Nederlandse bedrijven blijven Zivver gebruiken ondanks Amerikaanse eigenaar

Nederlandse bedrijven maken zich weinig zorgen over de overname van Zivver door Kiteworks. Zivver biedt diensten met de Veilig Mailen-standaard aan, waarmee gevoelige data mag worden verzonden. Die dienstverlening wordt nu door een Amerikaans bedrijf overgenomen.

Vorige maand maakte Zivver bekend dat Kiteworks het bedrijf zou overnemen voor een onbekend bedrag. Daarmee komt het Nederlandse bedrijf dus in Amerikaanse handen. Dat zou een risico kunnen zijn, zeker nu er de afgelopen maanden vanuit het bedrijfsleven en de overheid steeds meer aandacht is voor de risico's van de afhankelijkheid van Amerikaanse techbedrijven.

De Amerikaanse onderneming onderstreept in het persbericht over de overname dat zij de Europese regelgeving in acht zal nemen: "Zivver blijft gehost in de Europese Unie en alle gegevens worden binnen de EU-grenzen opgeslagen. Zo wordt voldaan aan de regionale regelgeving inzake gegevensbescherming." Door de Amerikaanse CLOUD-verordening kunnen Amerikaanse bedrijven echter gedwongen worden om klantgegevens te overhandigen, zelfs als deze buiten de Amerikaanse landsgrenzen zijn opgeslagen.

Wat is Veilig Mailen van Zivver?

Zivver is een bedrijf dat onder andere veilige e-mail op basis van de NTA 7516-norm van de Nederlandse Norm (NEN) aanbiedt. Deze norm schrijft voor waaraan veilig e-mailen en chatten moet voldoen binnen de AVG als een partij medische gegevens uitwisselt. De veilige communicatie kan uiteraard ook breder worden ingezet. De norm schrijft onder meer voor dat de gegevens in en de toegang tot de e-mail vertrouwelijk moeten zijn. Toegang tot opgeslagen berichten door partijen die geen geldige reden hebben om deze in te zien, moet onmogelijk zijn.

Uit een rondgang van Tweakers blijkt dat er desondanks nog weinig zorgen leven bij meerdere grote bedrijven die gebruikmaken van Zivver. Rotterdam The Hague Airport zegt dat de zaak momenteel wordt onderzocht. "We zijn met elkaar in overleg en kijken of er acties aan verbonden zijn. Veranderen er dingen en heeft dat invloed op ons? We maken ons geen zorgen, maar we onderzoeken het wel", laat een woordvoerder weten.

Een woordvoerder van de Rotterdamse haven zegt dat 'de afhankelijkheid van Amerikaanse dienstverleners op IT-gebied een punt van aandacht is voor ons als Havenbedrijf'. Hij wil niet ingaan op dit specifieke bedrijf. Bij Dimence, een groep van verschillende instellingen voor geestelijke gezondheidszorg in Nederland, vertrouwt de organisatie op Kiteworks. "Zivver is op zoek gegaan naar een partner die voldoet aan Europese regelgeving, die is gevonden in Kiteworks. Dat gaf ons het vertrouwen dat we niet op zoek hoeven naar een nieuwe partner voor onze communicatie. Ik ga ervan uit dat de directeur hier goed over nagedacht heeft en tot hetzelfde besluit is gekomen."

Ook binnen overheidsinstanties nog geen gevolgen voor Zivver

Ook verschillende Nederlandse overheidsinstanties zien vooralsnog geen directe aanleiding om te stoppen met het gebruik van Zivver. De Immigratie- en Naturalisatiedienst zegt de gevolgen wel in de gaten te houden. "De IND volgt de ontwikkelingen op de voet en is hierover ook nauw in contact met Zivver. Daarbij houden we steeds in de gaten wat de consequenties zijn en of die acceptabel zijn."

Ook het UWV laat weten dat de overname van Zivver voorlopig geen gevolgen heeft voor de samenwerking met het bedrijf. "De recente overname van Zivver heeft geen invloed op onze beoordeling van de veiligheid van de data die wij via Zivver verwerken. De opslag en verwerking van gegevens voldoet aan de privacyvereisten zoals vastgelegd in de Algemene Verordening Gegevensbescherming (AVG)."

Het ministerie van Binnenlandse Zaken, dat cloudbeleid rijksbreed bepaalt, zegt dat het de digitale autonomie de komende tijd verder wil vergroten. "Het gevolg is dat in de toekomst minder digitale diensten van de overheid in de public cloud zullen worden ontwikkeld", laat de woordvoerder weten. Hij doet geen uitspraken over specifieke bedrijven.

Reactie van Zivver

Cio Rick Goud zegt in een reactie aan Tweakers dat er geen risico is dat de Amerikaanse overheid onder de CLOUD-verordening toegang krijgt tot Zivver-data, omdat het bedrijf asymmetrische versleuteling gebruikt. Noch Zivver, noch derden (zoals de Amerikaanse overheid) beschikken over de sleutels om toegang tot de data te krijgen, waardoor het risico op toegang tot data door de overname volgens hem niet is veranderd. "Als mensen aan de deur komen kloppen, zijn de bestanden met RSA‑2048 versleuteld. De decryptiesleutels hebben wij niet. Wij zijn ook de enige oplossing in Europa die, terwijl mensen vanuit Outlook en Gmail kunnen blijven werken, e-mails zodanig versleutelt dat zelfs Microsoft of Google geen toegang tot gevoelige e-mails kan krijgen, terwijl je wel wereldwijd veilig kunt mailen. Bij andere oplossingen is er altijd toegang door Microsoft of Google, of moeten verzender en ontvanger beiden dezelfde software installeren."

Goud beweert dat de overname door Kiteworks de klanten van Zivver juist minder afhankelijk maakt van Amerikaanse technologie. "Dat klinkt tegenstrijdig, maar waar je nu afhankelijkheid ziet, is van Amerikaanse cloud met Amerikaanse software, waarbij de Amerikaanse overheid toegang kan krijgen tot die data. Klanten willen niet alleen veilige e-mail, maar ook een veilig alternatief voor zaken als SharePoint, OneDrive, Forms en veilige online opslag om in gevoelige bestanden samen te werken. Dat willen ze ook steeds meer on-premises en in de private cloud. Wij wilden ons aanbod daarom uitbreiden en mensen een alternatief bieden voor de diensten van Microsoft en Google. Daarbij was Kiteworks de enige partij die aan onze hoge veiligheidsstandaarden voldeed, deze deploymentopties bood en deze functionaliteiten had. Met deze samenwerking krijgen klanten juist dus de mogelijkheid om veel meer controle te krijgen over data en minder afhankelijk te zijn van Amerikaanse cloudleveranciers. Als we de perfecte Europese oplossing hadden gevonden, hadden we daar de voorkeur aan gegeven."

Update, 20.46 uur - Reactie van Zivver toegevoegd.

Door Imre Himmelbauer

Redacteur

Feedback • 18-07-2025 08:26 196

18-07-2025 • 08:26

196

Lees meer

Naast gegevens onderzoek baarmoederhalskanker is ook andere medische info gelekt
Naast gegevens onderzoek baarmoederhalskanker is ook andere medische info gelekt Nieuws van 11 augustus 2025
'1722 websites van Nederlandse overheden en vitale bedrijven gebruiken cloud VS'
'1722 websites van Nederlandse overheden en vitale bedrijven gebruiken cloud VS' Nieuws van 31 mei 2025
Microsoft belooft VS aan te klagen bij blokkade van clouddiensten in Europa
Microsoft belooft VS aan te klagen bij blokkade van clouddiensten in Europa Nieuws van 30 april 2025
Nederlandse Rechtspraak vervangt in 2022 fax door Veilig Mailen
Nederlandse Rechtspraak vervangt in 2022 fax door Veilig Mailen Nieuws van 30 september 2021
Meer producten en artikelen
Bedrijfsnieuws Kiteworks Zivver

Reacties (196)

-Moderatie-faq
196
178
77
6
0
72
Wijzig sortering

Sorteer op:

Weergave:
edwin2021 18 juli 2025 09:08
Onbegrijpelijk dat de overheid deze overname heeft goedgekeurd. Zivver is destijds gestart met behoorlijke subidies om een universeel medium te maken voor veilig mailen o.a. in de zorg. Prima dat een nl ondernemer er dan geld mee verdiend. Absoluut NIET ok dat het dan verkocht wordt aan een buitenlands bedrijf / investeerder.
Mars4i @edwin202118 juli 2025 11:46
Helemaal mee eens. Maar Europa is ook wel wat naïef. Alle mooie privacy wetten vallen in het water als een bedrijf dat ze uitvoert in amerikaanse handen komt. Ze zouden dus een wet moeten aannemen dat bedrijven wiens core business data protectie is, niet aan partijen buiten de EU verkocht mogen worden. Misschien moeten ze zelfs nog wat verder gaan en MEGA worden (make Europe great again) en stellen dat e-mail en cloud opslag die gevoelige data bevatten alleen door europese bedrijven afgehandeld mag worden. Het wordt tijd voor wat tegengas.
Fishbeast @edwin202118 juli 2025 12:51
Ja klopt, en ondertussen moord en brand schreeuwen als de US-politiek onbetrouwbaar blijkt en we met z'n allen op stel en sprong moeten gaan migreren naar alternatieven.

Terwijl we het beste alternatief met het badwater hebben weggegooid.
olafmol 18 juli 2025 08:41
Wat een naïviteit van de klanten van Zivver. Ervan uitgaan “dat de directeur er wel goed over nagedacht heeft”. LOL. Het is een product dat op veilige e-mail communicatie en privacy focust. En nu kan de Amerikaanse overheid wettelijk jouw “veilige e-mails” opvragen en inzien. Tja.

[Reactie gewijzigd door olafmol op 18 juli 2025 08:43]

RobbieB @olafmol18 juli 2025 09:12
Er wordt nu 1 quote uitgepikt, maar heel veel organisaties maken zich daadwerkelijk wel zorgen en zijn aan het onderzoeken wat er mogelijk is.

Besef ook dat dit een tool is die niet 1-2-3 vervangen is. Los van lopende contracten, zul je ook gewoon een fatsoenlijke RFP uit moeten voeren op een potentiële nieuwe supplier. Daarnaast ga je nu in je risico analyse meenemen wat je moet doen als je nieuwe partij weer door een Amerikaan overgenomen wordt, ook iets dat niet uit te sluiten is en je mogelijk weer hetzelfde probleem geeft. En dan moet je nog een heel implementatie en decommission traject door.

Veel IT clubs binnen die organisaties hebben dit echt wel in kaart, maar willen ook geen overhaaste besluiten nemen, omdat de impact op de operatie echt enorm kan zijn. Een beetje een te makkelijk artikel zo, omdat het probleem echt veel complexer is dan Tweakers nu laat overkomen. En ik zou verwachten dat de meeste Tweakers hier dit ook wel weten.
foppe-jan @RobbieB18 juli 2025 09:15
dat kan zijn, maar dan hoeft die directeur toch niet te liegen dat ze het allemaal prachtig mooi vinden?
RobbieB @foppe-jan18 juli 2025 09:23
Waar zegt de directeur dat? Er staat niet eens bij van wie die quote uit de organisatie komt. Dat is waarschijnlijk een communicatieafdeling/woordvoerder geweest.

Dat maakt het nog steeds geen goede manier om hier mee om te gaan, maar dit is een n=1 quote terwijl vrijwel alle andere organisaties wel degelijk het risico zien, maar ook niet meteen de oplossing paraat hebben (of hier al over willen communiceren).

Dit is van die populistische journalistiek waarbij je misschien 100 antwoorden hebt die weinig spannend zijn en dan zo’n quote eruit pikt omdat je weet dat het voor engagement zorgt. Helaas is vrijwel alle media hier schuldig aan vandaag de dag. Want engagement = inkomsten.

[Reactie gewijzigd door RobbieB op 18 juli 2025 09:25]

foppe-jan @RobbieB18 juli 2025 09:28
Bij Dimence, een groep van verschillende instellingen voor geestelijke gezondheidszorg in Nederland, vertrouwt de organisatie op Kiteworks. "Zivver is op zoek gegaan naar een partner die voldoet aan Europese regelgeving, die is gevonden in Kiteworks. Dat gaf ons het vertrouwen dat we niet op zoek hoeven naar een nieuwe partner voor onze communicatie. Ik ga ervan uit dat de directeur hier goed over nagedacht heeft en tot hetzelfde besluit is gekomen."
sorry maar dit is echt een uitspraak namens de organisatie, en dus namens de directie. Dus ga nou niet lopen doen alsof ik de gek ben door dat serieus te nemen. Interesseert mij wat of ze intern hun zaken op orde hebben.
TijsZonderH Nieuwscoördinator @foppe-jan18 juli 2025 09:51
Dit klopt. Een uitspraak van een woordvoerder behandelen we (en mag iedereen wmb behandelen) als een uitspraak namens het bedrijf. Ik heb in de 20 jaar dat ik in de journalistiek zit overigens nog nooit een woordvoerder meegemaakt die zegt "ik ga er vanuit dat het bedrijf hierover heeft nagedacht", dat is gewoon ronduit stupide en hilarisch.
TijsZonderH Nieuwscoördinator @RobbieB18 juli 2025 09:56
Dit is van die populistische journalistiek waarbij je misschien 100 antwoorden hebt die weinig spannend zijn en dan zo’n quote eruit pikt omdat je weet dat het voor engagement zorgt
Ik vind het erg jammer dat je met zo'n scepcis reageert, niet in de minste plaats omdat dit gewoon niet waar is. Het is niet zo dat we 100 bedrijven/instanties hebben gevraagd en wat antwoorden hebben gecherrypickt. De bedrijven die we hier aanhalen zijn alle bedrijven die we hebben benaderd. Dus je kunt ook zeggen: 100% van de respondenten zegt zich geen zorgen te maken.

Dus jammer dat je aannames doet die niet kloppen en die ik dan moet gaan weerleggen, dat zou niet nodig moeten zijn.
TheVivaldi @TijsZonderH18 juli 2025 10:39
Ik betreur die reactie ook. Dank je wel voor het informatieve en uitgebreide artikel (ik vind dat echt zo!) - ik heb het volste vertrouwen in jou/jullie. :)
oNNoZeLe @RobbieB18 juli 2025 09:26
Dit wat je schetst past op veel andere systemen waar geroepen wordt dat we minder afhankelijk moeten worden van een ander (land).

daargelaten of het op sommige vlakken überhaupt wel mogelijk is.
morphje @RobbieB18 juli 2025 09:45
Bedrijven moeten zich geen zorgen maken, bedrijven moeten zich conformeren aan de NIS2.

Specifiek de provisie voor een cloudexit strategie en de eindverantwoordelijkheid neerleggen bij de directeur, inclusief cybersecurity training. De tijd van onwetendheid en doen alsof het goed is, is voorbij.

Nou snap ik dat je niet zomaar voor alle diensten een alternatief hebt, maar je moet de boel wel af en toe flink wakker schudden en dit is weer een prachtig voorbeeld. Het is mooi dat bedrijven nu gaan onderzoeken wat mogelijk is, maar eigenlijk hadden ze dat allang gedaan moeten hebben. Zelfs zonder NIS2
Scriptkid @RobbieB18 juli 2025 09:27
Aangezien bijna la die bedrijven al m356 hebben kunnen ze gewoon M365 gebruiken met encrypted of mip encrypted email.

Bespaard ze ook nog eens een hoop kosten.
jvr @Scriptkid18 juli 2025 11:27
Jouw optie is absoluut erg mooi, maar Zivver biedt meer mogelijkheden die veel gebruikt worden.
Scriptkid @jvr18 juli 2025 14:27
Zoals?
Houtenklaas @Scriptkid18 juli 2025 18:36
Dit had je natuurlijk zelf even moeten onderzoeken gezien je opmerking hierboven. Maar om er maar een paar uit te pikken:
  • Zivver is end-to-end encrypted, ook Zivver heeft geen inzage in jouw data (erg gerustellend vind ik persoonlijk). Microsoft doet MPME
  • Zivver werkt tussen willekeurige partijen, ook als je geen Microsoft klant bent
  • Zivver staat toe om berichten in te trekken, bij M365 is dat buiten het eigen domein niet mogelijk
  • Zivver: 2FA mogelijk buiten Microsoft om. M365 kent ook 2FA, maar meer in eigen huis
En er zijn er nog wel een zwik te noemen. Daarnaast heb ik mijn data liever niet in de USA ...
Scriptkid @Houtenklaas18 juli 2025 22:20
Zivver is end-to-end encrypted, ook Zivver heeft geen inzage in jouw data (erg gerustellend vind ik persoonlijk). Microsoft doet MPME -> Ms MIP is ook e2e encrypted en kan ook niet bij jouw data als je DKE doet ,

Zivver werkt tussen willekeurige partijen, ook als je geen Microsoft klant bent -> MS ook geen issue

Zivver staat toe om berichten in te trekken, bij M365 is dat buiten het eigen domein niet mogelijk -> Als je UDP doet kun je permissions gewoon intrekken geen issue

Zivver: 2FA mogelijk buiten Microsoft om. M365 kent ook 2FA, maar meer in eigen huis -> dit is ook fully supported in Entra ID


Er blijven dus 0 statements over van je
Houtenklaas @Scriptkid18 juli 2025 22:49
Zivver is end-to-end encrypted, ook Zivver heeft geen inzage in jouw data (erg gerustellend vind ik persoonlijk). Microsoft doet MPME -> Ms MIP is ook e2e encrypted en kan ook niet bij jouw data als je DKE doet ,

Zivver werkt tussen willekeurige partijen, ook als je geen Microsoft klant bent -> MS ook geen issue

Zivver staat toe om berichten in te trekken, bij M365 is dat buiten het eigen domein niet mogelijk -> Als je UDP doet kun je permissions gewoon intrekken geen issue

Zivver: 2FA mogelijk buiten Microsoft om. M365 kent ook 2FA, maar meer in eigen huis -> dit is ook fully supported in Entra ID


Er blijven dus 0 statements over van je
Je begrijpt denk ik niet goed wat Zivver doet. Het endpoint is niet in jouw beheer en de geadresseerde zit vaak niet in jouw domein en al helemaal niet in een voorspelbaar domein. Daardoor kan MS eenzelfde soort dienst bieden, maar nooit in 100% van de gevallen wat Zivver wel kan.

En daarmee heeft MS dus geen oplossing die altijd werkt. De antwoorden die je geeft kloppen aardig als je weet dat iedereen in de MS omgeving zit, maar precies daar gaan al je antwoorden op mank. Gezien de cloud-act zou het me vervolgens niet verbazen als in de MS oplossingen divers achterdeurtjes zitten om alsnog mee te kunnen lezen als de wetgever dat nodig acht.

Weten we kortgeleden nog het het internationaal hof (IGH)? Daar heeft MS zelf aan de bel getrokken dat de wetgever in het thuisland iets vond van dat IGH. Daar is tijdig een oplossing gevonden, maar is wel degelijk de dienstverlening beëindigd door MS. MS buigt net zo hard voor Trump als die oranje clown dat nodig acht.
Scriptkid @Houtenklaas18 juli 2025 23:22
voor OME geld dat geen enkele target domain bekend hoeft te zijn of dat het in de tenant hoeft te zijn het kan gewoon op ziggo.nl domain van je mailbox als je wilt.

Van IGH weten we weinig details, en van wat kent is was dat het op verzoek en in overeenstemming met bijde partijen was. alleen het nieuws heeft het als clickbait gebracht.
Aivy @RobbieB18 juli 2025 09:40
Toen ik dit artikel begon te lezen was ik zelf geschokt. Hoe zo is niemand bezorgd over dit overname? Was mijn gedachte gelukkig de comments laten het andere beeld zien.


Offtopic: Ben ik de enige die na het lezen van dit artikel het gevoel kreeg als of ik een PR artikel las? Kijk niet naar ons er is niks aan de hand, ons klanten maken nergens zorgen over.
locke960 @olafmol18 juli 2025 09:33
Een product dat op veilige e-mail communicatie en privacy focust, waarbij de provider toegang heeft to de e-mail communicatie, is geen product dat op veilige e-mail communicatie en privacy focust.

Dat is iemand anders betalen omdat ie zegt betrouwbaarder te zijn dan de gemiddelde beheerder van e-mail systemen.

De problemen met e-mail zijn al 30 jaar bekend en nog steeds is er geen veilig alternatief. We doen iets verkeerd.
fvdberg @locke96018 juli 2025 13:52
De observatie dat een product dat claimt te focussen op veilige e-mailcommunicatie en privacy, maar waarbij de provider toegang heeft tot die communicatie, fundamenteel tekortschiet in zijn belofte, is accuraat. Het komt neer op het betalen van een externe partij voor een belofte van betrouwbaarheid, terwijl de architectuur – zeker onder externe juridische druk – die belofte niet volledig kan waarmaken. Dit leidt tot een situatie van 'valse veiligheid'.

De frustratie dat de problemen met e-mailbeveiliging al decennia bekend zijn en er nog steeds geen breed geaccepteerd, écht veilig én gebruiksvriendelijk alternatief is, is zeer begrijpelijk. Dit duidt inderdaad op een systemisch falen, vaak veroorzaakt door het compromis tussen gebruiksgemak en absolute veiligheid, en de complexe juridische landschappen waarin moderne communicatiediensten opereren. Bedrijven kiezen vaak voor gemak en technische conformiteit met standaarden, zonder de diepere juridische risico's adequaat te mitigeren.

Echter, de conclusie dat er geen veilig alternatief bestaat, behoeft nuancering. De oplossing ligt niet altijd in een nieuw, complex "product," maar in directe controle en data-soevereiniteit. Een goed geconfigureerde mailserver die zich aan standaarden houdt biedt wel degelijk de nodige veiligheid en controle. Wanneer zo'n server:
  • Goed geconfigureerd is volgens de juiste standaarden (denk aan TLS, SPF, DKIM, DMARC, en de principes van NTA 7516 voor technische beveiliging).
  • Wordt beheerd binnen de EU onder EU-wetgeving.
  • Niet onderworpen is aan buitenlandse jurisdictie zoals de Amerikaanse CLOUD Act.
...dan biedt dit precies de echte veiligheid en controle die nodig is. Het bewijst dat het veilige alternatief wel degelijk bestaat. De uitdaging ligt in het kiezen voor en correct implementeren van oplossingen die de controle over de data volledig onder de relevante privacywetgeving plaatsen.
funkenl @fvdberg18 juli 2025 15:13
Dat is inderdaad het minimale wat je als verzender kunt doen. Alleen als de ontvanger geen veilig geconfigureerde omgeving heeft gaat het al mis. Ik denk dat de oplossing vooral is om gevoelige informatie niet via de mail te versturen. Wellicht alleen de notificatie dat er een bericht klaar staat in een goed beveiligde portal waar je moet inloggen met 2FA.

Aanvulling: professionals onderling zouden alleen gezondheidsinformatie moeten uitwisselen via een goed beveiligde ECD of EPD.

[Reactie gewijzigd door funkenl op 18 juli 2025 15:16]

fvdberg @funkenl18 juli 2025 16:27
Het is niet de verantwoordelijkheid van de verzender om te garanderen dat de omgeving van de ontvanger veilig is, maar de ontvanger heeft wel een plicht om die omgeving zelf in te richten conform de wet- en regelgeving.
uiltje @fvdberg18 juli 2025 19:19
Je mist een punt: je moet er wel vanuit gaan dat de code die je draait te vertrouwen is. Dat is nog best een lastige om te bewijzen. Bij Android heeft de politie ook berichten verkeer onderschept door app updates over te nemen. Alleen de broncode in kunnen zien is al niet voldoende.
fvdberg @uiltje18 juli 2025 19:49
wat heb je met broncode te maken of os van het client device als je met webapps werkt? dus server sided

[Reactie gewijzigd door fvdberg op 18 juli 2025 19:50]

uiltje @fvdberg18 juli 2025 19:53
Hoe bedoel je? Met volledige web-apps moet je natuurlijk op de code van de server kunnen vertrouwen alsmede de JavaScript in de browser. Als alles lokaal draait is de server de webstore. Verschil is dat een app in de browser natuurlijk minder rechten heeft by default, maar het behandeld nog steeds je berichten neem ik aan.

[Reactie gewijzigd door uiltje op 18 juli 2025 19:53]

fvdberg @uiltje18 juli 2025 19:55
Je draait helemaal niks lokaal bij webapps.en javascript? Waar heb je dat voor nodig?
Spijkers op laag water zoeken

[Reactie gewijzigd door fvdberg op 18 juli 2025 22:10]

uiltje @fvdberg18 juli 2025 22:10
What the hell, JavaScript draait toch lokaal als client? Ja in de browser, maar nog steeds lokaal.
uiltje @fvdberg18 juli 2025 22:33
Natuurlijk niet. Zolang de client onder controle is van code die je niet direct zelf maakt of valideert dan maakt de technologie erachter weinig uit. Het gaat erachter of je bijvoorbeeld met externe bibliotheken de werking van het systeem aan kan tasten, op de client of op de server. In dit geval is natuurlijk alles afhankelijk van de server.

In de IT security is een van de problemen van bijvoorbeeld versleuteling in de browser dat het nog steeds afhankelijk is van de code die op de server staat. Vandaar dat ik het noemde: zelfs als je programmeert dat de server geen toegang heeft tot de berichten ben je er als client nog steeds afhankelijk van, want daar origineert de webpagina ook. In die zin is een client / Android app dus zelfs wat in het voordeel.

Anyway, je bent afhankelijk van de code inclusief dat van het OS en alle gelinkte bibliotheken. Ik denk wel dat we het daar eens over zijn. Goed, jij vind het niet in je verhaal passen en ik wel. Laten we het daar maar op houden :)
uiltje @fvdberg18 juli 2025 22:21
Als jouw software draait op een lib die in een ander land wordt beheerd, zelfs bij Open Source kan een enkele update nog steeds je hele veiligheid overhoop halen. Zelfs bij banken denk ik niet dat je nog veel producten vind die volledig zonder externe bibliotheken draaien. Mijn punt is dat een buitenlandse mogendheid nog steeds je spul aan kan vallen terwijl jij de software beheerd, de configuratie correct is en niet onderworpen is aan de Amerikaanse jurisdictie omdat dit hier normaal gesproken niet onder valt. Of je moet een security scan van software bibliotheken onder "beheer" laten vallen - wat de meeste bedrijven echt niet doen. CVE's enzo vallen daar wel onder, maar een direct aanval niet.

Ik geef dit aan omdat we in een steeds meer met elkaar vervlochten wereld leven waar eigenlijk alles met elkaar samenhangt. Dat de politieke leiders dat niet doen maakt dat een ingewikkeld vraagstuk. We kunnen niet zomaar af van elke Amerikaanse invloed (en zij kunnen niet zonder ons natuurlijk).
Aldy @fvdberg18 juli 2025 20:15
De consument kan en hoeft niet de integriteit van elk stukje software op de keten te garanderen.
Ik vraag mij af of de consument sowieso iets moet garanderen. Bedenk dat de meeste consumenten niet IT onderlegd zijn en degene die dit wel zijn moeten dan ook nog gespecialiseerd zijn op dit gebied. Ik denk overigens dat je het ietwat gechargeerd wilde vertellen, aangezien de rest van je reactie gewoon juist is.
bosbeest @fvdberg19 juli 2025 00:15
Thanks ChatGPT!

[Reactie gewijzigd door bosbeest op 19 juli 2025 00:15]

Tozz @locke96018 juli 2025 13:10
Het doet natuurlijk wel iets meer dan dat. Het systeem voorkomt ook dat e-mails met gevoelige informatie kunnen worden doorgestuurd bijvoorbeeld. Bovendien hoef je nu niet alle beheerders die een mail platform beheren waar je mail doorheen gaat te vertrouwen, maar slechts 1 partij. Bovendien heb je met die partij een overeenkomst en die heb je met een willekeurige e-mail beheerder op Internet niet. Dat impliceert ook dat je een willekeurige e-mail beheerder niet aansprakelijk kunt stellen en/of eisen aan kunt stellen en dat kun je met Zivver wel. Het lijkt mij ook geen gekke gedachte dat je met zo'n partij meer vertrouwen hebt dan in ene locke960 die op Internet ergens een relay doos heeft staan.

Dat alles maakt dat je met Zivver kan voldoen aan de eisen die de overheid stelt, waar dat met een onbekende derde beheerder niet kan.
CapnCrinkle @locke96018 juli 2025 16:15
Maar een communicatief product maken waarbij de leverancier géén toegang heeft tot deze informatie is toch niet mogelijk?

Iedere regering zal altijd wel inzicht afdwingen onder het mom terrorisme/georganiseerde misdaad bestrijding?
Blokker_1999
@olafmol18 juli 2025 09:18
Je moet hier een risico afweging maken en beginnen met een kosten/baten analyse. Wat is het risico? Wat zijn de gevolgen als het misloopt? Welke alternatieven zijn er? Wat kost een migratie?

Het is echt niet zo eenvoudig als: oh nee, het is nu Amerikaans, morgen moeten we op een andere dienst zitten. Dat is sowieso een traject dat maanden in beslag zal nemen bij elke organisatie met enige omvang.

En het is natuurlijk ook niet zo dat de Amerikaanse overheid nu ineens alles maar gaat opvragen.
nonestpraens @Blokker_199918 juli 2025 10:51
Aangezien de architecten van Project2025 hebben gezegd dat hun doel is om het Europese Westen te verzwakken om vervolgens onze kritische bedrijven op te kopen, dit kan natuurlijk worden gerealiseerd via meerdere manieren. Daarnaast is Trump ook van mening dat de EU is opgericht om Amerika tegen te werken, terwijl wij grotendeels focussen op economische samenwerking echter is de gehele Europese markt bijna even groot als die van Amerika, dit willen zij veranderen.

Gezien alles wat Trump al heeft gedaan met zijn macht, zou data stelen van de EU wel het minste zijn waar hij om geeft, aangezien die al in opdracht van de Israëliërs met alle plezier Amerika's duurste bombers en daarbij horende bommen heeft gebruikt op Iran.

Stel jezelf de vraag, de man die al 600.000 mensen heeft deport, Iran heeft aangevallen, actief zijn bondgenoten dwars zit en dreigt met het overnemen van Groenland en Canada, nee die beste man zou er echt nooit aan denken om Nederlandse data te stelen! tenzij hij dat wil dan ligt het binnen enkele uren op zijn bureau.
Q200 @nonestpraens18 juli 2025 11:11
Mijn eerste idee was ook: waarom wil een Amerikaans bedrijf Zivver kopen? Dat is of vanwege "heel veel geld verdienen", of vanwege de strategische positie die Zivver heeft.

Als er geld te verdienen is, waarom zouden de eigenaren van Zivver het dan willen verkopen? Dus is het toch om een kritische IT dienst in Amerikaanse handen te krijgen?
nonestpraens @Q20018 juli 2025 11:37
Mijn eerste idee was ook: waarom wil een Amerikaans bedrijf Zivver kopen?
Precies dit, gezien de relatiebreuk tussen Amerika en de EU komt er een toekomstige vraag aan Europese diensten die te vertrouwen zijn en kunnen meesschalen. Dan heb ik toch de vraag; waarom wordt Zivver verkocht? Als menig EU staat al aan het kijken is naar Europese oplossingen, wilt switchen naar Linux (GendBuntu en Schleswig-Holstein) om MS te dumpen.

Waarom zou je dan een Nederlands bedrijf verkopen die in een positie zit om massaal te profiteren van de huidige argwaan richting Amerikaanse tech bedrijven, evenals Lidl hun cloud omgeving StackIT die nu profiteert om de eerste Europese hyperscaler te zijn.

Ik ben daarom van mening dat het een strategische machtpositie is voor meer softpower.
Martinez- @olafmol18 juli 2025 09:08
Gemak dient de mens. Zivver is net geïmplementeerd en nu alweer vervangen? Nee joh, afschrijving van implementatiekosten heeft nog amper plaatsgevonden.

Over 5 jaar zien we wel weer. Jammer dat in die 5 jaar je alles te grabbel gooit waarvoor je dit hele product geïmplementeerd hebt.
rko4u @olafmol18 juli 2025 09:09
Uiteindelijk gaat dit niet om hun veiligheid, maar om die van ons. Als zivver gehackt wordt is dat dus feitelijk jiet hun probleem, maar dat van de mensen die hun privacy in hun handen hebben gelaten. En het bedrijf treft geen blaam, zij hebben niet gelekt.
Emos @olafmol18 juli 2025 09:24
Maar, maar, jij hebt toch niets te verbergen?
michelr @olafmol18 juli 2025 10:20
".. nu kan de Amerikaanse overheid wettelijk jouw “veilige e-mails” opvragen en inzien" is erg kort door de bocht. Verder loop je met elk product van een commerciele partij dit risico; als morgen eNovation overgenomen wordt, gaat iedereen bij ZorgMail weg? Bastion365? De meeste rumoer kwam uit de richting van de concurrentie. Ik ken geen partij die opeens voornemens is te switchen. Los van juridische aspect is impact eventuele omzetting ook niet gering.
olafmol @michelr18 juli 2025 11:56
Het ligt er aan door welke partij zo’n club wordt overgenomen, en waar de data staat. Als het een EU club is maar de data staat op een US cloud provider (zelfs al is het in een non-US DC) dan mag de Amerikaanse overheid er nog gewoon bij, via de cloud provider. Als het een US eigenaar is, dan maakt het al helemaal niet meer uit waar de data staat.
qlum @olafmol18 juli 2025 11:46
Ik denk dat dit soort reacties, vooral duiden op hoe er gekeken wordt naar diensten zoals Zivver.

Het is vooral een moetje, gewoon mails versturen mag niet, dan maar Zivver is niet zo heel vervelend in gebruik. Of het nu echt veilig is tja, daar gaat het niet om. Zolang het maar op papier aan de norm voldoed.

Dus lees: Geloof niet dat ze een bedrijf over zouden nemen, als de klanten het daardoor niet meer mogen gebruiken. Is hoe ik die reactie lees.
Fishbeast @olafmol18 juli 2025 12:49
Dan weet je ook dat de vraag aan de verkeerde persoon is gesteld: je krijgt waarschijnljik een heel ander antwoord als je deze vraag aan de CISO stelt of iets dergelijks :P
DLSS @olafmol18 juli 2025 15:53
Onderliggend is het een kwestie van kosten en moeite die gepaard gaan met het switchen naar een andere service die ze niet willen aangaan, vermoed ik.
Sixsonic @olafmol18 juli 2025 10:18
en de leuke cloud oplossingen van microsoft dan? heerlijk toch haha
Oon @olafmol18 juli 2025 12:58
Maar dat is de mening van één persoon bij één organisatie. De waarde van die uitspraak is verwaarloosbaar..
Die_ene_gast @olafmol21 juli 2025 10:20
De vraag is, waar hostte dit bedrijf dit?
En vergeet niet, de EU heeft ook een cloud act.

Dus links- of rechtom, het komt ergens wel terecht. En dan vergeten we ook nog eens de 14 eyes en het idee van store now decrypt later.
NEK 18 juli 2025 14:18
De overname van Zivver door een Amerikaanse investeerder maakt het platform, hoe goedbedoeld en technisch robuust ook, per definitie kwetsbaar voor datatoegang via de Amerikaanse Cloud Act. De geruststelling dat data in Nederland blijft en dat de AVG wordt gevolgd, is onvoldoende: het gaat om zeggenschap, niet om locatie.

Zolang een Amerikaanse partij zeggenschap of eigendom heeft, kan de Amerikaanse overheid via een gerechtelijk bevel toegang afdwingen tot data, ook als die data fysiek in de EU staat, versleuteld is opgeslagen, of wordt beheerd door een Europese dochteronderneming. Encryptie en juridische 'Chinese walls' helpen alleen als de sleutels en de governance volledig buiten Amerikaanse invloed vallen en dat is bij een Amerikaanse eigenaar juridisch en praktisch uitgesloten.

Volledige soevereiniteit is alleen mogelijk als:
  • het eigendom en de operationele controle volledig in Europese handen liggen,
  • de hosting plaatsvindt bij Europese cloudproviders zonder Amerikaanse moeder,
  • en sleutelbeheer zich volledig onder EU-jurisdictie bevindt.
Dat betekent dat zodra een bedrijf als Zivver wordt overgenomen door een Amerikaanse partij, volledige juridische en technische soevereiniteit niet langer kan worden gegarandeerd. Alles daaronder is schijnveiligheid: geruststellingen die technisch plausibel lijken, maar juridisch ondermijnd worden zodra Amerikaanse wetgeving in werking treedt.

Net als bij AWS EU Sovereign Cloud geldt hier:
Zolang er Amerikaanse eigendom of invloed is, blijft de Cloud Act van toepassing, en is er sprake van schijnveiligheid tenzij volledige soevereiniteit juridisch en technisch is gewaarborgd.
uiltje @NEK18 juli 2025 19:27
Misschien moeten we een wet aannemen die het verplaatsen van de data die door de dienst wordt aangeboden mogelijk maakt. Verder moeten we dan eisen dat het maken van zo'n data dump en het stoppen van de dienst voor de kosten van de dienst komt. Dan denken de Amerikanen wel 2 keer na voordat ze zo'n dienst overnemen. Ze kunnen altijd deze wetgeving de nek omdraaien als ze dat niet willen.
trab_78 18 juli 2025 08:37
Ik vond Zivver sowieso altijd al twijfelachtig. De beveiligingscodes worden naar hetzelfde e-mailadres gestuurd. Dus als iemand toegang zou hebben tot je mail, dan kunnen ze ook Zivver-berichten openen. Dan kan je het toch net zo goed rechtstreeks mailen? Die codes zouden via een ander kanaal moeten gaan.
The Zep Man
@trab_7818 juli 2025 08:45
Met een dienst als Zivver kan toegang tot inhoud van beveiligde mails ingetrokken worden. Een mailbox die later gecompromitteerd is heeft dan geen toegang meer tot oudere gevoelige inhoud. Niet dat ik het eens ben met het gebruik van Zivver-achtige diensten, maar dat is één van de voordelen die organisaties niet hebben met direct mailen.

Zelf vind ik dat een mailbox functioneel vergelijkbaar is met een postbus voor fysieke post. Daar worden ook gewoon brieven met gevoelige inhoud heen gestuurd. Het wordt tijd om e-mail van een vergelijkbaar of beter beveiligingsniveau te voorzien, zoals het verplichten van TLS voor SMTP tussen servers en het standaardiseren en beter ondersteunen van S/MIME en PGP. Binnen en tussen organisaties zou gebruik van S/MIME afgedwongen moeten worden, zodat mail met gevoelige inhoud niet plain text op een server van bijvoorbeeld Microsoft hoeft te staan.

[Reactie gewijzigd door The Zep Man op 18 juli 2025 10:10]

michelr @The Zep Man18 juli 2025 12:09
Verplichten TLS = MTA-STS. S/MIME en PGP zijn gedrochten, zeker als het tussen instanties gaat.
The Zep Man
@michelr18 juli 2025 14:16
S/MIME en PGP zijn gedrochten, zeker als het tussen instanties gaat.
Alleen omdat het niet verplicht is, waardoor de drempel om het goed in te richten te hoog is. Als het wel verplicht zou worden dan komen er vanzelf gebruiksvriendelijke en gestandaardiseerde oplossingen.
michelr @The Zep Man18 juli 2025 15:17
Gelukkig werken Google (en MS dadelijk) mee door eisen te gaan stellen aan de wederpartij. Geen DMARC, geen sigaar. Dat zal over de tijd wel worden aangevuld met MTA-STS of die andere geloofsovertuiging SMTP DANE over DNSSEC. Op dat gebied zijn die veilig mailen leveranciers vaak nog wat terughoudend. Ik snap dat wel, het is uiteindelijk ook een mooie melkkoe.
readefries @michelr18 juli 2025 12:17
Waarom vind je S/MIME en PGP gedrochten?
michelr @readefries18 juli 2025 15:15
Het zijn meer technische oplossingen. Je legt een hoop last bij de eindgebruiker en beheer (management, onderhoud). Acceptatie is daarom veelal laag, en kiest men eerder voor dit soort veilig mailen oplossingen of andere IRM oplossingen.
elmuerte @michelr18 juli 2025 17:32
Als die grote data harvesters (e.g. Google, Microsoft) een beetje meegewerkt hadden zou PGP helemaal niet een groot probleem hoeven te zijn voor gebruikers. Key management had gewoon onderdeel kunnen zijn van contact management.
The Zep Man
@michelr18 juli 2025 22:13
Het zijn meer technische oplossingen. Je legt een hoop last bij de eindgebruiker en beheer (management, onderhoud).
In een beheerde omgeving kan dat voor de eindgebruiker weggenomen worden.

Beheer moet doen wat beheer moet doen. Dat is hun baan. Een goede PKI is volledig geautomatiseerd.

[Reactie gewijzigd door The Zep Man op 18 juli 2025 22:14]

DeJaapS @trab_7818 juli 2025 08:57
Dit is niet iets wat uniek is aan Zivver. Er moet een manier van twee factor aanwezig zijn volgens de NEN 7516. Als je iemand's telefoonnummer hebt dan is SMS het beste, maar te vaak is het zo dat die niet bekend is, maar je wilt toch met de klant/cliënt/patiënt mailen en omdat er gegevens in de mail (kunnen) zitten die beschermd moeten worden vanwege privacy/AVG dan moet je gebruik maken van een provider zoals Zivver, Zorgmail of een andere NEN 7516 provider. Dan is het minimale beveiligingsniveau dat je een aparte code stuurt naar hetzelfde mailadres.

De enige beveiliging die er daadwerkelijk overblijft is dat de toegang tot de verstuurde inhoud weer ingetrokken kan worden.
Stijnvi @DeJaapS18 juli 2025 13:57
Er moet een manier van twee factor aanwezig zijn volgens de NEN 7516.
Dan voldoet het mailen van een code naar het emailadres daar dus eigenlijk niet aan. Er wordt namelijk nog steeds maar van één factor (het emailadres) gebruik gemaakt.
DeJaapS @Stijnvi31 juli 2025 09:53
Ja en nee, in de meest technische zin wel, want je hebt een tweede factor, naast je normale login voor toegang tot je e-mail is er een code die je in moet vullen, en nee omdat de code zich achter diezelfde login gegevens wordt aangeboden. Zivver raad zelf het gebruik van deze vorm van authentificatie ook af en geeft aan dat die het minst veilig is.

Toen de NEN7516 op kwam dagen realiseerde ik me meteen al dat het voor het grootste deel een wassen neus is omdat het leeuwendeel van die mails op deze manier 'beveiligd' zouden worden.
DealExtreme2 @trab_7818 juli 2025 09:18
Het is vooral gebaseerd op oude gedachtes. E-mail is tegenwoordig al versleuteld, de communicatie kan al niet afgevangen worden.

En die wassenneus van een code naar hetzelfde mail adres - een hoop gedoe om uiteindelijk geen extra veiligheid. Nog maar los van de issues met de outlook plugin en het hele idee dat we nu gewoon alles per e-mail kunnen sturen.

Nooit begrepen, behalve meer in de trant van: ze zijn nederlands en we moeten iets. Dus tja, beter iets dan niets?
Blokker_1999
@DealExtreme218 juli 2025 10:23
Email is helemaal niet versleuteld, hoe kom je daarbij? Email kan versleuteld zijn in transit, maar op mailservers en in mailboxen staat het gewoon in plaintext. En iedereen met toegang tot zo een mailserver of de datafile van een gebruiker's mail client kan gewoon die mails lezen.

Encrypted email bestaat inderdaad, maar wordt relatief weinig toegepast omdat het een complex gegeven is waarbij je vooraf je publieke sleutels moet uitwisselen.

Codes naar hetzelfde adres zijn inderdaad niet zo veilig, maar nog altijd veiliger dan gewoon direct de inhoud te versturen. Want zo voorkom je dus dat een mail plaintext wordt opgeslagen op de ontvangde mailservers en ben je ook in staat om de toegang te beperken in de tijd bijvoorbeeld.
DealExtreme2 @Blokker_199918 juli 2025 10:38
Tegenwoordig is e-mail vrijwel altijd versleuteld tijdens transport via TLS. Dat betekent dat onderweg afluisteren in de meeste gevallen geen echt risico meer is. Het probleem zit enkel in in de opslag — op de mailservers en in de mailclients, waar berichten in plaintext opgeslagen blijven.

Zivver-achtige oplossingen lossen dat niet fundamenteel op. Je verplaatst de inhoud naar een externe server, waar het alsnog gelezen, gedownload of bewaard kan worden. En dat gebeurt dan in de browser, inclusief alle kwetsbaarheden van dat platform (browserextensies, caching, local storage...). Intrekken klinkt mooi, maar als de ontvanger het wil bewaren of delen, kan dat alsnog — denk aan printen naar PDF of het simpelweg doorsturen en dan hebben we het bericht op meer servers i.p.v. minder.

En als we zeggen dat we de servers van eindgebruikers niet vertrouwen, dan is die toegangscode per e-mail in datzelfde systeem natuurlijk niet snugger. Je het gelijk dat je dan direct moet toeslaan — je hebt één kans op het juiste moment. Bij traditionele e-mailopslag kun je met terugwerkende kracht bij een datalek oude berichten inzien. Dat is inderdaad een relevant verschil, maar daar lever je wel veel gebruiksgemak, interoperabiliteit en eenvoud voor in. En, je voegt veel nieuwe veiligheidsissues toe.

Uiteindelijk creëer je een complexere keten met meer aanvalsvectoren, zonder dat het fundamentele probleem is opgelost. En in mijn ervaring worden veel zivver mails gedownload of doorgestuurd en heb je je als organisatie lekker 'afgedekt', maar weet je eigenlijk dat je het probleem groter hebt gemaakt.
Oon @DealExtreme218 juli 2025 13:03
[quote]E-mail is tegenwoordig al versleuteld, de communicatie kan al niet afgevangen worden.[/quote]

Daar kun je écht niet zomaar vanuit gaan, ook in deze tijd niet. 9/10 shared hosts staat nog gewoon inloggen zonder versleuteling toe.

Het grote probleem met mail is dat je geen controle hebt over wat er aan de andere kant gebeurt. Heel leuk dat je eigen mail versleuteld is, maar mail op zichzelf is onveilig en onbeveiligbaar.
Scriptkid @DealExtreme218 juli 2025 09:30
En de iro ie is dat veel zivver klanten Volgensmij ook M365 hebben waar zelfde functionaliteit in de licentie zit dus zivver zijn alleen extra kosten.

En als je voor die super secure mails een DKE doet kan usa niet bij je decryptie keys. Is wel een hele overhead ik zou voor MS beheerde keys gaan.
olafmol @Scriptkid18 juli 2025 12:00
MS is een US bedrijf. Dus als je daar je private keys beheert heb je nog niks opgelost.
Scriptkid @olafmol18 juli 2025 14:29
Als je echt wilt kun je als ik aangaf DKE doen. Maar dat is heel kostbaar,


En ms managed keys zijn zwaar bewaakt, zodra er ook maar 1 inzage verzoek komt is het hele cloud model omzeep dus zal ms waarschijnlijk heel hard vechten om het niet te hoeven doen en ze kunnen veel harder vechten dan een zivver. Gezien ze veel kapitaal krachtiger zijn en dat de usa er mee gemoeid is MS in de lucht te houden ipv kapotmaken over een data inzage verzoek.
olafmol @Scriptkid18 juli 2025 15:50
Trump kan harder vechten. Dat heeft ie wel laten zien. En kijk ook even wie er allemaal bij zn inauguratie zaten.
Houtenklaas @Scriptkid18 juli 2025 18:54
Klinkt leuk, maar is gewoon wetgeving in de USA. Daar kunnen wij iets van vinden (en dat doe ik ook), daar heeft MS helemaal niets van te vinden, die moeten de wet eerbiedigen, hoe krom die ook is.
Scriptkid @Houtenklaas18 juli 2025 22:18
dat snap ik alleen dat gaat via rechtzaken die je aan kan vechten,

en de MS geld put is echt wel dieper dan die van zivver. Daarnaast is zoals ik aangaf de USA niet geholpen bij een inzage verzoek als ze dan heel europa kwijt raken als ms klant, waar dat bij zivver geen issue is.

Dus de commitment van USA om dat te doen is er helemaal niet want dan maken ze in een keer een van hun grootste en zekerniet ook een partij waar ze zelf afhankelijk van zijn kapot.
Houtenklaas @Scriptkid18 juli 2025 18:52
Onzin. Zivver wordt gebruikt naar willekeurige niet vooraf bekende gebruikers. Daar kan je niet vanuit gaan dat ze altijd M365 hebben. MS beheerde keys is een uiterst slechte keuze als je niet wil dat jouw data gelezen mag worden in de USA. Cloud act vergeten wellicht?
Scriptkid @Houtenklaas18 juli 2025 22:22
meschien even beter lezen ik zeg al 3x keer dat je dan DKE kunt doen, maar dat is net zoals bij elke ander 3de partij een lastige oplossing met naardere gevolgen dan MS beheerde keys .

Dus MS keys zijn the best of the worst en met minste risk
Houtenklaas @Scriptkid18 juli 2025 22:59
De MS DKE oplossing is bij een use case van 1000 gebruikers 4X zo duur als die van Zivver, waarbij Zivver 100% van de afleveringen kan afhandelen, wat in het MS geval onmogelijk is omdat het endpoint niet in jouw beheer is. En daarmee is MS niet slechter of zo, maar voor de use case waar Zivver voor wordt gebruikt niet de beste oplossing.
Scriptkid @Houtenklaas18 juli 2025 23:26
hoe authenticate een Niet zivver gebruiker dan bij ZIvver om zijn decryption key op te halen ?
Houtenklaas @Scriptkid18 juli 2025 23:38
Volgens mij ben je prima in staat de voors en tegens naast elkaar zetten, maar ik proef een lichte bias voor MS. En dat is prima overigens. MS heeft voor veel bedrijven hele mooie oplossingen, maar het past niet altijd exact op de gewenste use case, of is simpelweg te duur. You can't win them all.
zx9r_mario 18 juli 2025 08:56
Ik ga ervan uit dat de directeur hier goed over nagedacht heeft
Assumption is the mother of all fuckups :X

[Reactie gewijzigd door zx9r_mario op 18 juli 2025 09:13]

nvaert1986 @zx9r_mario18 juli 2025 09:53
Precies dit. To Assume. Making an *ss out of U and Me ;)
BounceMeister 18 juli 2025 08:45
Dus gevoelige gegevens (want daarom gebruikt men deze omslachtige methode), worden gedeeld met Amerika, want dat staat in een van die Acts.

Lijkt me ongewenst. Kun je als patiént eisen dat een zorgverlener geen Zivver meer gebruikt voor jouw gegevens?
R_Zwart @BounceMeister18 juli 2025 09:42
Ik denk niet dat je daar als patient iets over te zeggen hebt.

Maar draai het eens om: wat doe jij als een klant eist dat jij andere systemen moet gaan implementeren? En heb jij alle Amerikaanse systemen die je gebruikt (zichtbaar of minder zichtbaar) al vervangen?
biomechanical @BounceMeister18 juli 2025 09:51
Ikzelf heb een hulpverlening instantie die zivver gebruikt. En nee, ik kan niet dwingen dat ze vizzer niet gebruiken.

Mijn oplossing was simpel: ik wens geen emails te ontvangen. Stuur naar een brief wanneer het nodig is. Of laat de hulpverlener deze afgeven wanneer deze weer langskomt (1* in de 2 weken momenteel)

Niet belangrijke zaken via WhatsApp.

Mijn bezwaar is dat de email op hun servers staat, en de code die ik nodig heb om de email te downloaden, wordt ook door hun gegenereerd.

Oftewel. Zij kunnen mijn emails lezen.

Natuurlijk zeggen ze van niet. Maar het is simpel om die code als een soort bcc naar zichzelf te sturen.

En zijn de emails wel encrypted?

En zouden de emails encrypted zijn, het zijn de servers van zivver die de boel encryten en decrypten.

En ik vertrouw het gewoon niet (genoeg voor medische of financiële zaken)!

Is het onhandig dat ik geen emails van mijn zorgverlener krijg? Nee. Sinds de invoering van deze "beveiligde" versie van zivver, zijn er geen enkele problemen voortgekomen.

Ps

Zivver heeft 2 versies. De versie tussen zivver gebruikers en niet zivver gebruikers (mijn situatie) en tussen zivver en zivver gebruikers (waar ik geen ervaring mee heb, dus niet de werking weet)
Majestici @BounceMeister18 juli 2025 11:10
Ja dat kan, eisen dat ze post gebruiken. Heb ik ook gedaan met post van de bedrijfsarts.
uiltje @BounceMeister18 juli 2025 22:35
Heel veel staat al in de cloud. Raad eens welke platvormen daar het meest populair zijn? Als je daar bang voor bent geef ik je geen ongelijk, maar dan moeten we eerst haast maken met een EU cloud systeem.
GerardReijman 18 juli 2025 09:25
Zivver is niet echt een prettig pakket om mee te werken.

Op mijn werk hebben we hier gebruik van gemaakt voor veilig mailen (het gaat hier om een sociaal ontwikkelbedrijf en we werken veel met persoonsgegevens)

De plug-in in Outlook was al erg rottig, vaak startte die niet op omdat Outlook vond dat het te lang duurde om het te starten dus was het uitgeschakeld.

In de nieuwe Outlook werkt het niet.

En aanmaken van accounts kon toen alleen handmatig als je gebruik maakt van Azure AD want als je dat automatisch wilde toen kon het alleen als je een lokale AD had draaien met Azure connect en de synchronisatie tool van Zivver.

Gelukkig gebruiken we dit nu niet meer en zijn we overgestapt op Bastion 365.
gybe @GerardReijman20 juli 2025 09:17
Ik heb enkele jaren terug ook wel eens Bastion 365 bekeken. Maar waar slaan zij de gegevens op, ik lees plugin-loze integratie etc. Maar komen mails binnen op een Bastion 365 server of op een Microsoft server met een bastion laagje? Ik kan dit niet direct vinden.
Het laatste zou natuurlijk hetzelfde probleem opleveren als wat Zivver nu krijgt.
Majestici 18 juli 2025 10:13
>Amerikaans

Nee hoor, Israelisch.

https://www.calcalistech.com/ctechnews/article/hyqfxfc5c

Wat kan er misgaan dat een israelisch team al onze medische gegevens in kan zien! Niets toch?!

[Reactie gewijzigd door Majestici op 18 juli 2025 10:14]

readefries 18 juli 2025 08:35
Zelf vind ik Zivver maar irritant, doordat je deze niet in je gewone mailclient kan openen en je dus niet kan zoeken in je historie. Kan een arts wel zeggen dat ie het gemaild heeft, maar dat is dus niet meer te zoeken. In het begin kun je nog de berichten downloaden die door de mailclient in te lezen waren, maar dat hebben zoor PDF vervangen helaas.

Misschien wordt het eens tijd voor een open variant op basis van PGP. De techniek is er wel, alleen om er voor te zorgen dat sleutels vertrouwd worden e.d. is wel een ding.
Mawlana @readefries18 juli 2025 09:01
Als ik me niet vergis kan je de mails - na ingelogd te zijn - wel laten doorsturen naar je mailbox of downloaden als eml. Blijft omslachtig, maar toch.


Of verwar ik het met een andere dienst?

[Reactie gewijzigd door Mawlana op 18 juli 2025 09:01]

kodak
@readefries18 juli 2025 09:09
Het nieuws gaat niet om meningen over wat er allemaal beter kan aan de werking in het algemeen. Natuurlijk kun je dat ook (of meer) vervelend vinden. Maar dat kon voor de overname ook al.

Iets een mogelijke oplossing noemen zonder naar de (wettelijke) eisen te kijken of het in verhouding te stellen tot wensen is ook te makkelijk. Je voorstel gaat daar op geen enkele manier op in.
Baardmeester @readefries18 juli 2025 09:49
Dat is natuurlijk ook het idee van Zivver dat jouw medische gegevens niet zomaar op de servers van je mail provider komen en doorzoekbaar zijn. Tenzij je er zelf voor kiest.
readefries @Baardmeester18 juli 2025 10:19
Dat tenzij kan dus niet, als het in te stellen zou zijn: heel graag!
Baardmeester @readefries18 juli 2025 11:23
Niet automatisch, maar je kunt wel een mail opslaan.
https://docs.zivver.com/nl/guest/save-zivver-message.html
readefries @Baardmeester18 juli 2025 12:15
Heey dank je. Ik had alleen de PDF optie.Terwijl zowel DANE en TLS staan aan (ik gebruik soverin).
readefries @Baardmeester18 juli 2025 15:44
Thanks!

Toch even gezocht, je kan via FTPS de mails binnen halen. Al is dat wat flaky, ze rapporteren verkeerde grote van de mails waardoor de client fouten geeft. Volgens de docs moet je het dan nog eens proberen :D gelukkig heeft rclone een --ignore-size optie
ZeRoC00L 18 juli 2025 08:36
Is het niet te vroeg om conclusies te trekken ?

Overname is net gedaan, contracten lopen nog.
The Zep Man
@ZeRoC00L18 juli 2025 08:38
Is het niet te vroeg om conclusies te trekken ?
De conclusie "deze organisatie actief in de EU is ook actief in de VS, dus CLOUD-verordening is van toepassing" is niet een te vroeg getrokken conclusie.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq