Toezichthouder: Europese Commissie schendt privacywet met gebruik Microsoft 365

De Europese Commissie heeft de privacyregels geschonden door Microsoft 365 te gebruiken. Dat zegt de Europese toezichthouder voor gegevensbescherming EDPS. De Commissie wordt opgedragen om per 9 december te stoppen met het delen van data met de techgigant.

Volgens de European Data Protection Supervisor, oftewel EDPS, heeft de Europese Commissie onvoldoende maatregelen genomen om persoonlijke data die naar landen buiten de EU en de Europese Economische Ruimte wordt gestuurd te beschermen. De EDPS stelt dat uit het contract met Microsoft niet duidelijk blijkt welke soorten persoonlijke gegevens het Microsoft 365-officepakket verzamelt en voor welke doeleinden. Microsoft 365 bestaat onder meer uit software als Word, Outlook, Teams, Exchange en SharePoint.

De EDPS heeft de Commissie opgedragen om te stoppen met alle gegevensoverdracht door het gebruik van Microsoft 365-software naar de Amerikaanse techgigant en dochterondernemingen in landen die geen privacyovereenkomst hebben met de EU. De deadline hiervoor ligt op 9 december. Het besluit van de EDPS volgt na een drie jaar durend onderzoek. De aanleiding voor het onderzoek komt voort uit zorgen over de overdracht van persoonlijke gegevens naar de Verenigde Staten, na de onthullingen van klokkenluider Edward Snowden over massasurveillance door de VS.

IT-banen

Reacties (78)

Deguchi 11 maart 2024 15:03

Ik probeer de Annex te verstaan, maar ik vrees dat ik deze tracht te lezen vanuit een technisch standpunt en niet het legalees dat het is.

1.2.1

carrying out a transfer-mapping exercise identifying what personal data are transferred to which recipients in which third countries, for which purposes and subject to which safeguards, including an onward transfers (infringements listed in paragraph 3.a and b, first indent, below);

Hoe doe je dit?

Reden dat ik het vraag: zijn we dan allemaal niet de GDPR aan het schenden als we M365 gebruiken?
Microsoft beweert alvast dat ze compliant zijn: https://learn.microsoft.com/en-us/compliance/regulatory/gdpr

Dus ik vind de redenering van de toezichthouder wat raar in dit geval. Je zou denken dat de bewijslast en de te nemen acties volledig bij MS zouden liggen en niet bij de EC? De EC kan toch niet weten wat MS allemaal doorgeeft (zeker al niet als ze beweren dit niet te doen).

Ik mis waarschijnlijk veel te veel context om dit artikel correct te begrijpen, maar ben zeker wel geinteresseerd naar meer info, dus als iemand nuttige toevoegingen heeft, graag!

Heroic_Nonsense

@Deguchi • 11 maart 2024 15:39

Plat gezegd: door dat in kaart te brengen. Een transfermap is een document waar per dataelement (bijvoorbeeld voor- en achternaam, geboortedata, inkomen etc.) is aangegeven waar het naar toe gaat en hoe het daar komt. Dus via welke verbinding komt het in welke database van welke provider en hoe heet die tabel en het veld dan, en wie is verantwoordelijk voor dat alles (liefst opgesplitst).

Maar dat is hier niet het probleem - ik vind het dan ook een rare conclusie in de annex. Het is namelijk niet alsof de EU (en andere M365-klanten) niet weten dát, en wélke data ze met Microsoft delen, maar meer dat de EDPS niet voor waar aanneemt dat Microsoft die data niet op eerste verzoek onverwijld aan de Amerikaanse overheid moet en gaat overhandigen. Dat is ook wat er met de Snowden-opmerking wordt bedoeld.

Dus, ook al stel je een transfermap op waar Microsoft keurig op staat, en per dataelement ook is aangegeven waar het in de Microsoft-infrastrucutuur wordt opgeslagen, dan nog biedt dat geen garantie dat je data wordt overhandigd aan de Amerikaanse overheid (althans, dat is de angst van EDPS).

De Patriot Act is al lang niet meer van kracht, maar er is ondertussen wel vervangende, soortgelijke wetgeving in de VS aangenomen. Dus op zich snap ik de angst van EDPS wel. Maar Microsoft (en Amazon, Apple, Google en Meta) geven aan dat de Europese activiteiten juridisch en technisch los staan van de Amerikaanse activiteiten, en ze daarom niet op verzoek de data van hun Europese klanten in hun Europese cloudinfra hoeven te overhandigen.

tedvg @Heroic_Nonsense • 11 maart 2024 18:19

De Patriot Act is al lang niet meer van kracht, maar er is ondertussen wel vervangende, soortgelijke wetgeving in de VS aangenomen.

Je doelt waarschijnlijk op de CLOUD-Act (Clarifying Lawful Overseas Use of Data Act).
NCSC heeft daar een mooie blog over: https://www.ncsc.nl/actue...-bij-dataopslag-in-europa

Eén van de meest besproken voorbeelden van botsende wetgeving is die tussen de Amerikaanse CLOUD-Act (voluit Clarifying Lawful Overseas Use of Data Act) en Europese regels op het gebied van gegevensbescherming en informatiebeveiliging. Europese data die in de VS wordt verwerkt of opgeslagen moet daar beveiligd worden volgens de Europese General Data Protection Regulation (GDPR, in Nederland de AVG). Tegelijkertijd valt deze data ook onder het Amerikaanse wettelijke regime dat toeziet op de toegang tot die data. De CLOUD-Act maakt het mogelijk dat de federale rechtshandhaving in de Verenigde Staten technologiebedrijven via een bevelschrift of dagvaarding kan dwingen de gevraagde gegevens van gebruikers te verstrekken, ook al zijn die gegevens opgeslagen op buitenlands grondgebied. Veel deskundigen gaan ervan uit dat dit risico niet bestaat als data wordt verwerkt door een Europese dienstverlener, en zeker als dat gebeurt binnen Europa. Juridisch gezien ligt dat echter genuanceerder en geldt dat de Amerikaanse CLOUD-Act ook van toepassing kan zijn op gegevensverwerkingen buiten de VS, bijvoorbeeld in de EU.

vDorst @Heroic_Nonsense • 11 maart 2024 16:01

De Patriot Act is al lang niet meer van kracht, maar er is ondertussen wel vervangende, soortgelijke wetgeving in de VS aangenomen. Dus op zich snap ik de angst van EDPS wel. Maar Microsoft (en Amazon, Apple, Google en Meta) geven aan dat de Europese activiteiten juridisch en technisch los staan van de Amerikaanse activiteiten, en ze daarom niet op verzoek de data van hun Europese klanten in hun Europese cloudinfra hoeven te overhandigen.

Grappige is dat ze laatste nog bij een NL rechtzaak zeiden dat ze dingen niet mochten omdat het verboden was in de VS. Dus blijkbaar zijn ze toch niet helemaal gescheiden.
ZIe Klovan in 'Microsoft moet blokkade Nederlands OneDrive-account opheffen van rechter'

Getto @vDorst • 11 maart 2024 20:28

In het andere artikel gaat het over de consumenten variant van OneDrive en niet de zakelijke M365 Onedrive. Volgens mij (dit weet ik niet 100% zeker) zijn alleen de zakelijke varianten van M365 en Azure zo ingericht dat Microsoft niet op data verzoeken van de US hoeft in te gaan.

sebati @Getto • 12 maart 2024 07:41

Dat is niet correct, ook voor de 'zakelijke variant' geld dat moet worden meegewerkt aan data verzoeken.

BeosBeing @Getto • 18 maart 2024 11:30

Volgens mij (dit weet ik niet 100% zeker) zijn alleen de zakelijke varianten van M365 en Azure zo ingericht dat Microsoft niet op data verzoeken van de US hoeft in te gaan.

Dat zou vreemd zijn. Nu ken ik de Amerikaanse wetgeving niet zo goed (verschilt ook van staat tot staat, maar hier gaat het uiteraard over de federale wetgeving) maar wat ik wel weet is
- dat je in Nederland als bedrijf altijd moet meewerken met een informatieverzoek over een derde.
- dat je in Nederland als privé-persoon meewerking aan zo'n informatieverzoek kan weigeren. Dat kan dan bijvoorbeeld zijn omdat het een gezins- of familielid betreft, maar ook omdat je bang bent voor represailles van de kant van de verdachte.
Iedere jurist kan daar uitsluitsel en verduidelijking in geven, @Arnoud Engelfriet bijvoorbeeld (sorry, ik weet geen namen van andere juristen die hier aktief zijn)

Één groot verschil is dat er hier geen zwijgplicht is zoals bij de Amerikaanse FISA-verzoeken, en dat het hier niet in een geheime rechtbank plaatsvindt. Het kan zijn dat een gevoelige kwestie achter gesloten deuren behandeld wordt, bv als het minderjarigen betreft, maar de uitspraak is openbaar. Dat laatste is bij FISA niet het geval.

Arnoud Engelfriet @BeosBeing • 18 maart 2024 11:40

Op hoofdlijnen heb je gelijk, maar de data moet wel onder jouw verantwoordelijkheid vallen. Als Justitie de schoonmaker zou sommeren de boeken van Shell te overhandigen, dan hoeft deze natuurlijk niet in te breken bij de accountant om aan dat bevel te voldoen. Zo'n bevel moeten ze aan de accountant geven (en die heeft mogelijk verschoningsrecht).

De constructie die je bij deze wetgeving vaak ziet, is dat je de Europese data in een dochterbedrijf stopt dat fysiek en juridisch in de EU gevestigd is, en daarbij vastlegt (in de statuten e.d.) plus technisch borgt dat men vanuit Amerika er niet bij kan. Als Microsoft Inc uit Redmond, WA het wachtwoord niet heeft, hoe willen ze dan de data verkrijgen?

En nee, "dan bevelen ze de directie in Nederland om het wachtwoord te geven/een zipfile te sturen" is geen antwoord: een moederbedrijf mag geen dagelijkse instructies geven aan de directie van een dochterbedrijf. De directie bestuurt, en het moederbedrijf kan een onwelgevallige directie alleen ontslaan als die het niet goed doet. En ontslaan is een publieke kwestie, dus als er verder niets is en de directie van de Europese "FISA-safe" dochter treedt ineens af zonder commentaar dan is dat nogal een signaal.

Die directie zal ook niet eenvoudig om te kopen zijn, want het is hun verantwoordelijkheid (en hun strafbaarheid) dat ze zich aan de Europese regels houdt en goed bestuurt.

BeosBeing @Arnoud Engelfriet • 18 maart 2024 13:12

Hartelijk dank

Op hoofdlijnen heb je gelijk,

Het ging me om de hoofdlijnen

Als Justitie de schoonmaker zou sommeren de boeken van Shell te overhandigen, dan hoeft deze natuurlijk niet in te breken bij de accountant om aan dat bevel te voldoen.

Inderdaad, die schoonmaker heeft die boeken niet. Wat wel zou kunnen is dat die schoonmaker ook de prullenbakken leegt en vervolgens moet vertellen wat er in de prullenbakken zat. Dan ga je eigenlijk al erg ver, want het is niet gebruikelijk dat de schoonmaker (of de afvalverwerker) dat nakijkt. Als die een contract heeft waar dat in staat dan is het waarschijnlijk al automatisch versnippert.

De constructie die je bij deze wetgeving vaak ziet,

Interessante aanvulling. Deze constructie had ik me nog niet gerealiseerd.

En nee, "dan bevelen ze de directie in Nederland om het wachtwoord te geven/een zipfile te sturen" is geen antwoord: een moederbedrijf mag geen dagelijkse instructies geven aan de directie van een dochterbedrijf.

Daar komt dan wel de vraag waar de grens licht. Het moederbedrijf mag natuurlijk de financiële data van het dochterbedrijf vragen en zo nog wat andere dingen, als het vertrouwelijke data zijn die onder GDPR valt niet, maar andere concurrentiegevoelige gegevens van de zakelijke klant (offerteprijzen, kostenberekenigen)? Ook die wil je als klant niet bij je Amerikaanse concurrent.

En ontslaan is een publieke kwestie, dus als er verder niets is en de directie van de Europese "FISA-safe" dochter treedt ineens af zonder commentaar dan is dat nogal een signaal.

Klopt, maar dan zijn je gegevens waarschijnlijk al onderweg naar de NSA.

Die directie zal ook niet eenvoudig om te kopen zijn, want het is hun verantwoordelijkheid (en hun strafbaarheid) dat ze zich aan de Europese regels houdt en goed bestuurt.

klopt, maar met een afgetreden directie zal de moeder het personeel instrueren en die kunnen zich het vaak niet veroorloven om ontslagen te worden.

Arnoud Engelfriet @BeosBeing • 18 maart 2024 14:45

Je denkt niet dat na aftreden onder zulke omstandigheden de Europese Commissie een toezichthouder invliegt om bij de interimdirectie aan tafel te zitten? Of een inval om de logs in beslag te nemen?

BeosBeing @Arnoud Engelfriet • 19 maart 2024 13:12

Je denkt niet dat na aftreden onder zulke omstandigheden de Europese Commissie een toezichthouder invliegt om bij de interimdirectie aan tafel te zitten? Of een inval om de logs in beslag te nemen?

De toezichthouder in Nederland heeft een gigantische ondercapaciteit - meerdere toezichthouders hier hebben dat - dus gebeurt dat misschien bij een hele grote partij waarvan het breeduit in de media komt of als er gelijk iemand een klacht heeft ingediend. Als de betreffende partij minder in het oog loopt, of minder naamsbekendheid heeft, zullen ze al snel te laat komen. Daarbij zal die interimdirecteur waarschijnlijk een ingevlogen Amerikaan zijn, en Amerika levert haar staatsburgers niet uit - dat in tegenstelling tot Nederland. Nee ik heb wat dat betreft heel weinig vertrouwen in de Nederlandse overheid.

Willen ze die interimdirectie dus ondervragen dan zullen ze die met een militaire actie uit de VS moeten weghalen, ik herinner me nu dat een dergelijke aktie in Libië al fout ging, moet je indenken dat je zoiets zou willen doen zonder dat de Amerikaanse strijdmachten het opmerken.

Een tweede voorbeeld: de Nederlandse ornitholoog Ewold Horn werd samen met de Zwitser Lorenzo Vinciguerra op 1 februari 2012 ontvoerd door Aby Sayyaf. Die zwitser wist te ontsnappen in 2014 tijdens een beschieting door het Filipijnse leger. Ook andere gijzelaars van Abu Sayyaf en soortgelijke groepen zijn in de loop der jaren ontsnapt, bevrijd of vrijgelaten waaronder de Franse televisie reporter Maryse Burgot, cameraman Jean-Jacques Le Garrec en geluidstechnicus Roland Madura, twee maanden na hun ontvoering. De Franse overheid voert regelmatig bevrijdingsoperaties uit met name in West-Afrika.

De Nederlandse overheid heeft echter nooit iets gedaan voor Horn. Onderstaande twee artikelen zijn in deze veelzeggend
https://nltimes.nl/2019/0...ns-death-lack-govt-effort
https://opinion.inquirer....tten-last-foreign-hostage

Nederland doet niets behalve heel incidenteel diplomatiek bemiddelen met buitenlandse overheden als er Nederlanders voor drugs-vergrijpen worden veroordeeld. Dat is dan vooral omdat de familie hier de pers weet te vinden.

dimdek @Heroic_Nonsense • 12 maart 2024 15:22

Er zijn al eerder onderzoeken geweest naar de telemetriedata die vanuit Microsoft producten wordt verstuurd. Ik heb begrepen dat zelfs Microsoft niet kan aangeven welke data er wordt verstuurd omdat dat afhankelijk is van wat hun 'klanten' op dat moment graag willen hebben. Om die reden heb ik het al heel lang raar gevonden dat dit niet eerder een issue was. Dat het de privacywetten schaadt lijkt mij eigenlijk vrij logisch en zeker als het overheden betreft die aan documenten met persoonsgegevens van burgers werken.
Overigens snap ik ook niet dat er nog dikwijls (documenten met) persoonsgegevens van en naar mailservers van Microsoft en Google worden verstuurd terwijl bekend is dat die data uitvoerig wordt uitgeplozen.

marktweakt @Deguchi • 11 maart 2024 15:49

Ik ben ook geen jurist Europees recht maar volgens mij kun je je als grote klant van Microsoft er niet achter verschuilen dat Microsoft het maar moet aantonen. Jij bent de gegevensbewaarder en als je een contract met Microsoft aangaat dan moet jij je ervan vergewissen dat Microsoft niet de GDPR overtreed. Kun je dat niet dan mag je geen overeenkomst met hun aangaan volgens mij.

Als je zelf je persoonlijke gegevens via M365 buiten de GDPR om wil delen met o.a. de Amerikaanse overheid dan is dat jouw keuze. Maar de EC verwerkt heel veel gegevens van Europese burgers die daar geen toestemming voor hebben gegeven en dan mogen zij dat dus niet.

[Reactie gewijzigd door marktweakt op 22 juli 2024 21:53]

Zebby @Deguchi • 11 maart 2024 19:44

In mijn mening, correct, MS kan niet aan de GDPR voldoen.
Even heel plat - MS is Amerikaans, en ook al bieden zij hier diensten aan, de Amerikaanse wet weegt het zwaarst.
Dus ook al voldoen zij op papier aan de GDPR, zodra Amerika zegt dat zij bepaalde data willen hebben dan MOET MS dat overhandigen. En dan voldoen ze dus niet aan de GDPR.

En daarom versleutel je zelf alles dat belangrijk is op een manier dat zij niks aan je data hebben

GarBaGe 11 maart 2024 14:53

Waarom gebruikt de Europese Commissie een cloud infra?
Landsgrenzen zijn toch zo belangrijk?
Je kan de oudere versie van MS gewoon lokaal installeren en beheren.
Denk aan Exchange Server etc etc etc

firest0rm @GarBaGe • 11 maart 2024 15:23

Omdat het hosten van een service die moet voldoen aan verwachtingen en veiligheidseisen niet zo maar ff op een lokale server gedraaid kan en mag worden.

Microsoft bied garanties die een gemiddeld EU tech bedrijf niet kan bieden/garanderen.

Blijf het apart vinden dat men het veiliger denkt te vinden om zelf lokaal te hosten... dat is het per definitie gewoon niet. Bij Microsoft werkt een specialistisch team die specifiek op de security tak zit. Enige probleem is patriot act.

Ik wacht nog steeds op een goed schaalbaar EU alternatief die ook een hele Office suite kan leveren en active directory kan bieden.

AgamemnonZ @firest0rm • 11 maart 2024 16:02

Dat schaalbare EU alternatief heet Nextcloud en is ook nog eens open source. Als office suite gebruiken ze Collabora (oftewel online LibreOffice). Ik was zojuist nog in MS 365 Word bezig en loop daar tegen meer bugs aan dan in Nextcloud/Collabora.

Qua security. Er zijn genoeg grote EU hosting partijen die Nextcloud veilig aanbieden. Denk aan OVH of Deutsche Telekom. Het MagentaCLOUD van Deutsche Telekom met 2,2 miljoen gebruikers draait op Nextcloud.

In Duitsland en Frankrijk zijn er al aardig wat overheidsinstellingen die Nextcloud gebruiken. De Europese Commissie en alle andere overheidsinstellingen moeten gewoon de overstap maken.

[Reactie gewijzigd door AgamemnonZ op 22 juli 2024 21:53]

firest0rm @AgamemnonZ • 11 maart 2024 16:27

Draait Nextcloud deze diensten op infrastructuur dat niet onderhevig is aan Amerikaanse leveranciers?
Onderdanderen op chip niveau? Zo nee dan voldoet dit niet.

AgamemnonZ @firest0rm • 11 maart 2024 16:31

Ja er zijn EU hostingproviders die gewoon hun eigen datacenters hebben en geen gebruik maken van Amerikaanse infrastructuur. Wat betreft chips. Volgens mij eist de EDPS niet dat de chips van een EU bedrijf moeten komen.

[Reactie gewijzigd door AgamemnonZ op 22 juli 2024 21:53]

feuniks @AgamemnonZ • 11 maart 2024 20:20

Dat klopt. Alleen moet je wel heel erg goed uitkijken of zo'n Europese hosting provider niet ergens onder water een dochter is van een Amerikaanse, zaken doet in de VS of dochter is van een bedrijf wat er zaken doet. In die gevallen kan het namelijk zijn dat de VS alsnog de gegevens kan opvragen op basis van de Amerikaanse wetgeving. (of torenhoge boetes kan opleggen als de data niet wordt vrijgegeven.)

firest0rm @AgamemnonZ • 12 maart 2024 10:15

Hebben die hosting providers beschikbaarheid zones waarbij die verdeeld zijn over geografische gekozen landen binnen de ecc? Kunnen die een uptime garanderen van 99.999%?
Zit er team achter die proactief data security bied en zo danig de software daarvoor ontwikkeld om dit vervolgens te patchen?

wiseger @firest0rm • 12 maart 2024 13:29

Ik heb nog nooit maar dan ook echt nog nooit een leverancier meegemaakt die een uptime van 99,999 procent garandeerde en dat ook nog waar maakte ook. Het is echt hele grote onzin zulke zaken te stellen.

Voor jou begrip, 99,999% is 1 op de 100.000. Dat betekent dat je maar 1 dag downtime mag hebben er 273 jaar!

firest0rm @wiseger • 13 maart 2024 08:04

Microsoft: https://learn.microsoft.c...ected/reliability/metrics
AWS: https://docs.aws.amazon.c...-time-under-1-minute.html
Google: https://www.linkedin.com/...cloud-storage-mayur-rathi

Alle grote cloud providers bieden die mogelijkheid aan.

Dus nee geen grote onzin, dit is een maat staaf waar bedrijven in Europa aan moeten voldoen om te kunnen concurreren met Amerikaanse cloud diensten.

[Reactie gewijzigd door firest0rm op 22 juli 2024 21:53]

wiseger @firest0rm • 13 maart 2024 09:53

Het is de grootste onzin waar helaas mensen in trappen. Kijk maar een jaartje geleden op 25 januari 2023:

Storing Azure

Zie je het probleem, een storing in Azure van 5,5 uur. Zorgde voor downtime bij gemeentes en zelfs bij de tweede kamer. Deze korte storing zorgt er al voor dat Microsoft nimmer meer een uptime van 99,999 procent gaat halen.

Wat ik altijd doe bij bedrijven die met dit soort onzin komen, vraag om de boete-clausule als ze de beloofde uptime niet halen. Moet je kijken hoe snel ze over zaken als 'best-effort' beginnen te murmelen met een rood hoofd.

firest0rm @wiseger • 13 maart 2024 10:34

Deze korte storing zorgt er al voor dat Microsoft nimmer meer een uptime van 99,999 procent gaat halen.

De gemeente heeft hoogstwaarschijnlijk niet de dienst afgenomen incombinatie met een uptime van 99,999. (Waarschijnlijk te duur voor gemeente en overbodig)
Als cloud providers een SLA aanbieden en dit vervolgens niet halen krijgen ze schadeclaims.
Hoe dan ook ze bieden het aan met een reden en die reden is dat ze het dus wel gewoon kunnen halen.

Wat ik altijd doe bij bedrijven die met dit soort onzin komen, vraag om de boete-clausule als ze de beloofde uptime niet halen. Moet je kijken hoe snel ze over zaken als 'best-effort' beginnen te murmelen met een rood hoofd.

Dit doen cloud providers al, kijk naar de SLA.

[Reactie gewijzigd door firest0rm op 22 juli 2024 21:53]

wiseger @firest0rm • 13 maart 2024 11:08

We hebben het hier over Office 365. Dat gebruikt wordt door gemeentes, door de tweede kamer maar ook door de Europese commissie.

De EDPS heeft de Commissie opgedragen om te stoppen met alle gegevensoverdracht door het gebruik van Microsoft 365-software naar de Amerikaanse techgigant en dochterondernemingen in landen die geen privacyovereenkomst hebben met de EU

Jouw argument was dat anderen in Europa geen 99,999 procent uptime kunnen garanderen. Dat argument weerleg ik door te wijzen op de wereldwijde Azure storing verleden jaar januari waardoor gemeentes en de tweede kamer 5,5 uur downtime hadden.

Dat kom je met een nieuw argument, je moet een 'speciaal' Office 365 contract afgesloten hebben om een uptime van 99,999 te krijgen? En dan zeg je zelf dat een dergelijk speciaal contract, als het al bestaat, overkill zou zijn?

Kortom, die hele 99,999 procent eis is totaal overbodig en niet nodig om binnen Europa een alternatief voor Office 365 te draaien.

firest0rm @wiseger • 13 maart 2024 11:20

Dat kom je met een nieuw argument, je moet een 'speciaal' Office 365 contract afgesloten hebben om een uptime van 99,999 te krijgen? En dan zeg je zelf dat een dergelijk speciaal contract, als het al bestaat, overkill zou zijn?

je vergelijking gaat mank. Jij bent de gene die een gemeente met de ECC vergelijkt dat doe ik niet.
Voor een gemeente is een uptime van 99.9999 niet nodig voor de ECC is dat een ander verhaal.
En een Office 365 contract überhaupt niet wenselijk voor de ECC, maar als er geen degelijk alternatief is in europa kan de ECC niet echt anders.

Overigens heb ik het niet alleen over Office 365 ik heb het over volledige cloud diensten check mijn comments boven.

[Reactie gewijzigd door firest0rm op 22 juli 2024 21:53]

wiseger @firest0rm • 13 maart 2024 11:46

Een gemeente heeft te maken met rampenbestrijding. Er kan een probleem ontstaan met bijvoorbeeld een chemische fabriek. De gemeente moet dan snel en adequaat reageren. Als de gemeente dan zijn telefoon netwerk de deur uitgedaan heeft om alleen nog via Teams te bellen, heb je wel een probleem als Office 365 het niet doet.

99.9999 procent bestaat overigens niet, MS biedt als hoogste 5.26 minutes downtime per jaar aan, de door jouw eerder genoemde 99,999 procent. Maar dan gelden er echt heel veel restricties en voorwaarden. Het geldt alleen voor bepaalde componenten, niet voor de gehele dienst. En sowieso wordt dit niet aangeboden bij MS Office 365.

firest0rm @wiseger • 13 maart 2024 12:45

99.9999 procent bestaat overigens niet, MS biedt als hoogste 5.26 minutes downtime per jaar aan, de door jouw eerder genoemde 99,999 procent. Maar dan gelden er echt heel veel restricties en voorwaarden. Het geldt alleen voor bepaalde componenten, niet voor de gehele dienst. En sowieso wordt dit niet aangeboden bij MS Office 365.

Als je tussen de regels leest was dat wel duidelijk geweest dat dat niet mijn insteek is.

Hoe dan ook 99.999 word dus WEL als dienst aangeboden door die partijen.

wiseger @firest0rm • 13 maart 2024 13:05

Als dienst voor bepaalde componenten waarbij heel veel zaken uitgesloten worden. Dat betekend bijvoorbeeld dat je MS SQL server wel 99,999 procent uptime garantie kan krijgen als je HA afneemt maar op de bereikbaarheid van die server via het Internet niet. Ook geldt de uptime niet in het geval van zaken als data corruptie, ongeacht de oorzaak.

Uiteindelijk zal je het geheel moeten bekijken, je databases, je apps, de WAF, je patch beleid, je Internet connecties, noem maar op en dan is de laagste garantie die je krijgt op de uptime op het gehele systeem stukken lager dan 99,999 procent.

shadow1967 @AgamemnonZ • 12 maart 2024 08:06

Ik ken geen enkele EU cloud leverancier die qua garanties de hyperscalers zelfs maar kan benaderen.
(Mijn organisatie gebruikt een van de grootste EU Cloud leveranciers, naast Azure, Google en AWS.)

Er zijn voldoende mogelijkheden bij de hyperscalers om je data af te schermen, maar je moet het dan wel doen.

Een veel groter probleem zijn de 'consumer' leveranciers en telecom providers die al je data over publieke netwerken sturen, waar dit niveau van garanties volledig afwezig is. Wie durft te beweren dat je netwerk, pc, tablet, smartphone voldoende is beschermd en dat je geen inzichten geeft in private informatie (en daarmee bedoel ik niet de tweakers community, maar de modale gebruiker)

sebati @firest0rm • 11 maart 2024 17:02

Omdat het hosten van een service die moet voldoen aan verwachtingen en veiligheidseisen niet zo maar ff op een lokale server gedraaid kan en mag worden.

'Lokale server' is gewoon een server bedoel bij een Europese cloud aanbieder... net als Microsoft/Google/AWS, niet een server in je eigen bezemkast.

Microsoft bied garanties die een gemiddeld EU tech bedrijf niet kan bieden/garanderen.

Even gesteld dat dit klopt, dat zal dat ook nooit zo worden wanneer je alles bij Amerikaanse partijen onder blijft brengen. Daarmee maak je Europese aanbieders dus op lange termijn kapot. Gaat rechtstreeks in tegen het beleid meer zelf te doen en onze afhankelijkheid (op dit vlak) van het buitenland te verminderen.

Blijf het apart vinden dat men het veiliger denkt te vinden om zelf lokaal te hosten... dat is het per definitie gewoon niet. Bij Microsoft werkt een specialistisch team die specifiek op de security tak zit. Enige probleem is patriot act.

Werderom 'lokaal' is een Europese cloud provider. Want andere bedrijven kunnen geen beveiligingsdiensten leveren? Ook hier geld, wanneer je blijft uitbestenden verlies je eigen kennis.

Ik wacht nog steeds op een goed schaalbaar EU alternatief die ook een hele Office suite kan leveren en active directory kan bieden.

Misschien moeten we gewoon afstappen van het idee dat alles om AD en MS Office draait... als je dat doet zijn er opeens verschillende mogelijkheden. En nee dat hoeft niet direct een volwaardig alternatief te zijn, je zult je afhankelijkheid van een enkele grote partij (Microsoft) moeten afbouwen. Zolang je vastzit aan hun diensten zit je ook vast aan Windows (meeste dingen werken nu eenmaal beter met MS producten) en stel dat er nu een keer een groot probleem (van welke aard dan ook) bij MS is dan hebben we daar -allemaal- last van. Meer aanbieders bevordert ook keuzevrijheid. We rijden tenslotte ook niet allemaal in dezelfde auto,

firest0rm @sebati • 12 maart 2024 10:09

'Lokale server' is gewoon een server bedoel bij een Europese cloud aanbieder... net als Microsoft/Google/AWS, niet een server in je eigen bezemkast.

Ik heb het over bedrijven die zelf lokaal een server hosten in hun eigen netwerk. Overigens is colocatie ook niet het zelfde als een cloud dienst van aws, Microsoft of Google. Daar zit veel meer redundantie achter dan dat een gemiddeld bedrijf in Nederland kan financieren.

Cloud diensten zijn vaak gekoppeld aan meerdere beschikbaarheid zones etc.

[Reactie gewijzigd door firest0rm op 22 juli 2024 21:53]

willieverhoef @firest0rm • 11 maart 2024 15:42

klopt, maar wel goed om critisch te zijn. Daardoor heeft MSFT hun server park in Noordholland staan. Daarom zal MSFT er alles aan doen om het te verdedigen. De volgende stap is client site encryptie denk ik. Maar ja als je de sleutels op de PC opslaat of in AD helpt dat ook niet echt

sebati @willieverhoef • 11 maart 2024 16:47

Daarom zal MSFT er alles aan doen om het te verdedigen.

Maar dat is geen garantie. Onder de Cloud Act moet ook Microsoft gewoon meewerken met verzoeken vanuit Amerika zonder jou en/of onze overheid op de hoogte te stellen.

Llopigat @willieverhoef • 11 maart 2024 16:50

Microsoft houdt niet bepaald van client side encryptie omdat ze dan niet meer kunnen monitoren (ze verwijderen bijvoorbeeld copyright content van onedrive) en dedupliceren wat veel meer opslag gaat kosten.

Je kan het we zelf doen met bijvoorbeeld cryptomator maar ik zie Microsoft het nog niet bepaald snel implementeren.

[Reactie gewijzigd door Llopigat op 22 juli 2024 21:53]

ArremeR @firest0rm • 11 maart 2024 15:41

Tja, steun Nextcloud zou ik zeggen, zijn aardig op weg, en is open source.

The Zep Man

Privacy

@ArremeR • 11 maart 2024 16:13

Nextcloud biedt slechts een deel van wat Microsoft 365 biedt aan dienstverlening. Zo ontbreekt een mailserver als onderdeel van de basisdienstverlening.

Je kan niet een alternatief voor Microsoft 365 van de grond krijgen zonder meerdere projecten te steunen.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 21:53]

ArremeR @The Zep Man • 11 maart 2024 16:33

Denk niet dat het realistisch is om te verwachten van een open source oplossing álle functionaliteit en applicaties te gaan krijgen, met de daarbijbehorende gesloten integratie (ms ecosysteem) van een miljardencomlomeraat, dat inmiddels meen ik te lezen, apple als meest waardevolle bedrijf heeft ingehaald.

Opensource, vooral specialistischere software, is nu eenmaal een concessie.

kaaas @ArremeR • 12 maart 2024 21:39

Opensource is helemaal geen concessie. Je hebt alleen een partij nodig die goed het voor je implementeert en integreert.

morphje @ArremeR • 13 maart 2024 15:00

En met die redenatie accepteer (al dan niet via een omweg) je een monopolist als concessie.

midime @ArremeR • 19 maart 2024 12:12

Snijd geen hout deze uitleg. Open Source is helemaal geen concessie, denk dat onderschat wordt wat de waarde is van deze wereld.

De commerciële wereld doet er alles aan een probleem onder de duim te houden. En als het al uitlekt te beperken met financiële middelen. Open Source kent dit tafereel niet.

Enfin dat dan het alternatief enkel de monopolisten zijn is ook een verkeerd argument.

ArremeR @midime • 19 maart 2024 13:52

Ik doelde niet op open source en open source applicaties zelf, maar om een totaaloplossing zoals wordt geboden door microsoft in de vorm van office365, dat veelal alleen maar uit applicaties van ms zelf bestaat.

Dat is wel in een opensource variant, maar dan niet als een kant en klare suite met alle geboden applicaties en functionaliteit. voor zover ik weet. Nextcloud komt wel in de buurt.

Daarmee doelde ik ook niet op het onmiskenbare belang, waar ms zelf ook behoorlijk op meelift, van open source software. Dat had ik beter kunnen verwoorden.

midime @The Zep Man • 19 maart 2024 12:17

Is niet helemaal waar NextCloud is zelf geen mail platform, maar het draait op een smaak van Linux en daarin draait ook weer een onderdeel van het mailsysteem (afhankelijk van de configuratie).

Het alternatief hoeft geen kopie te zijn... als het dat bied wat in praktische vorm nodig is, dan ben je er ook.

Juist met meerdere projecten samen brengt meer mogelijkheden, inzichten, kennis en invalshoeken. Natuurlijk het is een minder verkoopbaar begrip. Echter ik zie ook dat de commerciële wereld hier geen heil in ziet, want het levert minder op (ofzo).

beerse @firest0rm • 11 maart 2024 15:43

Het grote probleem is de verschillende definities van veiligheid en zo.Tel daar bij dat de verwachtingen ook altijd anders zijn dan je zou verwachten. (ja, denk daar maar eens over na).

Als je het over lokaal-hosten hebt en je denkt Europa, dan is dat al heel Europa.

Natuurlijk heeft microsoft meerdere teams die van alles en nog wat met security doen. Maar dat is security volgens de microsoft definitie. Dan is microsoft als US bedrijf onderhevig aan de US overheid definitie van security. En ja, ergens botst dat met de EU definiitie van veiligheid.

Zelf denk ik bij veiligheid: Eerst er voor zorgen dat zij die er niet bij mogen er ook niet bij kunnen. Dan er voor zorgen dat zij die er wel bij moeten er ook wel bij kunnen. En ook dat dit allemaal in de tijd werkt. Dus er is ook iets van backup, replicatie en dergelijke. Maar ook een gegarandeerde opruim actie zodat er niemand meer bij kan als dat nodig is.

Transferno @firest0rm • 11 maart 2024 16:17

Zelf hosten kán je cyber security score juist wel hoger maken, want je hebt de mogelijkheid bepaalde delen af te schermen van het internet. Echter, 99,9+% van de bedrijven kan zelf niet in de tooling voorzien om iets neer te zetten wat qua kosten en security haalbaar is. Dit terwijl een Azure of AWS wel in de juiste tooling voorziet. Dus voor de grote meerderheid zal zo'n cloud oplossing inderdaad de betere (en kosten haalbare) oplossing zijn.

midime @Transferno • 19 maart 2024 12:18

Je noemt het hier al maar niet met woord.

Gemak.

We kiezen massaal voor gemak.

klakkie.57th @firest0rm • 11 maart 2024 16:21

Ik mag ervan uitgaan dat de EU wel het budget heeft om dit goed te doen.
Maar het Microsoft platform is ondertussen zo uitgebreid dat je met mailservers alleen je er niet komt natuurlijk,en vele onderdelen (Teams bv) bestaan gewoon niet voor on-prem setups.

Llopigat @firest0rm • 11 maart 2024 16:47

Bij Microsoft werkt een specialistisch team die specifiek op de security tak zit.

Ik werk veel met Microsoft en het idee dat daar experts werken heb ik nou niet bepaald. Ik zie veel gekluns, onduidelijk over wat wel en niet werkt en vooral meer aandacht voor commercie dan security. En ik ben niet de enige die dat denkt, daarom gebruiken we op het werk wel hun cloud oplossingen maar niet hun security oplossingen

Ongetwijfeld werken er veel goede mensen maar ze hebben ook enorm veel klanten waardoor de aandacht van de werknemers flink verwatert.

En hun support besteden ze bijvoorbeeld uit naar Accenture die er een potje van maakt (meer dan de manual lezen kunnen hun mensen niet)

[Reactie gewijzigd door Llopigat op 22 juli 2024 21:53]

midime @Llopigat • 19 maart 2024 12:22

Mee eens... Bovendien, Teams is niet echt een fijn programma. Je hebt de gratis en betaalde variant. Inloggen of juist niet inloggen. Ik heb vaak gebruikers aan de lijn die in het bos zijn beland.

SpoekGTi @GarBaGe • 11 maart 2024 14:56

Klopt maar dan is het samenwerken in files zo’n gedoe, moet je eigen cloud hosten bla bla bla in the end ben je mogelijk zelfs goedkoper uit maar lastiger schaalbaar.

Cergorach @SpoekGTi • 11 maart 2024 15:38

Je bent alleen goedkoper uit als je de kosten van personeel niet meerekent.

Simon Weel @GarBaGe • 11 maart 2024 14:58

Maak dat de EC maar wijs. Deze maand zijn we gehuisvest we in Brussel. Volgende maand in Straatsburg. En dat wisselen we elke maand, al tientallen jaren. Waarom? Omdat een paar leden dat willen.

mjtdevries @Simon Weel • 11 maart 2024 15:02

Zeg het maar gewoon hardop: Omdat Frankrijk dat wil.

willieverhoef @mjtdevries • 11 maart 2024 15:38

en Duitsland dat graag support

Tuttel @Simon Weel • 11 maart 2024 16:07

De EC blijft gewoon in Brussel hoor. Het is het parlement(EP) dat deze maandelijkse volksverhuizing onderneemt. Kritiek hierop is terecht, maar wees dan op z'n minst correct en plaats dat onder berichten waar dat ook daadwerkelijk on-topic is om geen flater te slaan.

[Reactie gewijzigd door Tuttel op 22 juli 2024 21:53]

SuperDre @Simon Weel • 11 maart 2024 22:59

Juist, en dat moet echt eens afgelopen zijn, kost ons burgers onnodig veel geld.

bzuidgeest @GarBaGe • 11 maart 2024 15:41

Een oudere versie? Met bugs en bekende security issues? Hoe is dat in hemelsnaam een verbetering?

Ik ben het eens met de stelling dat overheidsdata niet aan de storage van een vreemde mogendheid moet hangen. Maar wat jij voorstelt is gewoon geen oplossing.

jpfx 11 maart 2024 15:03

Heb er dan nog één voor de EDPS: https://www.medischcontac...beroepsgeheim-op-de-tocht
(Helaas is enkel het eerste deel zo leesbaar...)
Heeft natuurlijk niet enkel betrekking op het beroepsgeheim, maar hiermee komen dus eigenlijk alle medische gegevens van iedereen beschikbaar.

[Reactie gewijzigd door jpfx op 22 juli 2024 21:53]

Pinkys Brain 11 maart 2024 16:34

Microsoft zou eigenlijk een Microsoft 365 versie moeten maken die draait via Azure Stack, dan is er geen probleem.

akimosan

11 maart 2024 15:07

Dat kan "nu" nog, inderdaad. Maar voor hoe lang nog?

Bij diverse aanbieders van producten en diensten zie je de overgang naar Cloud/Subscription/AI, niet enkel Microsoft, Meta, Google. Dus het gebruiken van oudere producten, producten die niet dezelfde focus van ontwikkeling meer hebben, of producten van anderen die niet dezelfde mogelijkheden of gebruikservaring bieden, schaadt je organisatie op de langere termijn.

Dus ik zou zeker blijven werken aan het "overtuigen" van fabrikanten en aanbieders dat in hun producten de juiste grenzen/boundaries moeten kunnen worden ingesteld en dat erop vertrouwd kan worden dat informatie die boundaries ook niet overschrijdt. Als een fabrikant dan zegt: dat kan nu nog niet, dan moeten ze er maar meer moeite in stoppen om het wel mogelijk te maken.

En anders kunnen ze hun producten niet aan de man brengen in de EU.

segil 11 maart 2024 16:08

Microsoft 365 bestaat onder meer uit software zoals Word, Excel, PowerPoint en Outlook.

@sabineschults Microsoft 365 is niet hetzelfde als het Microsoft 365-officepakket. Daar doe je het aanzienlijk tekort mee.

Microsoft 365 is Teams, Onedrive, Exchange, Sharepoint, Viva, etc, etc. Allemaal cloud platformen waarin gebruikersdata opgeslagen wordt, die o.a. gegenereerd wordt door client producten zoals Word, Excel, Powershell, Outlook. Een Microsoft 365 licentie kán een gebruiker ook een licentie verschaffen voor het gebruik van deze applicaties, maar dat hoeft niet.

Auteur

sabineschults Redacteur @segil • 11 maart 2024 16:15

Fair point. Ik denk dat enkel Word, Excel en PowerPoint inderdaad niet de lading dekken.

Yalopa @sabineschults • 13 maart 2024 07:33

https://www.microsoft.com...?&activetab=tab:primaryr2

Salvatron 11 maart 2024 16:20

gebruik libreoffice dan

kodak

Privacy

11 maart 2024 17:25

Er lijkt een belangrijke omstandigheid niet beantwoord: heeft de Europese Commissie onderhandeld over de voorwaarden, of gaat dit om de standaard voorwaarden van Microsoft ?

Beiden situaties lijken me zorgelijk. In het meest gunstige geval heeft de Europese Commissie een slechter contract met Microsoft onderhandelt waarbij beiden te weinig aandacht voor wettelijke bescherming van anderen blijken te hebben.
In een ongunstige situatie gaat het om een compleet gebrek aan wettelijke aanvaardbare voorwaarden voor alle gebruikers.

midime 19 maart 2024 11:49

Mogelijk heeft iemand er al iets over gezegd, maar het verbaast mij (ondanks het gemak) dat we als NL en zelfs voor een deel als EU. De ICT en infrastructuur in handen leggen van grote clubs als Azure en Microsoft, Google etc. Noem de grote namen maar op.

Waarom begrijp ik het niet...? De afhankelijkheid die we creëren. Het risico ALS er wel wat gebeurt, kijk naar een oorlog in Oekraïne en Gaza. De kaarten worden dan ineens weer goed geschud. Al met al juist een reden om meer na te denken hoe we met data omgaan.

Het lijkt er op dat we steeds minder zijn gaan na denken. Risico's niet willen nemen, wachten op anderen etc. etc. Kudde gedrag, als zij het doen zal het wel goed zijn.

Ik heb een bedrijf in IT en heb infrastructuur in het datacenter, uptime is niet een issue, technische kennis wel. Als we zo doorgaan als het al jaren is dan hebben we straks geen echte kennis van IT meer. Alleen papieren kennis van IT. Wij worden als IT bedrijf wekelijks benaderd door bedrijven die willen dat ik mijn infra bij "hen" onderbreng. Even daar gelaten dat dat juridisch nog prima zou zijn (binnen NL). Het verplaatst ook de kennis. Ik kan dan dienst doen als "dozenschuiver" ik hoef de kennis technisch niet meer te hebben en enkel het verkoop deel te doen.

Enfin, daar gelaten wat er in NL gebeurt. Ik heb al jaren niet begrepen waarom iedereen naar de "Cloud" alla Microsoft, Google, etc. beweegt. En dan vooral vanuit het perspectief IT bedrijf (niet als consument of afnemer). Als consument of als afnemer is 365 prachtig! Je haalt een pc uit de doos/verpakking en je kan direct inloggen en je hebt alles mooi ingericht. Gemak dus. We vinden gemak belangrijker dan veiligheid of prijs.

Vanuit technisch/IT perspectief begrijp ik wel dat het risicoloos is om diensten bij klanten weg te zetten. Wel verkopen, geen risico en ook geen dure (onhandelbare) IT mensen meer nodig. Toch zie ik daar een grote fout. Want de IT bedrijven zouden toch moeten ondersteunen in goede diensten die bij de klant maar ook wetgeving past...? De grote Cloud providers hebben wel data van klanten in de EU staan, maar kijk eens naar de storingen afgelopen jaren bij de grote Cloud heren. In de meeste gevallen lagen storingen in de USA... Dan is vreemd genoeg heel EU of zelfs Wereld ook offline. Dan heb je toch geen gescheiden omgeving? Even daar gelaten hoe je het juridisch regelt. Technisch is dat al geen scheiding. Het zou zo moeten zijn dat er een duidelijke afbakening is van een infrastructuur in de EU of zelfs nog meer lokaal. Als er een partij is die dat op grote schaal zou kunnen doen is dat Microsoft bijv. Maar zij verkiezen de omgeving vanuit centraal punt te organiseren.

Het feit dat veel klanten niet eens weten ALS data van hen bij 365 staat zonder additionele encryptie dat dit dan al kwetsbaar is. Microsoft zal op papier (juridisch) niets met de data doen, maar technisch kunnen ze er gewoon bij. Welk belang zou zouden de grote Cloud heren hebben om "gratis" ruimte te bieden en voor een kleine maandelijkse bijdrage deze ruimte extreem vergroten...? Dat heeft niet zozeer met overboeking te maken. Dat data geld waard is, lijkt me een logischer punt, maar rijst de vraag wat doen zij dan met data. Wij controleren niet de data van klanten op mijn NextCloud platformen of er interessante verdienmodellen in te realiseren zijn.

Al met al heb ik niet een direct concrete reactie op alle teksten die ik hier langs zie komen, maar hoop dat er voor iemand toch informatie uit te halen is die iemand met mij deelt.

[Reactie gewijzigd door midime op 22 juli 2024 21:53]

Op dit item kan niet meer gereageerd worden.

Toezichthouder: Europese Commissie schendt privacywet met gebruik Microsoft 365

Lees meer

IT-banen

Reacties (78)

Sorteer op:

Weergave: