Rijksoverheid kan vanaf juni Google-clouddiensten zonder AVG-risico's gebruiken

Nederlandse overheden kunnen vanaf 9 juni clouddiensten van Google gebruiken zonder dat hier AVG-risico's aan vastzitten. Daarvoor hebben Google en de Rijksoverheid een plan opgesteld. Een eerdere, vergelijkbare overeenkomst nam niet alle AVG-risico's weg.

Met de nieuwe overeenkomst moet Google de overige AVG-risico's wegnemen, schrijft minister van Justitie en Veiligheid Dilan Yeşilgöz-Zegerius. Het is niet duidelijk om wat voor AVG-risico's het gaat. De eerste resultaten worden op 1 mei opgeleverd en uiterlijk 9 juni moeten alle afgesproken maatregelen volledig zijn doorgevoerd. Overheidsorgaan Strategisch Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services, ofwel SLM, gaat deze maatregelen verifiëren.

De overeenkomst is nodig omdat de Autoriteit Persoonsgegevens in mei 2021 zei dat Google Workspace for Enterprise, dat de overheid wil gebruiken, niet aan de AVG voldoet. De risico's zijn vergelijkbaar met de AVG-risico's die bij Google Workspace for Education werden genoemd. Het gaat dan bijvoorbeeld om een gebrek aan transparantie over welke data er wordt verzameld en Google zou zich ook niet beperken tot het verwerken van het strikt noodzakelijke.

Naar aanleiding van de bevindingen van de AP, sloten de overheid en Google in mei vorig jaar een overeenkomst af om de AVG-risico's weg te nemen. SLM verifieerde dat verbeterplan na oplevering in december vorig jaar. "Daarbij is geconstateerd dat de getroffen maatregelen voor een aanzienlijke voortgang hebben gezorgd in het oplossen van de risico's. Er is ook gebleken dat niet alle risico's voldoende zijn weggenomen", schrijft de minister. Daarom dat de Rijksoverheid en Google in maart een nieuw plan zijn overeengekomen, dat de minister nu met de Tweede Kamer deelt.

De minister zegt dat ook na juni er een proces zal zijn om 'blijvende AVG-compliance te borgen'. Zo gaat SLM met Google 'in gesprek over nieuwe bevindingen die in de afgelopen periode zijn geconstateerd en waarvoor nader vervolgonderzoek nodig is om de impact te kunnen inschatten'. Wat deze nieuwe bevindingen zijn, is niet duidelijk. Verder moet er een data transfer impact assessment komen om te onderzoeken wat de risico's zijn van internationale doorgifte van persoonsgegevens. Google Workspace is een cloudofficepakket met diensten als Docs, Meets, Sheets en Chat.

Door Hayte Hugo

Redacteur

21-04-2023 • 10:13

118

Submitter: Anonymoussaurus

Reacties (118)

118
117
80
11
0
35

Sorteer op:

Weergave:

Welke gegevens gaan ze nu bij Google opslaan? Gaat al mijn moeite om te 'de-googlen' nu verloren, omdat de overheid toch al mijn DigiD gegevens bij Google opslaat?
Gaat de overheid nou staatsgeheimen op de servers van Google op Amerikaans grondgebied opslaan?
Kan de FBI / CIA / NSA nu elk moment een huiszoekingsbevel bij Google doen, om vervolgens de Nederlandse staatsgeheimen te onderzoeken?
Bijvoorbeeld een hogeschool of universiteit die voor de mail faciliteiten voor studenten Gmail gebruikt.

Google heeft gewoon serverparken in Nederland en andere Europese landen.

[Reactie gewijzigd door Cobalt op 22 juli 2024 14:31]

Da's fijn om te horen.
Ik zocht het even op en je hebt inderdaad gelijk: https://www.google.com/about/datacenters/locations/

Ze hebben in Eemshaven en Middenmeer datacenters staan.
Niet dat dat uitmaakt, als de amerkaanse overheid Google vraagt data te overhandigen is het niet relevant waar die data staat. Het effect van de CLOUD act, voilà.
Niks anders bij Azure toch? Wordt toch ook gewoon op de servers van Microsoft opgeslagen. Maar daar hoor je niemand over.

Hier in Luxembourg is het verboden voor banken, verzekeringen Azure of een AWS te gebruiken omdat het niet opgeslagen wordt in Luxembourg en de data niet buiten de grens mag komen. Je ziet daarom veel on-premise bij banken en verzekeringen hier.
Ah, vandaar de interesse in Nextcloud in Luxemburg. Goede zaak.
Zonder AVG risico is nogal een uitspraak, dan krijg je straks bij overheden een vergelijkbare situatie als nu in het onderwijs, waarbij je op papier AVG compliant met Google workspace zou kunnen werken, maar een school dan wel heleboel onhandige maatregelen moet treffen: https://www.kennisnet.nl/app/uploads/kennisnet/publicatie/Kennisnet-Technische-handleiding-Google-Workspace-for-Education.pdf.
Het gevolg is dat in de praktijk deze noodzakelijke maatregelen op grote schaal genegeerd worden.

Dan is er ook nog het probleem met het onderscheid tussen "kerndiensten" (docs, drive, mail, classroom) en "aanvullende diensten" (zoeken, YouTube, maps, etc). Waarbij de "kerndiensten" aan de AVG voldoen (mits alle maatregelen in de kennisnet handleiding ook echt zijn doorgevoerd), maar via de aanvullende diensten de (meta)data van de gebruikers nog steeds op grote schaal gebruikt kan worden voor het opbouwen van persoonsprofielen en vertonen van gerichte advertenties. Terwijl Google de kerndiensten en aanvullende diensten gewoon door elkaar aanbied.
En ondertussen maar blijven roepen dat het mag van de Autoriteit persoonsgegevens.

Een veel betere oplossing zou zijn als de overheid zijn eigen cloud bouwt op basis van opensource software, met privacy-by-design als uitgangspunt. Bijvoorbeeld met Nextcloud.
We weten allemaal dat als de overheid zelf zijn eigen cloud diensten zou gaan bouwen, dat dat een bodemloze put qua investeringen wordt. Een commerciële partij als Google heeft al een goed degelijk platform dat direct gebruikt kan worden. Enige dat hoefde te gebeuren zijn wat kleine aanpassingen voor de AVG en dat is nu gebeurt.

Al die diensten inclusief aanvullende diensten zoals ook Googlemaps en YouTube in een werkbare vorm nabouwen is een totaal onrealistisch plan. Dus als mensen die naast de “kerndiensten” zouden gebruiken, zouden ze die ook gaan gebruiken naast de eigen gebouwde “kerndiensten”. De genoemde maatregelen in het door jou gelinkte document lijken me niet onwerkbaar, zoals bijvoorbeeld het embedden van YouTube video’s om ze wel te bekijken zonder privacy bezwaren.
In aanvulling daar op: je houdt sowieso heel moeilijk tegen dat mensen links plaatsen naar non-compliant content.

Wat mij iedere keer verbaast is dat zakelijke- en overheids-inkopers tolereren dat dit soort diensten niet op een custom URL wordt aangeboden. Ik krijg regelmatig links naar forms.office.com of de Google tegenhanger, zonder enige mogelijkheid om te ontdekken of het form is gemaakt door Yoyodyne Inc, of door Pjotr uit Novgorod.
Ik had wel verwacht dat de overheid voor Microsoft Azure zou gaan, en alles wat je er mee kan doen, is toch wel een stuk uitgebreider dan dat wat Google aanbiedt zover mij dat bekend is.

Azure is natuurlijk wel een pot goud per maand aan kosten, maar ik denk dat Google niet heel veel goedkoper zou zijn.
Ik had wel verwacht dat de overheid voor Microsoft Azure zou gaan, en alles wat je er mee kan doen, is toch wel een stuk uitgebreider dan dat wat Google aanbiedt zover mij dat bekend is.
Sommige diensten zijn bij Google beter of uitgebreider en sommige bij Microsoft, maar dat gaat vaak om hele specifieke features. Ik denk dat je nu op het punt zit dat je in feite elke soort toepassing zonder problemen zowel bij Google, Amazon of Microsoft zou kunnen hosten. Daarbinnen is het toch vooral een kwestie van smaak.

Ik werk zelf met alle drie de platformen voor klanten en eerlijk gezegd maakt het me weinig uit wat ze gebruiken. Ik heb wel het idee dat het op het Google platform allemaal erg gestroomlijnd overkomt en dat ik bij Amazon of Microsoft nog weleens het gevoel heb dat het wat houtje touwtje in elkaar is gezet. Maar dat is dan meer qua gebruikerservaring. Functioneel komt het volgens mij allemaal redelijk overeen.
Het grote voordeel van MS is dat ze bij de overheid toch al Windows gebruiken, en je in Azure meteen je AD en InTune en alles aan elkaar kunt hangen. Dan heb je één beheerplatform voor je gehele infrastructuur.

Het nadeel is dat je dan je gehele infrastructuur op één platform hebt draaien.
Het grote voordeel van MS is dat ze bij de overheid toch al Windows gebruiken, en je in Azure meteen je AD en InTune en alles aan elkaar kunt hangen. Dan heb je één beheerplatform voor je gehele infrastructuur.

Het nadeel is dat je dan je gehele infrastructuur op één platform hebt draaien.
Heb je ooit wel eens van het ODC (private cloud van de overheid) gehoord? Bepaalde departementaal vertrouwelijke data zal nooit in een een datacenter van een Google of Microsoft terecht komen verwacht ik.
Waar staat die afkorting voor?

Nu vraag ik me af waarom niet alle overheidsdiensten varianten van die overheidswolk gebruiken (draaiend op gescheiden computers uiteraard).
Dank. Klinkt goed. Deze website lijkt die van een bedrijf te zijn, als je kijkt naar naam en het reclame-achtige taalgebruik. Maar misschien is SSC-ICT toch een overheidsinstelling? Het staat er nergens echt.

[Reactie gewijzigd door Cerberus_tm op 22 juli 2024 14:31]

SSC-ICT is de centrale it dienstverlening van de overheid samen met DICTU (bij beide werkzaam geweest). SSC-ICT valt onder ministerie van binnenlandse zaken.
OK dank. Wel jammer dat ze zulke reclametaal uitslaan haha.
toekomstvaste stroomvoorziening met hoog vermogen per rack.

Ik ben benieuwd of "onze" overheid zich ook aan de data-center energie verbruikmodel gaat houden?

Of is dit erg vreemd?
Dat ze er dus waarschijnlijk buiten vallen zeg maar
Ik heb weinig ervaring met de backend van deze diensten, maar ik kan uit ervaring zeggen dat de ervaring voor de eindgebruiker bij Google in ieder geval veel beter is. Ons bedrijf is een jaar geleden overgestapt van Google naar Microsoft (IT director had dit gepusht vanwege "veiligheid", bijna alle werknemers waren het niet eens met dit plan), maar het is één groot drama. Teams is een bekende ellende, maar mijn grootste shock was vooral de onduidelijkheid en bizar slechte UI van de cloud services.

Onedrive, Sharepoint, Teams, Office online en Office desktop kunnen allemaal ongeveer het zelfde, maar toch ook weer niet. Voorbeeld: als ik een presentatie maak via Teams, is die niet gegarandeerd compatibel met de Office Online of Office Desktop variant van PowerPoint. Daarnaast is het niet altijd duidelijk waar je nou een bestand opslaat en wanneer je welk rechten hebt of kunt geven.

En dan email en de kalender. Mijn god wat is dat een enorme afgang naast Google. Het is op verschillende manieren mogelijk om ruimtes dubbel te boeken, de organisator kan niet zelf een meeting afwijzen zonder de hele meeting te cancellen, na het afwijzen van een meeting is het een kansloze operatie om dat ongedaan te maken, de email zoekfunctie is een halfbakken versie van Bing, etc.

Het bovenstaande klinkt natuurlijk allemaal onrelevant voor dit topic, maar is het in de praktijk niet. Door dit soort drama gaan gebruikers zelf maniertjes verzinnen om gegevens te verplaatsen en op te slaan, waardoor je veiligheid en avg risico's in de hand werkt. En op het moment is dat gewoon waar de grootste risico's zich bevinden: human error. Echte veiligheid kun je al lang niet meer meten aan de beveiliging en transparantie van software, maar is juist sterk afhankelijk van hoe gebruiksvriendelijk de software is.
Ik had wel verwacht dat de overheid voor Microsoft Azure zou gaan, en alles wat je er mee kan doen, is toch wel een stuk uitgebreider dan dat wat Google aanbiedt zover mij dat bekend is.

Azure is natuurlijk wel een pot goud per maand aan kosten, maar ik denk dat Google niet heel veel goedkoper zou zijn.
De overheid kiest zeer waarschijnlijk voor de laagste aanbieder, via een openbare aanbesteding. Daar zijn ze wettelijk toe verplicht. Dat er exclusief met Google wordt gepraat over de invulling van de voorwaarden (AVG compliances) staat ze natuurlijk wel helemaal vrij.
Die 'verplichting' voor de laagste aanbieder is een misvatting die helaas dus ook bij sommigen in de overheid/politiek bestaat, de wet zegt het volgende:
De economisch meest voordelige inschrijving wordt door de aanbestedende dienst vastgesteld op basis van de:

a. beste prijs-kwaliteitverhouding,

b. laagste kosten berekend op basis van kosteneffectiviteit, zoals de levenscycluskosten, bedoeld in artikel 2.115a, of

c. laagste prijs.

3 Bij de toepassing van het eerste lid geschiedt de gunning op grond van onderdeel a van het tweede lid.

4 Een aanbestedende dienst kan, in afwijking van het derde lid, gunnen op grond van onderdeel b of onderdeel c van het tweede lid. In dat geval motiveert de aanbestedende dienst de toepassing van dat criterium in de aanbestedingsstukken.

5 Het vaststellen van de economisch meest voordelige inschrijving uitsluitend op basis van het gunningscriterium, bedoeld in het tweede lid, onderdeel b of onderdeel c, is niet toegestaan ten aanzien van bij of krachtens algemene maatregel van bestuur aan te wijzen categorieën aanbestedende diensten en soorten opdrachten.
Maar ook:
4 Een aanbestedende dienst kan een inschrijving uitsluitend afwijzen indien het lage niveau van de voorgestelde prijzen of kosten niet genoegzaam wordt gestaafd door het verstrekte bewijsmateriaal, rekening houdend met de in het tweede lid bedoelde elementen.

5 Een aanbestedende dienst wijst een inschrijving af indien hij heeft vastgesteld dat de inschrijving abnormaal laag is omdat zij niet voldoet aan de verplichtingen op het gebied van het milieu- sociaal en arbeidsrecht uit hoofde van het recht van de Europese Unie, nationale recht of collectieve arbeidsovereenkomsten of uit hoofde van de in bijlage X van richtlijn 2014/24/EU vermelde bepalingen van internationaal milieu-, sociaal en arbeidsrecht.

6 Een aanbestedende dienst die constateert dat een inschrijving abnormaal laag is omdat de inschrijver staatssteun heeft gekregen, kan de inschrijving uitsluitend op enkel die grond na overleg met de inschrijver afwijzen, indien de inschrijver desgevraagd niet binnen een door de aanbestedende dienst bepaalde voldoende lange termijn kan aantonen dat de betrokken steun niet in strijd met artikel 107 van het Verdrag betreffende de werking van de Europese Unie is toegekend.
Ik zeg ook niet dat de overheid verplicht is in zee te gaan met de laagste aanbieder, maar ze is wel verplicht om grotere opdrachten verplicht open aan te besteden. In de praktijk echter, blijkt dat het er in de praktijk vaak op uitdraait dat de concessie wordt gegund aan de laagste aanbieder
ah maar ze mogen dus niet kijken naar waar weer belasting, accijns en btw worden betaald?
Want dat is toch echt heel belangrijk
een overheid kan prima 1 miljard uitgeven aan een NL bedrijf en zal daar het overgrote gedeelte door loonbelastinging, winst belasting van het bedrijf, aankopen van het bedrijf (accijns bv, btw dus vaak niet). maar ook weer uitgaven van de werknemers van hun netto loon (dus btw)

binnen "no time" er toch van die 1 miljard weer wat zal het zijn 60%? terug?
Bart ® Moderator Spielerij @RRRobert21 april 2023 10:38
De overheid kiest zeer waarschijnlijk voor de laagste aanbieder, via een openbare aanbesteding. Daar zijn ze wettelijk toe verplicht.
Nee, de overheid is helemaal niet verplicht om te kiezen voor de laagste aanbieder. De overheid gaat doorgaans juist voor de economisch meest voordelige inschrijving. Dat hoeft zeker niet de goedkoopste te zijn.
Dat hoeft niet, maar mijn persoonlijke ervaring (20 jaar overheid en ervaring met aanbestedingstrajecten) is dat de prijs wel een doorslaggevend criterium is en men eerder geneigd is om eisen te laten vallen of aan te passen, dan een duurdere aanbieder te kiezen.
Dat hoeft niet, maar mijn persoonlijke ervaring (20 jaar overheid en ervaring met aanbestedingstrajecten) is dat de prijs wel een doorslaggevend criterium is en men eerder geneigd is om eisen te laten vallen of aan te passen, dan een duurdere aanbieder te kiezen.
Dat is absoluut niet mijn ervaring. Prijs-kwaliteitsverhouding zit vaak rond 40-60.
1 uitzondering is bij zaken die maar 1 uitkomst hebben. Ofwel je wilt een specifieke licentie of stuk hardware....dan is 9 van 10x alleen prijs bepalend. Aangezien de kwaliteit dan het zelfde is, want iedereen biedt het zelfde aan.

Maar dan nog zou het kunnen dat je kwaliteit meeneemt...denk bijvoorbeeld aan licentie beheer, garantie, dienstverlening, etc.

Aanbestedingen zijn zowel voor de aanbesteder als voor de aanbieder een complex verhaal.....maar helaas alternatieven zijn niet veel beter.

[Reactie gewijzigd door jvr op 22 juli 2024 14:31]

Prijs-kwaliteitsverhouding zit vaak rond 40-60.
Dat klopt naar mijn ervaring.
maar: hoe worden de punten voor prijs bepaald? Dat is een heel belangrijke factor. Vaak is dit via een vergelijkende formule waarbij de prijs van aanbieder X vergeleken wordt met de andere ontvankelijke voorstellen.
In IT heb je vaak relatief grote prijsverschillen in mijn (beperkte) ervaring, waardoor zo'n formule de duurste aanbieders soms volledig de das kan omdoen: hij kan nog 60/60 scoren voor kwaliteit, als hij te duur is in vergelijking met andere aanbieders(!), scoort hij vaak 0/40 op prijs.

Daarmee wordt de aangeboden oplossing niet persé als duur ervaren door de experten, maar is het te duur in vergelijking met de andere indieners en/of komen er bij het duurdere platform by default teveel "extra features" bij kijken die de prijs opdrijven bvb.

Veel hangt af van de gekozen berekeningswijze uiteraard; maar het is wel degelijk complexer dan enkel te kijken naar het gewicht dat aan de prijs en kwaliteit wordt gegeven bij de beoordeling.
(Source: ambtenaar)
das interessant weet je dat zeker?
want ik snap er nooit helemaal niks van dat Europees aanbesteden..
Hoe kan een duitse of franse club/bedrijf nu winnen van een nederlandse voor bv het aanleggen van een metro lijn of snelweg?
Dat heb ik nooit begrepen.

Ook al zegt de het NL bedrijf ik doe het voor 1.5 miljard
en de Duitse zegt ik doe het voor 1 miljard

Dan zeg ik, kies het NL bedrijf, kan veel beter uit, (nu neem ik even aan dat het NL bedrijf nederlandse werknemers/belastingbetalers in dienst heeft en ook als bedrijf winst uit kering doet in NL en de duitse dus alles in Duitsland)

Want als de overheid dus 1.5 miljard uit geeft aan een NL bedrijf dat is dat nadat dat klaar is en ook weer alle belastingen van betaald zijn dus maar een fractie van dat bedrag? Alle lonen, alle belastingen, accijns noem maar op zijn al weer terug gevloeid naar de NL kas..

Voor het duitse bedrijf spekken we alleen de kas van de duitse regering...
Bart ® Moderator Spielerij @joco21 april 2023 12:22
Ja, dat weet ik zeker :). En uiteraard kan het gebeuren dat een Duits bedrijf een aanbesteding wint van de Nederlandse overheid. Maar andersom kan net zo goed. En aangezien de EU een vrijhandelszone is, zou dat ook geen probleem moeten zijn. Tevens kan een Nederlander daardoor ook probleemloos bij een Duits bedrijf werken. Samen staan we sterker :).
En aangezien de EU een vrijhandelszone is, zou dat ook geen probleem moeten zijn. Tevens kan een Nederlander daardoor ook probleemloos bij een Duits bedrijf werken.
Dat is in mijn ervaring alleen waar voor lager opgeleiden. Zodra je bijvoorbeeld als ontwikkelaar in Duitsland wil werken, wordt verwacht dat je op niveau Duits spreekt en begrijpt. Ook kun je met de Duitse overheid maar beperkt zaken regelen in het Engels.

De EU moet eigenlijk zo snel mogelijk naar Engels als gemeenschappelijk taal toe met de verplichting dat alles in het openbare leven in het Engels gedaan wordt. Dit maakt arbeidsmigratie voor hoger opgeleiden binnen de EU mogelijk en is tevens een oplossing voor het woningtekort in Nederland. Ik verhuis graag naar een ander EU land als werkgevers en overheden Engels als voertaal hanteren.

Zo doen de VS, Canada en India het ook: Engels is de norm zodat iedereen overal kan wonen en werken.
Grappig dat je een verplichting wil. Dat is het in de VS niet eens, daar is namelijk geen officiële taal. Goed, de meesten spreken wel Engels, maar Puerto Rico dan weer niet. De helft van de Spaanstaligen beheerst het Engels ook onvoldoende.
Maar ik denk ook dat een groot deel van de bevolking gewoon blijft in het land waar ze geboren zijn. En in het Nederlands communiceren met de overheid is voor velen (meer dan een miljoen functioneel analfabeten) al ingewikkeld genoeg.
daar gaat het niet om
het gaat om wat het de overheid uiteindelijk kost
als een overheid 1 miljard uit geeft dan kost hun dat niet 1 miljard, dat is (als ze het via belastingen dus gewoon weer terug kunnen krijgen) gewoon een vorm van rond pompen van geld.

Behalve als die belastingen betaald worden in een andere land, dan ben je het kwijt.

Das niet samen sterker... dat is je zelf verzwakken want dat geld gaat naar het buitenland (en dat is nog steed europees 2 verschillende werelden)

Tuurlijk als het duitse bedrijf ook veel belasting betaald in NL dan maakt het niet zo veel uit, maar als niet het geval is is zo'n bedrijf veel en veel duurder dan een nl bedrijf dat wel bijna alle (indirecte)belastingen in nl betaald.
Dat is het net ... Europe bekijkt dit uiteraard op Europees niveau ... en zolang het een Europese firma is die de werken uitvoert, wint iedereen in Europa. De werken werden namelijk aan een lagere prijs uitgevoerd dan mogelijk was met een Nederlandse firma!

Je bekijkt landen trouwens te zwart/wit, ik ken veel Belgische bedrijven actief in Zuid-Nederland en Noord-Frankrijk ..
Ik heb het toch niet over waar bedrijven actief zijn?
Waar betalen ze belasting, waar doen zij hun inkopen, en waar betalen hun werknemers belasting...
Das voor de opdrachtgevende en betalende overheid voor mij gevoel de enige criteria...
Ik heb geen ervaring met IT aanbestedingen maar wel met grote bouw projecten. Een tender kan bestaan uit meer dan enkel het product, het kan ook verbruik, onderhoud, toegankelijkheid enz. behelzen. Deze zijn bij een bepaalde grote publiekelijk/Europees en dus ook inzichtelijk voor ons. Het mag voor mij basaal klinken maar het zou me niet verbazen dat hier een gedrocht van een aanbesteding heeft plaatsgevonden.
Zijn reactie gaat niet over dat het wettelijk verplicht is om voor de laagste aanbieder te gaan, maar dat een openbare tender verplicht is :)
[...]
Nee, de overheid is helemaal niet verplicht om te kiezen voor de laagste aanbieder. De overheid gaat doorgaans juist voor de economisch meest voordelige inschrijving. Dat hoeft zeker niet de goedkoopste te zijn.
Vandaar de keuze voor het woorden 'zeer waarschijnlijk' ;)
Vanuit mijn vrijwilligerswerk (bestuursfunctie binnen bewonersstichting in de wijk, als intermediair tussen gemeente en wijkbewoners) kan ik overigens @Polydeukes bevindingen alleen maar onderschrijven.
In dit kader wel aardig.

Onlangs is er door PianoO (onderdeel van Min. van Ez) een onderzoek gehouden naar het gebruik van het criterium 'Laagste Prijs' bij aanbestedingen. Dit zijn aanbestedingen waarop basis van de aangeboden laagste prijs wordt bepaald wie de opdracht krijgt.

De data is afkomstig van www.tenderned.nll, de websie waarop overheden verplicht zijn hun (Europese) aanbestedingen aan te melden.

Volgens deze gegevens werd bij van 9% van alle Openbare aanbestedingen (het meest gebruikte type aanbesteding) het criterium 'Laagste prijs' gebruikt. Bij de overige 91% is er dus sprake van een prijs / kwaliteitsafweging.

Bron:
PianoO
De onderbouwing (althans...deels)
Dat klopt zeker niet. Hangt heel erg van de weging af die vooraf is bepaald. En bijvoorbeeld een onrealistisch lage aanbieding vanuit een inschrijvende partij kan ook genegeerd worden.
Ze zijn niet wettelijk verplicht de laagste aanbieder te kiezen. Ze zijn bij aanschaf boven een bepaald bedrag een openbare aanbesteding te doen en daaruit de beste aanbieder te kiezen. Prijs is daarbij één van de bepalende factoren om te bepalen wat de beste aanbieder is, maar niet noodzakelijkerwijs de doorslaggevende.
Het is wel vaak een probleem om uit te leggen wáárom de goedkoopste niet de beste is en om degene die de uitgave moet verantwoorden (of de volksvertegenwoordigers in de 1e/ 2e Kamer, Provinciale Staten of Gemeenteraad) daarvan te overtuigen. Dat is de reden waarom vaak voor de goedkoopste aanbieder gekozen wordt, ook al voldoet het aangebodene niet 100% aan de vraag, is er een groter technisch risico of is er een groter risico op budgetoverschrijding.
Met Azure zijn al eerder afspraken gemaakt
En de overheid kan ook gewoon eisen zo stellen zodat alleen MS, of Amazone of Google aan de voorwaarden kan voldoen. Alle 3 hebben specifieke services welken niet door een ander kan worden geïmplementeerd.
Dat kan makkelijk. De Amerikaanse overheid heeft die eis ook gesteld. Bijvoorbeeld dat Microsoft een aparte cloud-tak moet hebben puur voor de Amerikaanse overheid waar zij op hun beurt hun systemen in hebben draaien.

Daarnaast zou dit beter op Europees niveau geregeld kunnen worden en dat de EU dezelfde eis ook stelt.
Waarschijnlijk gewoon risico spreiden, zoals iedere grote corporate ook doet.

Je wil niet al je eieren in een mandje leggen, mocht er ooit iets mis gaan bij zo'n provide.
En daarbij heeft Google diensten die op sommige vlakken anders/beter zijn dan wat Azure biedt, met name op het gebied van big data.
Nee, helemaal geen risicospreiding. Elke overheidsdienst mag natuurlijk zijn eigen projecten voeren, maar voor zo een project ga je geen 2 dure diensten afnemen voor het worst case scenario. Dat scenario dek je op andere manieren af die vele malen goedkoper zijn.
vzv ik weet is het geen aanbesteding maar een afspraak van SLM voor meerdere Cloud aanbieders en is het dus bruikbaar voor heel het rijk.
Op die manier hoeft niet ieder ministerie zelf contracten en afspraken te gaan maken, en kun je kiezen uit Google, maar ook Microsoft en waarschijnlijk Amazon (tzt?).
Zie het als een soort koepelcontract waar meerdere aanbieders onderdeel van uit maken
Ik had wel verwacht dat de overheid voor Microsoft Azure zou gaan, en alles wat je er mee kan doen, is toch wel een stuk uitgebreider dan dat wat Google aanbiedt zover mij dat bekend is.
Er is niet zoiets als 'de overheid'. Gaat allemaal om aparte aanbestedingen, met eigen eisen en wensen. Er zijn wel uniforme eisen waaraan een leverancier moet voldoen (zoals de GIBIT: Gemeentelijke Inkoop bij IT).
Ik had wel verwacht dat de overheid voor Microsoft Azure zou gaan, en alles wat je er mee kan doen, is toch wel een stuk uitgebreider dan dat wat Google aanbiedt zover mij dat bekend is.
Dit is geen contract of aanbesteding, simpelweg een vooronderzoek / afspraken zodat het een optie is.
Verder zou je nooit iets moeten 'verwachten'. Alles heeft voor en nadelen.
In een aantal ministeries wordt al gebruik gemaakt van Microsoft Azure. Dit lijkt mij nu slechts een extra optie om niet afhankelijk te worden van één provider en zo de mogelijkheden open te houden
Dit lijkt mij nu slechts een extra optie om niet afhankelijk te worden van één provider
Cloudprovider-Failover :)
Zeker! je zou zelf een andere cloud als fail-over gebruiken.
Daar is Azure ARC voor gemaakt
Je kan in Azure natuurlijk Noord-europa gebruiken als uitwijk locatie. alleen dat heb je het probleem dat je data in Noord-europa is.
Geen vendor-lockin, dat is wel belangrijk.
Die vendor-lockin kan er nog steeds zijn. Je kunt niet zomaar een VM van Azure naar Google verhuizen. Daar zitten vaak allerlei services omheen de ook nog gebruikt worden (gateways, firewalls, etc). Door die extra services ontstaat er alsnog een vendor lockin.
Als cloud oplossing is Google Workspace mijlenver vooruit op Office 365. Dat is nog steeds behelpen met diverse bestanden voor 1 documentje en fout lopende synchronisaties. Ook het samenwerken is in Google Workspace ideaal. Geen idee wat een Microsoft omgeving kost (als cloudoplossing), maar Google Workspace is ook zeker niet voor niets.
Maar de overheid moet ook de afhankelijkheid van dienstverleners en diensten in de gaten houden. Het google landschap kan een uitwijkmogelijkheid vormen, stel dat Microsoft er langere tijd uitligt (of gehackt wordt :+ )
Dan heb je het voordeel dat je diensten krijgt en applicaties die niet van Microsoft afhankelijk zijn. Vanuit Business Continuity kan hiervoor best een case gemaakt worden.
k had wel verwacht dat de overheid voor Microsoft Azure zou gaan, en alles wat je er mee kan doen, is toch wel een stuk uitgebreider dan dat wat Google aanbiedt zover mij dat bekend is.
Misschien goed lezen dit bericht gaat over afspraken over naleving van de AVG bij gebruik van diensten van Google door onderdelen van de rijksoverheid Rijksoverheid.
Dezelfde afspraken zijn ook gemaakt met Amazon en Microsoft. Wanneer je de brief leest dan wordt er toegelicht dat de rijksoverheid nauwelijks gebruik maakt van Google diensten, maar dat AVG compliance vooral ook van belang is omdat Google for Education gebruikt wordt.
Hoewel Google Workspace for Enterprise, voor zover bekend bij Strategisch
Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services
(hierna: SLM), niet grootschalig wordt ingezet binnen de Rijksoverheid, zijn de
belangen groot omdat een vergelijkbaar product, namelijk Google for Education,
wordt toegepast binnen het primair en voortgezet onderwijs
Hieruit kun je dus het volgende concluderen
1. Google Workspace is nauwelijks in gebruik bij de rijksoverhied.
2. Andere Google diensten zoals Google cloud worden niet eens genoemd dus zijn ook bijna niet in in gebruik.
3. Google for Education heeft een groot genoeg markt aandeel in de Onderwijs voor primair en voortgezet onderwijs. Om van belang te zijn.
Vraag me dat ook af.

Azure biedt toch vaak een compleet database. ADDS, roles, features, workstations online etc.

Of doet google dit ook?
Ben ik te negatief als ik denk dat de risico's nooit weggenomen kunnen worden? Onafhankelijk van wat er in de voorwaarden en het contract staan zullen de risico's (bv in geval van oorlog, om maar iets extreems te noemen) altijd blijven bestaan.
Helemaal mee eens, helemaal niet ondenkbaar dat er straks bepaalde geo politieke situaties komen waar de overheid vanuit de VS bepaalde voorwaarden aan bedrijven als Google oplegt mbt dataverzameling.
En wie zegt dat wanneer de spanningen zo hoog oplopen dat de VS bij Google de data vordert van Nederlandse overheidsdiensten, ze niet net zo makkelijk Nederlandse overheidsservers in eigen beheer zouden hacken?
Hacken is een misdrijf, als je data opslagregels wettelijk veranderd bijv. dat data allemaal in de VS moet zijn opgeslagen en dat de overheid er altijd toegang tot moeren kunnen hebben, heb je een probleem.
Geen enkele oplossing zal alle risico’s wegnemen. Het is altijd een afweging van welke risico’s je accepteert.
Gewoon in hun eigen datacenter. Niet alle risico's zijn weg maar veel meer controles mogelijk.En baas over eigen data.
Gezien de snelheid en effectiviteit van het opzetten van digitale, grote projecten van de overheid heb ik er weinig vertrouwen in dat dat perse een betere oplossing zou zijn. Theoretisch wel.
In de cloud ben je ook baas over je eigen data, het is niet zo dat een provider die data scraped ofzo.

Het gebruik, onderhoud en management van een datacenter is geen geintje qua inspanning en geld. Het is slimmer om per gebied een afweging te maken over waar je spullen staan.
het is niet zo dat een provider die data scraped ofzo.
Dat weet je natuurlijk nooit helemaal zeker, maar je hebt inderdaad wel zelf meer controle.
Dat je zelf controle hebt wil niet perse zeggen dat dat veiliger is.

Kijk bijvoorbeeld naar wat er in 2019 bij de universiteit in Maastricht gebeurde. Eigen servers maar gewoon gehackt.

In een datacenter van een ander (wat de cloud gewoon is) wil niet zeggen dat dat de ultieme oplossing is.

Maar eigen controle werkt alleen goed als je je juiste mensen hebt. En daar gaat het vaak fout. Ik denk dat de grote cloudproviders kundigere mensen in dienst heeft dan de overheid. Zeker bij het gebruik van een SAAS-oplossing.
1 eigen datacenter is geen, dus minimaal 2.
Waarbij je dus zelf alle infrastructuur en capaciteit moet gaan regelen.

Ik heb wat ervaring met eigen datacenters (suites) en voornamelijk capaciteitsmanagement en lifecycle management waren altijd pijn punten.

Met de cloud zijn die een stuk minder geworden moet ik zeggen, nog afgezien ik nu heel gemakkelijk over 3 datacenters (availability zones) kan werken zonder enige extra investering.

Ook een stukje capex en opex. Moet ik nu een investering van 10 miljoen doen, of 150K per maand?
Op zich is de ontwikkeling in het datacenter ook gewoon doorgegaan terwijl de cloud zijn intrede deed.
Storage was altijd een hel. Nu niet meer. Het schaalt gewoon, het wordt sneller als je het groter maakt en groeit dus mee met de behoefte. Virtualisatie is allang niet meer spannend.

De public cloud daarentegen is onnodig ingewikkeld en complex waarbij problemen veroorzaakt door die cloud (ingebouwde belemmeringen) opgelost kunnen worden met diensten verkocht door diezelfde leverancier.
Hoeveel bedrijven onnodig een expressroute hebben (of soortgelijk van AWS) omdat hun cloud niet goed genoeg via het internet te bereiken is. En die dingen zijn niet gratis maar echt heeeeeel zelden noodzakelijk.
Gezien alles altijd een risico heeft (alle oplossingen) is het inderdaad nooit mogelijk risicoloos te zijn.

De risico's waar AVG voor moet waken worden hier in ieder geval wel mee getackeld blijkbaar, en daar gaat het (bericht) dan ook om. En de andere risico's worden blijkbaar laag genoeg ingeschat dat het acceptabel is.

[Reactie gewijzigd door watercoolertje op 22 juli 2024 14:31]

Ben ik te negatief als ik denk dat de risico's nooit weggenomen kunnen worden? Onafhankelijk van wat er in de voorwaarden en het contract staan zullen de risico's (bv in geval van oorlog, om maar iets extreems te noemen) altijd blijven bestaan.
Dat denk ik ook. Goede afspraken zijn mooi maar vooral vanuit een zakelijk perspectief, in die wereld is alles een deal met een prijs. Je spreekt níet af dat X nooit zal gebeuren, je spreekt af dat er een boete betaald wordt als X gebeurt. Zakelijke gezien is het daarna alleen maar een afweging of de boete opweegt tegen de voordelen van het breken van de afspraak.
Tot op zekere hoogte kan dat natuurlijk ook niet anders, overal worden fouten gemaakt en daar moet je dus mee omgaan.

De vergissing die we te vaak maken is dat er gedacht wordt dat je genoeg hebt aan goede afspraken. Dat vind ik heel naief. Dat is zoiets als zeggen dat je geen gordels en airbags nodig hebt in je auto omdat er verkeersregels zijn. Bij een overheid speelt er (net als bij veel andere organisaties) meer dan geld alleen. Staatsgeheimen kun je haast niet beveiligen met alleen afspraken.

Je hebt dus ook technische beveiliging nodig zoals encryptie (ook, niet alleen, je hebt beide nodig). Daarop toezien is helaas verduiveld moeilijk. Niet alleen omdat de meeste leveranciers niet willen dat je zelf in hun code/systemen/... kijkt om te zien of het goed geregeld is. Begrijpelijk vanuit hun oogpunt maar als klannt heb ik daar niks aan.
In praktijk wordt het dan wel eens opgelost door een audit te laten doen. Vervolgens krijg je een stuk papier van de auditor dat alles ok is. Maar eigenlijk ben je dan weer afhankelijk van afspraken. Typisch wordt die auditor ook nog gekozen door de leverancier zelf en de kwaliteitsgarantie bestaat uit nog meer afspraken.
Daarbij is mijn ervaring dat 90% van de audits vooral naar organisatorische aspecten kijkt en bijzonder weinig naar de daadwerkelijke implementatie van de techniek.

Helaas geeft zelfs een directe inspectie van de techniek geen keiharde garanties, zelfs als je zeker zou weten dat er geen bugs zijn, want software kan heel snel veranderen. De ene seconde draai je programma X en één seconde later kan dat vervangen zijn door programma Y en aan de buitenkant kun je het verschil niet zien. Technisch gezien is het uitdagend om na te denken hoe dat anders zou kunnen of moeten. Ik zie nog geen oplossing en alles wat ook maar lijkt op een oplossing wordt al snel heel draconisch. Denk bv aan chips die in je computer zitten waar je zelf niet de baas over bent maar iemand anders die de chips aanstuurt, al dan niet via internet. Voor de duidelijkheid, dat is geen spannende fantasie, dat soort chips zitten nu al in je computer, telefoon en TV (zie bv https://en.wikipedia.org/wiki/Intel_Management_Engine en https://en.wikipedia.org/wiki/Digital_rights_management).

Alles bij elkaar kom ik tot de conclusie dat het haast onmogelijk is om echt op computers(ystemen) te vertrouwen die je niet zelf beheerd. Daarbij moet je op z'n minst volledige controle hebben over alle crypto. Er zijn leveranciers die zogenaamde bring-your-own-key systemen helpen. Dat is een flinke stap de goede kant op maar je blijft terugkomen op het punt dat je zo'n systeem eigenlijk niet kan controleren.

Een goede stap om te maken zou polymorphe encryptie zijn. Dat komt er op neer dat je data kan bewerken zonder die eerst te ontsleutelen. Daarbij kun je de (wiskundige) garantie geven dat de uitvoerder zelf niks kan leren over de versleutelde data. De techniek bestaat op zich maar lijkt nog niet ver genoeg voor brede toepassing.

Zelfs dan nog, absolute zekerheid heb je nooit.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 14:31]

Het is maar net naar welke risico's je kijkt. Wil je de gegevens niet kwijt raken of wil je niet dat anderen bij je gegevens kunnen? Of wil je geen 'vendor lock-in' risico? Of iets met opensource/propriatry?

In het verleden werkte ik bij een Nederlandse organisatie met een eigen datacentrum in-huis en een uitwijk centrum elders in Nederland. Op zich aardig geregeld. Toen we werden overgenomen door een amerikaanse multinational was daar de stelregel dat een uitwijk-rekencentrum toch minimaal op 300 mile of 500 km afstand moest zijn om te voorkomen dat natuurrampen beide rekencentra zouden raken. Maar helaas waren we toen gebonden aan de eis dat de gegevens het land niet uit mochten. Welke regels ga je dan volgen?
Ik snap sowieso niet waarom de overheid niet hun geld uitgeeft aan nederlandse of op zijn minst europese aanbieders.

Zoals NPO draait hun hele Kubernetes infrastructuur bij Amazon. Zat Nederlandse/Europese aanbieders waar dat geld ook heen kan.
Ik snap sowieso niet waarom de overheid niet hun geld uitgeeft aan nederlandse of op zijn minst europese aanbieders.
Iedereen wil wel maar er is geen Europese aanbieder van hetzelfde niveau. En die gaat er ook niet komen.

Nu zal dat (zeker hier) wel weer betwist worden maar het is niet makkelijk om compliant te zijn. Daarnaast is innovatie hier gewoon niet-bestaan, daar is de markt, wetgeving en mentaliteit (durf) niet voor. Daarom concentreert het zich ook rond plaatsen als Silicon Vally.

Ook al zou je dat wel willen creëren, dat kost decennia.
Waarom zou je dit niet bij Europese partijen, zoals OVH of vergelijkbaar kunnen afnemen? Ik zie het probleem niet. Er zijn voldoende Europese alternatieven / hosting partijen beschikbaar. Daarnaast kun je ook goede afspraken maken en dit vastleggen in een contract.
Er zijn echt geen Europese partijen die vergelijkbaar zijn met de Hyperscalers.
Hun compliance, consultancy, flexibiliteit en gewoonweg gigantische investeringen in infrastructuur zijn gewoon niet te vergelijken.
Bedrijven zoals Amazon, Google en Microsoft concurreren met naties zoals China en VS op het gebeid van bijv infrastructuur, investeringen en onderzoeks afdelingen.

Alle Europese partijen bij elkaar komen daar nog niet bij in de buurt.

Dat is ook goed te zien aan bijvoorbeeld de grote van de bedrijven en de omzet.
OVH doet 439 miljoen omzet in het eerste half jaar van 2023. Totaal verwachten ze 880 miljoen in het hele jaar.
Microsoft Cloud Diensten gaan dit jaar 88 miljard omzetten. 100x zoveel.
Amazon AWS gaat dit jaar 80 miljard omzetten.
Google Cloud 26.3 miljard.
Bij de hyperscalers praat ik nu alleen maar over hun cloud omzet ga je hele bedrijven vergelijken dan is het verschil nog veel groter.

De oorlog in Oekranie is een goed voorbeeld waarom je als overheid zaken gaat doen met een hyperscaler ipv een kleinere hoster. AWS neemt even de hosting over van petabytes aan overheids data inclusief het organiseren van fysiek transport van disks vanaf de poolse grens. Microsoft heeft tientallen kritische bedrijven naar Azure gemigreerd terwijl dezelfde bedrijven continue het doelwit van Rusland waren.
Om maar niet te spreken van de rol die ze alledrie hebben gespeeld bij het voorkomen van vele hack pogingen van Rusland.

Ik zou graag willen dat er een Europese partij was die van het hetzelfde niveau is maar op dit moment zijn die er gewoon niet. En gezien de zeer beperkte budgetten voor innovatie op die gebied zullen die er voorlopig ook niet komen.

Dus innoveren kleinere hosters zoals OVH tuurlijk wel maar niet op het niveau van een hyperscaler.
Hun compliance, consultancy, flexibiliteit en gewoonweg gigantische investeringen in infrastructuur zijn gewoon niet te vergelijken.
Bedrijven zoals Amazon, Google en Microsoft concurreren met naties zoals China en VS op het gebeid van bijv infrastructuur, investeringen en onderzoeks afdelingen.

Alle Europese partijen bij elkaar komen daar nog niet bij in de buurt.
Maar zonder nieuwe klanten is het ook niet mogelijk om uit te breiden? Dus we moeten maar blijven investeren in Microsoft en Google etc. om ze nog groter te maken en de prijzen verder te laten verhogen?
Dat is ook goed te zien aan bijvoorbeeld de grote van de bedrijven en de omzet.
Niet heel vreemd uiteraard. Maar ik zie alsnog geen beren op de weg om Europese partijen over te slaan. Uiteraard is de integratie met Windows & andere Microsoft producten geweldig met Azure en daarom is het voor veel bedrijven de enige optie.
De oorlog in Oekranie is een goed voorbeeld waarom je als overheid zaken gaat doen met een hyperscaler ipv een kleinere hoster. AWS neemt even de hosting over van petabytes aan overheids data inclusief het organiseren van fysiek transport van disks vanaf de poolse grens. Microsoft heeft tientallen kritische bedrijven naar Azure gemigreerd terwijl dezelfde bedrijven continue het doelwit van Rusland waren.
Om maar niet te spreken van de rol die ze alledrie hebben gespeeld bij het voorkomen van vele hack pogingen van Rusland.
Ik durf niet te zeggen of andere partijen, zoals OVH, minder flexibel zijn en dit niet kunnen realiseren. Microsoft en Amazon hebben hier goede procedures voor. Maar als bedrijven niet aankloppen voor dit soort zaken, dan stopt het natuurlijk. Lijkt mij dat petabytes aan data geen probleem moet zijn.

Uiteindelijk heb je gelijk op het moment dat je de hyperscalers op deze specifieke gebieden vergelijkt met Europese providers. Nu werk ik ook vaak met Azure en zie dan ook dat er regelmatig gewoon geen capaciteit meer is in specifieke regio's en even moet wachten met het aanmaken van resources.

Europese partijen buitensluiten met o.a. bovenstaande redenen vind ik een kwalijke zaak. Gelukkig lopen er ook voldoende onderzoeken naar de machtsposities.
Het grootste probleem is dat de schaal grote qua achterstand op het gebied van investeringen in infrastructuur , mensen en research nu zo groot is dat het alleen maar met overheids geld op te lossen is.

En de onderzoeken naar machtsmisbruik maken niks uit zolang er niet met geld gesmeten gaat worden in Europa. Want ja dan roep en bewijs je dat Microsoft zijn macht misbruikt uiteindelijk krijg je daarmee geen alternatief. Dat is ook het grote verschil met bijv de Windows dagen toen kon je nog best wel roepen dan stappen er over naar Linux en klaar zijn we .

Nu gaat het om mega achterstanden in infrastructuur investeringen die op dit moment alleen maar groter worden per maand.

Bij ai zie je hetzelfde gebeuren Microsoft investeert meer in eigen ai capaciteit en open ai (chat gpt)in 2023 dan het totale eu budget voor nieuwe technologie. Hoe moeten Europese partijen daar in Gods naam serieus mee concurreren?

Dus wat krijg je straks dat de facto standaard weer van een de grote partijen komt en dan mag een Europese partij het model in licentie nemen en doorverkopen.

En nee een partij als ovh kan niet binnen een paar dagen de hosting van compleet land overnemen daar zijn ze gewoon te veel te klein voor . Ze kunnen misschien net als ze iedereen daarvoor in zouden zetten de support leveren voor bijv het stukje storage van zon probleem.

Dus we zijn het eens dat er een Europees alternatief moet komen maar dan moet de overheid eerst een serieuze zak geld meebrengen (we praten hier voor alle duidelijkheid over bedragen die Nederland nooit in zijn eentje kan opbrengen) en wanneer dat geregeld is kun je massaal gaan overstappen. Uitzondering natuurlijk projecten die echt niks bijzonders nodig hebben .
OVH innoveert niets, het is een hoster. Azure, GCP en AWS zijn meer dan enkel een plaatst waar je een VM start...

Voorbeeld: Waarom gaat iedereen naar Exchange Online of Gmail in plaats van naar een hosted mailbox bij OVH? Omdat je veel meer krijgt bij Microsoft en die letterlijk de software maakt waar OVH e-mail op draait (hosted Exchange)
OVHCloud innoveert niets..? Je kent OVH dus niet. De tijd dat ze alleen VM’s en baremetal servers opleveren is al jaren voorbij.

Microsoft 365 is een heel ander verhaal, maar dat staat los van het feit dat het prima mogelijk is om binnen de EU een contract te sluiten met een EU cloudprovider.
Je kent OVH dus niet
Nou, daar ga ik niet tegenin. Maar het probleem is dat heel rijksoverheid en de rest OVH ook niet kent...
Ze mogen wel wat doen aan hun reputatie dan... Zeker gezien de overheid voor hun diensten alleen maar naar Microsoft kijkt.
Exact dit! Niet alleen geld, maar de VS staat niet bekend om z'n afkeer tegen spionage.
Ik snap sowieso niet waarom de overheid niet hun geld uitgeeft aan nederlandse of op zijn minst europese aanbieders.
Er is een soort perverse prikkel in de security wereld waarbij beveiliging gelijk gesteld wordt aan het vermogen om je overal onderuit te praten. De vragende partij stelt een hoop eisen om tot een veilige situatie te komen. Eigenlijk voldoet niemand daar aan maar de grote partijen met veel slimme verkopers en juristen weten er steeds een draai aan te geven. Iedere poging om dat moeilijker te maken is vooral lastig voor de kleine partijen die gewoon eerlijk antwoord geven in plaats van alle vragen te ontwijken met sofisterij.
Alleen de allergrootsten leveranciers zijn in staat om, in ieder geval op papier, te voldoen aan alle wensen en eisen van de overheid. Het lijkt soms een bewuste strategie om overal "ja" op te zeggen om de opdracht maar binnen te slepen in de verwachting dat ze toch wel onder de afspraken uit komen, als die uberhaupt ooit echt gecontroleerd worden.
Wat ik heel bijzonder vind is dat de aanpassingen van Google alleen voor de Rijksoverheid lijken te gelden. Het lijkt erop dat geaccepteerd wordt dat Google niet aan de AVG voldoet bij het aanbieden van diensten aan andere partijen.
Je stelt het iets te simpel als klant van Google moet je aan de AVG voldoen, vervolgens is het maar de vraag wat je bij Google stalt en welke data dat betreft of het wel of niet akkoord is. De overheid heeft per definitie meer data die goed volgens de AVG beschermt moet worden. Een webshop veel minder, je naam adres en e-mail zijn toch anders dan je BSN nummer.
Daar gaat het precies om. De Rijksoverheid krijgt voorwaarden waarmee data bij Google geplaatst kan worden. Jij en ik krijgen die voorwaarden niet.
Als jij met Google afspreek de aankomende X jaar voor minimaal Y miljoen euro aan diensten af te nemen kun jij ook deze voorwaarden krijgen. Hoe groter de X en/of Y hoe beter de voorwaarden die je kunt krijgen.
Zie het meer als een groot inkopen. En dat een paar jaar achter elkaar gegarandeerd. Dan kun je bij de leverancier speciale voorwaarden krijgen. En dat is van toepassing op hardware, software en diensten.
Heeft Albert Heijn (ervan uitgaande dat die nog steeds Google Workspaces gebruiken) ook zo'n aparte deal? Moet iedere klant van Google individueel onderhandelen zodat die klant aan de AVG kan voldoen?

Zoals ik het zie kan de Autoriteit Persoonsgegevens heel simpel heel veel rechtzaken starten tegen veel (ook) grote klanten van Google. Die voldoen volgens mij allemaal niet aan de AVG als de data bij Google staat. Voor Microsoft 365 geldt ongetwijfeld hetzelfde.
Daar gaat het precies om. De Rijksoverheid krijgt voorwaarden waarmee data bij Google geplaatst kan worden. Jij en ik krijgen die voorwaarden niet.
Deze zelfde vragen werden ook gesteld tijdens de discussie over Office 365.
Voor zover ik het begrepen heb zijn de extra afspraken vooral papieren / ondertekende beloftes dat er niets met verzamelde informatie gedaan wordt.

De 'normale' klanten krijgen dus hetzelfde maar de overheid heeft extra een ondertekende belofte van Microsoft / Google. Dit ging echter over specifieke vraagstukken, dus neem het met een korrel zout.
Waarom kost het Google een heel jaar om alleen op papier toezeggingen te doen? Ik geloof er niets van dat er niet ook aanpassingen in het systeem zijn gedaan.
Waarom kost het Google een heel jaar om alleen op papier toezeggingen te doen?
Je hebt zeker nog nooit met de overheid van doen gehad? Of ooit iets juridisch hoeven doen? Een jaar is dan echt helemaal niets...

Ik geloof er niets van dat er niet ook aanpassingen in het systeem zijn gedaan.
Google gaat echt aanpassingen aan hun systeem doen om dat de Nederlandse overheid dat wil...
Microsoft heeft dat in het verleden wel gedaan speciaal voor Duitsland maar daar zijn ze ook jaren geleden van teruggekomen. Het hele idee van grote cloud's zoals Azure is dat het allemaal hetzelfde is en met hetzelfde tempo ontwikkeld kan worden. Allemaal uitzonderingen maken kan dan niet werken. Dat leer je trouwens heel snel in IT. Uitzonderingen zijn altijd je pijnpunt en kosten simpelweg te veel.
Bij Microsoft is dat niet anders, die heeft ook exclusief voor onze overheid een paar AVG aanpassingen gedaan die voor ons normale plebs niet beschikbaar is.
Als jij en ik potentieel (honderden) miljoenen kunnen gaan uitgeven bij Google dan krijg jij wellicht die voorwaarden ook als je heel hard vasthoud aan die eis. Zeker als jij als Google klant kan leiden tot veel meer en veel grotere klanten (zoals de rest van de EU)...
Klopt en dat is bij Microsoft precies hetzelfde. Goede regeling getroffen voor Rijksoverheid en scholen, ondertussen moeten bedrijven het individueel maar uitzoeken, laat staan jij als consument.
De overheid moet er op toe zien dat aan de AVG wordt voldaan.

Voor jou als gebruiker voldoet Google daar voor het grootste deel aan omdat jijzelf in de gebruikersovereenkomst akkoord gaat met heel veel soorten verwerking van jouw persoonsgegevens. Voor het deel dat ze ook met die toestemming nog steeds niet voldoen aan de AVG wordt continu overlegd op EU-niveau en krijgen ze af en toe ook boetes (al zal dat natuurlijk lang niet alles oplossen).

Voor de overheid als gebruiker van Google diensten kan jij, als burger, geen toestemming geven (of wanneer je die optie zou hebben zou je die toestemming kunnen weigeren). Dus moet de overheid alle verwerking van persoonsgegevens door Google zodanig dichttimmeren dat alleen de toegestane verwerkingsmogelijkheden overblijven waarvoor géén toestemming voor hoeft te worden verleend.
Wanneer de overheid (of een willekeurige dienst van de overheid) bv. van gmail gebruik gaat maken (of email met het eigen domeinnaam via de Google mailservers wil laten lopen), dan zijn het ontvangen, opslaan en verzenden verwerkingen die noodzakelijk zijn om de dienst uit te kunnen voeren. Ze kunnen de inhoud van de emails (waarin de ene ambtenaar het met de andere ambtenaar het bv. over de uitkering van een bepaalde persoon heeft) dan niet scannen op bv. afspraken die ze in een agenda moeten zetten of op basis waarvan ze advertenties kunnen aanbieden.

De overheid moet dus met afzonderlijke afspraken goed dichttimmeren. Jij, als burger kan hooguit kiezen niet van de Google diensten gebruik te maken (beperkt, wanneer je bv. communiceert met iemand die wél van die diensten gebruik maakt).
Wat ik heel bijzonder vind is dat de aanpassingen van Google alleen voor de Rijksoverheid lijken te gelden.
Waarom lijkt dat zo? Ik zie dat ze het over Google Workspace hebben en dat is gewoon de zakelijke variant van Google die niet enkel voor de (rijks)overheid is.
Ik volg deze saga al vanaf het begin. Voor zover ik uit alle communicatie begrijp geeft Google andere voorwaarden voor Google Workspace aan de Rijksoverheid dan aan jou en mij. Voor zover ik begrijp mag Google dingen met jouw en mijn data die het niet mag met data van de Rijksoverheid.
Een beetje hoe microsoft ook doet al jaren met Windows toch?
Daar woord het ook normaal geacht.. Beetje krom maar is wel zo.
Een beetje hoe microsoft ook doet al jaren met Windows toch?
Daar woord het ook normaal geacht.. Beetje krom maar is wel zo.
Door wie wordt dat normaal geacht? Ik ken niemand die het normaal vindt. Mensen weten het alleen niet en denken dat die aanpassingen voor iedereen zijn. Er is een wijdverbreid gevoel van "als andere organisaties het doen dan zal het wel goed zijn". Dat kan ook haast niet anders want als een normaal bedrijf krijgt niks gedaan bij de mega-tech. Het is al snel slikken of stikken en of dat volgens de wet is dat is jouw probleem.
Voor zover ik begrijp mag Google dingen met jouw en mijn data die het niet mag met data van de Rijksoverheid.
Wat ik ervan begrijp is dat het om analytische data gaat. Ja, Google (en Microsoft) verzameld analytische data van hun zakelijke klanten, bijvoorbeeld om 'hun producten te verbeteren'. Volgens gaan deze afspraken bijvoorbeeld over het feit dat ze geen analytische data van overheden gebruiken (of direct verwijderen, inhoudelijk ken ik de afspraken niet).
Dit gaat alleen over Google Workspaces (i.e. email, docs, ...).
Niet over de Google Cloud diensten. De Google Cloud diensten hadden geen problemen als ik het goed lees.
Het is een gegeven dat "alles" naar de cloud gaat. Desondanks ben ik sceptisch en van mening dat wij als land/burger te veel vertrouwen hebben in de grote cloud providers. Tevens heb je als burger geen enkele zeggenschap als die data in vertrouwen wordt gegeven bij buienlandse cloud providers (met buitenlandse geheimen diensten)

Als straks "alles" in de cloud van enkele grote providers zit zijn de gevolgen niet te overzien als er een succesvolle inbraak plaats vind. Ik realiseer mij dat een grote provider zijn security beter op orde kan hebben dan dan een Enterprise/SMB met enkele beheerders, echter vindt ik de verspreiding van systemen/data en in eigen control zijn een groot pluspunt t.o.v. de cloud.

[Reactie gewijzigd door digibaro op 22 juli 2024 14:31]

Ik blokkeer Google Analytics op alle sites waar ik kom maar dat doe ik vooral vanwege die SEO blaaskaken, niet vanwege Google.

Voor de rest heb ik het al lang opgegeven dat er ook maar iets privacy vriendelijks is aan Google.
Vraag me toch af hoe dit zit voor andere Workspace klanten. Eerst was het Education pakket, daar gelden onder de AVG geloof ik nog striktere regels omdat het om (minderjarige) kinderen gaat. Maar voor de overheid gelden qua AVG volgens mij dezelfde regels als voor elk commercieel bedrijf wat persoonsgegevens verwerkt.

Dus fijn dat de overheid het voor zichzelf oplost maar hebben Nederlandse en Europese bedriven hier ook iets aan of zijn zij nu onder de standaard voorwaarden dan alleemaal niet "AVG compliant" als ze Google Workspace gebruiken?

edit: typo

[Reactie gewijzigd door Plompie op 22 juli 2024 14:31]

Op dit item kan niet meer gereageerd worden.