveel tijd mensen binnen het bedrijf aan bepaalde activiteiten besteden vindt ik, persoonlijk, een gevaarlijke ontwikkeling en daar heb ik het ook al regelmatig met ze over gehad.

Dus ja, Microsoft doet steeds meer met de data die ze op hun online platformen genereren. En ja, daar moeten ze heel voorzichtig mee zijn. Maar tot nu toe is er nog geen enkel teken dat ze die data gebruiken om andere bedrijven te voorzien van profielen of om persoons-gerichte 3rd party funcitonaliteit aan te bieden.
Zo werkt de wet alleen niet, de regels om wel of geen data te verzamelen zijn voor al die bedrijven exact hetzelfde.

Als jij geen toestemming geeft dan mag het niet, wat ze ook zeggen met die gegevens te doen doet daar niks aan af, en als je ze wel toestemming geeft dan mogen ze dus waar jij toestemming voor geeft (wat dat ook is, binnen de kaders van de wey natuurlijk)...

Wel zullen ze een bedrijf wat die gegevens meer gebruikt om aan te verdienen beter onderzoeken maar de regels blijven gewoon vast en gelijk...

En google verkoopt die data niet, is het echt zo moeilijk om te zeggen dat ze die data gebruiken voor advertenties te tonen?

[Reactie gewijzigd door watercoolertje op 8 juni 2021 11:06]

Zo werkt de wet alleen niet, de regels om wel of geen data te verzamelen zijn voor al die bedrijven exact hetzelfde.

Als jij geen toestemming geeft dan mag het niet, wat ze ook zeggen met die gegevens te doen doet daar niks aan af, en als je ze wel toestemming geeft dan mogen ze dus waar jij toestemming voor geeft (wat dat ook is, binnen de kaders van de wey natuurlijk)...
Yup. En het is heel makkelijk om voorwaarden te schrijven die daar onduidelijk genoeg over zijn dat je als gebruiker niet meer weet waar het nou over gaat.
Zie bijvoorbeeld dit hele verhaal; je kunt een Google business omgeving maken maar mensen die je daar van buiten af toegang toe geeft moeten gewoon met de consumentenvoorwaarden accoord gaan.
En google verkoopt die data niet, is het echt zo moeilijk om te zeggen dat ze die data gebruiken voor advertenties te tonen?
In feite verkopen ze de data dan dus wel gewoon. Maar dit is wel precies de mantra die Google gebruikt. "We verkopen je data niet, we verkopen alleen de profielen die we van mensen maken".
Alsnog ben jij het product maar hoeven ze dat niet zo specifiek in de voorwaarden te zetten. Jij hebt er nogsteeds net zo veel last van maar Google kan zeggen "We verkopen je data niet"
Beter ja. Perfect nee. De core business van Microsoft is software en IT services verkopen. Bij Google is dit data.
Ja Microsoft heeft het iets beter op orde. Uiteraard ook ruimte voor verbetering zie o.a. https://slmmicrosoftrijk.nl/downloads/

Daarnaasr onlangs dit nog aangekondigd: https://blogs.microsoft.c...1/05/06/eu-data-boundary/

Oftwel, Microsoft is van plan alle dataverwerking in de nabije toekomst in Europa te doen voor Europese klanten
Ik vrees alleen dat dit een advies is aan dovemans oren.

Vele scholen zijn inmiddels binnen getrokken in de google omgevingen.
Incl. die handige Chromebooks etc.

Eruit verhuizen is een (te) grote klus en (onvoorziene) kostenpost.
En wat moet je dan erna ?

Dus ja vanuit IT aspect is dit net zo'n mooi advies als de cookie wetgeving.
Maar vanuit praktisch oogpunt denk ik dat veel scholen er toch in blijven zitten.

[Reactie gewijzigd door Pumbaa82 op 8 juni 2021 08:15]

Dat (overheids-)organisaties goedkoop op de eerste rij willen zitten en daarom maar bepaalde wetgevingen negeren, en vervolgens gepakt worden, is hun probleem. Dat ze daarbij ook een vendor-lock in gelopen zijn die nu heel duur is om uit los te komen, is ook hun probleem.

Ik heb er geen medelijden mee. Twee jaar terug hier al gewaarschuwd dat de huidige software oplossing niet acceptabel is en dat is toen genegeerd. Ga nu maar verantwoording dragen voor je eigen falen als schoolbestuur.
Dat (overheids-)organisaties goedkoop op de eerste rij willen zitten en daarom maar bepaalde wetgevingen negeren, en vervolgens gepakt worden, is hun probleem.
Nee, helaas is dat het probleem van de leerlingen en ouders geworden. Het geld is er gewoon niet om even naar een ander systeem om te schakelen. Eens dat er fouten zijn gemaakt en dat er verantwoordelijke mensen aangewezen kunnen worden maar het is een gezamenlijk probleem geworden.
Precies. En bij de overheid is het uiteindelijk de burger die betaald. En wat betekend dan verantwoording dragen als schoolbestuur? Opstappen met z'n allen? Wordt het niet per se beter van.
Dat kun je wel heel snel roepen op die manier, maar hou er rekening mee dat zeker bij overheidsorganisaties de rekening gewoon bij de burger op het bordje gelegd wordt.

Dus even overstappen naar een ander systeem is niet zomaar geregeld, dat is een proces wat voorbereiding vraagt en waarbij er expertise nodig is die vaak niet in huis aanwezig is.

Er zijn in deze situatie twee opties.
Of het overschakelen naar een ander systeem met de bijkomende kosten.
Of Google moet zijn diensten en dataopslag dusdanig aanpassen dat ze wel aan de AVG voldoen.
Dat (overheids-)organisaties goedkoop op de eerste rij willen zitten en daarom maar bepaalde wetgevingen negeren, en vervolgens gepakt worden, is hun probleem. Dat ze daarbij ook een vendor-lock in gelopen zijn die nu heel duur is om uit los te komen, is ook hun probleem.

Ik heb er geen medelijden mee. Twee jaar terug hier al gewaarschuwd dat de huidige software oplossing niet acceptabel is en dat is toen genegeerd. Ga nu maar verantwoording dragen voor je eigen falen als schoolbestuur.
Ik ben het er bijna helemaal mee eens, ware het niet dat de kosten uiteindelijk op mijn dak terecht komen, of ten koste gaan van de leerlingen/burgers. Ik heb geen medelijden met bestuurders die nu voor paal staan omdat ze tegen alle adviezen in zijn gegaan. Ik heb wel medelijden voor alle Nederlanders die er voor moeten betalen.
Die zijn inderdaad heel handig voor het onderwijs. Gemiste kans voor de traditionele PC leveranciers.
Hoezo? Volgens mij leveren diezelfde leveranciers nu toch Chromebooks? Zal hun weinig uitmaken.
Zal best, maar op een gegeven ogenblik dient iemand een klacht in. Dan zal er wel iets moeten gebeuren...
Waarom staat de titel van dit artikel tussen ' ' ?
Omdat het FD dit naar buiten bracht. AP heeft dit dus niet zelf gezegd en daarom is het een quote van FD.
De leeuw vragen om niet het hapje uit de lekker sappige gazelle te nemen en m dan op z'n blauwe ogen vertrouwen. Ik hoop dat het boerenverstand op tijd in kickt.

[Reactie gewijzigd door Greeg op 8 juni 2021 11:16]

Ik heb in beide wereld gezeten, zoal Google als Office.

En ik vindt Google 1000 veiliger en beter dan de MS omgeving.

Maar om dit even op te lossen,

Gmail, WorkPlace Non-profit en Google.com zijn 4 verschillende omgevingen. Het enige waar Google zijn vingers in duwt is de Gmail omgeving, met scannen reclame etc etc.

(zie ook de uitrol van verschillende producten, sommige producten zoals Gmail hebben iets vroeger omdat dit getest moet worden.

In de andere wordt niet gekeken is ook niet toegankelijk voor Googlers. Nu zeg je toegankelijk voor Googlers, ja er is gewoon een tool waarbij alles van iedereen in Gmail kan zien, echter moet je voor alle andere accounts een token generen die je niet kunt generen omdat deze eigenlijk niet bestaat.

Google's is mentaliteit in dit geval is, zoveel mogelijk jongeren en onbekende Google geven zodat ze geen ander product meer kennen en eigenlijk niet weten hoe Microsoft producten werken. (Mijn broertje weet bijvoorbeeld niet hoe Outlook werkt, maar Gmail kent die op ze duimpje)

Daarnaast is non-profit en scholen gratis, in vergelijking met MS, en vindt ik persoonlijk het werk dat je als systeembeheerder in Google steek veel veel veel beter en sneller te regelen. Ook de koppeling met Android en Chromebook kan MS niet over treffen.

Daarnaast voldoet Google aan alle verwerkingsregels, en heeft de systeembeheerder dit voor het begin van het opzetten van het systeem dit moeten accepteren. Zo staat alles in NL (of Europa) is er een GDPR en AVG contract en is het allemaal goed gekeurd.

Verder ja, wat voor producten wil je anders gebruiken? Een verouderd systeem met onprem applicaties die als je een verkeerd bestand opent toch gelijk alles lekt op je systeem? Of heb je liever iets dat secure staat op een server waar "niemand" bij kan.

----

Toevoeging; echter als mensen inloggen op een browser met zowel hun corp als gmail account kan dit zorgen voor conflicten en problemen. Echter zou dit moeten worden uitlegt aan de persoon en heeft het niet veel met het product te maken.

[Reactie gewijzigd door Kittekat op 8 juni 2021 12:13]

En ook Gmail consumer wordt niet meer gescand voor commerciële doeleinden... ;)


Om te kunnen reageren moet je ingelogd zijn


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True