Ministerie: dataverzameling Windows 10 en Office privacyrisico
Gegevens die Windows 10 Enterprise en Microsoft Office van en over gebruikers verzamelen en in een database in de Verenigde Staten opslaan vormen een risico voor de privacy van gebruikers, zo blijkt uit onderzoek van het ministerie van Justitie en Veiligheid. Microsoft heeft aanpassingen aangekondigd.
Binnen de Rijksoverheid hebben grote ict-leveranciers zoals Microsoft, Oracle en SAP één aanspreekpunt. Het aanspreekpunt voor Microsoft is Strategisch Leveranciers Management Microsoft Rijk (SLM Microsoft), gevestigd binnen het ministerie van Justitie en Veiligheid. SLM Microsoft heeft de PrivacyCompany een Data Protection Impact Assessment (DPIA) laten uitvoeren op de producten en diensten van Microsoft.
"Er is met dit eigen onderzoek van het ministerie van Justitie en Veiligheid vastgesteld dat er via de producten 'Windows 10 Enterprise' en 'Microsoft Office' informatie van en over de gebruiker verzameld en opgeslagen wordt in een database in de VS op een manier die hoge risico's meebrengt voor de privacy van de gebruiker", zo staat in een update over de onderhandelingen tussen het Rijk en Microsoft over AVG compliance (pdf).
In de presentatie over het onderzoek wordt gesteld dat Microsoft Office "heimelijk" de gedragsgegevens verzamelt van 300.000 rijkswerkplekken, van ministeries en politie tot rechtspraak en toezichthouders (pdf). Ook is het volgens de onderzoekers onduidelijk welke gegevens Microsoft bewaart en verzamelt over het gedrag van gebruikers. Wel is duidelijk dat het om grootschalige verwerking van persoonsgegevens van gevoelige aard gaat, aldus de onderzoekers.
Naar aanleiding van het onderzoek is SLM Microsoft met Microsoft in gesprek gegaan over een verbeterplan. De softwaregigant gaat haar producten dusdanig aanpassen dat het gebruik daarvan voor de Nederlandse overheid binnen de context van de AVG en andere wet- en regelgeving mogelijk is. Deze wijzigingen zal Microsoft in 2019 aanbieden. In de tussentijd zal het Rijk maatregelen moeten nemen om de datastromen naar Microsoft zo veel mogelijk te beperken, zodat Microsoft-diensten binnen de regels van de AVG kunnen worden gebruikt.
Reacties (42)
13-11-2018, 12:35 door
Anoniem
In de tussentijd zal het Rijk maatregelen moeten nemen om de datastromen naar Microsoft zo veel mogelijk te beperken, zodat Microsoft-diensten binnen de regels van de AVG kunnen worden gebruikt.
Het unieke advertentie-id van windows10 uit de telemetriecommunicatie filteren?
Kan dat?
Of doet je licentie het dan ook direct niet meer?
13-11-2018, 12:54 door
Rexodus
Waarom zouden ze dat niet doen? Zolang het klootjesvolk dit allemaal accepteert, veranderd er niets. En aangezien het volk behoorlijk achterlijk is, (gemiddeld IQ van slechts 100), blijft dit dus zo.
13-11-2018, 13:05 door
Anoniem
Plebs: dataverzameling overheid is een privacyrisico.
13-11-2018, 13:21 door
Anoniem
Dan gaat er dus alleen wat veranderen voor die machtige rijksklant en de overige miljoenen EU / NL gebruikers van die producten staan in de kou. Als ze nu ballen hebben stappen ze naar de AP en de EU toezichthouder.
13-11-2018, 13:47 door
Anoniem
Er is geen enkele rechtvaardiging voor de opslag van dergelijke privacy gevoelige data. Microsoft gaat zich gedragen als Google, maar dan op de manier dat je zowel betaalt met geld, als ook met privacy.
13-11-2018, 14:00 door
Anoniem
Nou, nu bij wet open document format als vereiste standaard stellen. En het verbieden van 'studenten' licenties op commerciele produkten. (Hetzelfde toch als het gratis weggeven van drugs, om verslaafden te creeeren)
En je hebt over 20 / 30 jaar niemand meer de office gebruikt.
En je hebt over 20 / 30 jaar niemand meer de office gebruikt.
13-11-2018, 14:00 door
Anoniem
Door Anoniem: Er is geen enkele rechtvaardiging voor de opslag van dergelijke privacy gevoelige data. Microsoft gaat zich gedragen als Google, maar dan op de manier dat je zowel betaalt met geld, als ook met privacy.
Had je wat anders verwacht dan? Er wordt altijd een grens opgezocht en gekeken hoe ver ze hierin kunnen gaan. En het grote probleem is: Windows dan maar niet meer gebruiken kan bijna niet. Elke PC-boer verkoopt zijn computers met Windows erop geleverd. Of je stapt over naar Apple, maar daar is het al niet heel veel beter en moet je krom liggen vanwege de prijzen die ze hanteren. En Linux is wel goed, maar voor de meesten niet makkelijk te installeren als je er geen kaas van gegeten hebt.Met andere woorden: ze hebben "bijna" vrij spel....
13-11-2018, 14:07 door
Anoniem
Door Rexodus: Waarom zouden ze dat niet doen? Zolang het klootjesvolk dit allemaal accepteert, veranderd er niets. En aangezien het volk behoorlijk achterlijk is, (gemiddeld IQ van slechts 100), blijft dit dus zo.
Retard. 100 betekent het gemiddelde. Erboven is bovengemiddeld, Eronder is ondergemiddeld. "Achterlijk" is ook iets uit de jaren 60.
Maar goed, met jouw kennis van het Nederlands kijk ik niet op van je opmerking.
13-11-2018, 14:29 door
linux4
Is telemetrie in de W10 Enterprise editie niet uit te zetten door de beheerders?
Thuis gebruik ik Linux maar op werk verplicht W10 Enterprise, ben benieuwd wat er van mij verzameld wordt. Aan de nadere kant, het is alleen werk dus de enige die zich zorgen moet maken is de baas toch?
Thuis gebruik ik Linux maar op werk verplicht W10 Enterprise, ben benieuwd wat er van mij verzameld wordt. Aan de nadere kant, het is alleen werk dus de enige die zich zorgen moet maken is de baas toch?
13-11-2018, 14:31 door
14CQ20
Dat onderzoek had men zich kunnen besparen want dergelijke risico's liggen, zeker bij Amerikaanse providers en hun recente Cloudwetgeving, nu eenmaal voor de hand. Resten vragen als of er een gelijkwaardige Europese provider met volledige data-opslag binnen de EU beschikbaar was/is, hoe die opdrachten (zo dat uberhaupt al gebeurd is) destijds zijn aanbesteed en wat een en ander voor eventuele toekomstige nog aan te besteden opdrachten betekent nu in ieder geval de gevolgen van de Cloud Act voor Amerikaanse dienstverleners niet contractueel kunnen worden gemitigeerd.
13-11-2018, 14:38 door
Anoniem
Door linux4: Is telemetrie in de W10 Enterprise editie niet uit te zetten door de beheerders?
Thuis gebruik ik Linux maar op werk verplicht W10 Enterprise, ben benieuwd wat er van mij verzameld wordt. Aan de nadere kant, het is alleen werk dus de enige die zich zorgen moet maken is de baas toch?
Thuis gebruik ik Linux maar op werk verplicht W10 Enterprise, ben benieuwd wat er van mij verzameld wordt. Aan de nadere kant, het is alleen werk dus de enige die zich zorgen moet maken is de baas toch?
Ok, ik hap wel:
Nee en nee. Je kunt alleen het verzamelen beperken (tot de volgende Windows update, want dan kan alles weer anders zijn). Als jouw gedrag gevolgd wordt, ook op je werk, dan is dat ten koste van jouw privacy. Dus zowel jij als je werkgever moeten zich daar zorgen over maken.
13-11-2018, 14:39 door
Anoniem
"Is telemetrie in de W10 Enterprise editie niet uit te zetten door de beheerders?"
Ik gebruik W10 Enterprise (privé). Je kunt inderdaad een paar dingen uitzetten. Verder moet je toch echt in het register om allerlei dingen uit te schakelen en heb je extra software nodig om alle telemetrie om zeep te helpen. Dat zou niet zo moeten zijn.
Vergeet ook de browsers niet!
Ik gebruik W10 Enterprise (privé). Je kunt inderdaad een paar dingen uitzetten. Verder moet je toch echt in het register om allerlei dingen uit te schakelen en heb je extra software nodig om alle telemetrie om zeep te helpen. Dat zou niet zo moeten zijn.
Vergeet ook de browsers niet!
13-11-2018, 15:00 door
Bitwiper
Goed dat een grote Microsoft klant dit eindelijk ook eens aankaart. Het gaat natuurlijk niet alleen om de privacy van ambtenaren, maar van alle personen van wie de gegevens in of met software en/of clouddiensten van Microsoft (en/of partners) worden verwerkt.
Ik ben benieuwd of de overheid /overheden een of meer bewerkersovereenkomsten met Microsoft heeft afgesloten, want als ik me niet vergis zijn zij daartoe verplicht - wetende dat gegevens op systemen van Microsoft (en/of partners) terecht kunnen komen.
Ik ben benieuwd of de overheid /overheden een of meer bewerkersovereenkomsten met Microsoft heeft afgesloten, want als ik me niet vergis zijn zij daartoe verplicht - wetende dat gegevens op systemen van Microsoft (en/of partners) terecht kunnen komen.
13-11-2018, 15:31 door
Anoniem
Door Anoniem: Dan gaat er dus alleen wat veranderen voor die machtige rijksklant en de overige miljoenen EU / NL gebruikers van die producten staan in de kou. Als ze nu ballen hebben stappen ze naar de AP en de EU toezichthouder.
De AP heeft al eerder Microsoft op de vingers getikt en vastgesteld dat MS de wet overtreed met het graaigedrag van persoonsgegevens.Het is alleen jammer dat die laffe honden van de AP niet doorpakken en op Europees niveau een boete op laat leggen van minimaal 4% van de jaaromzet. Dat zijn bedragen waar zelfs die kloothommels bij MS toch best van schrikken. Bovendien zou de overheid zich eens achter de oren moeten krabben over het feit dat ze als een schoothondje hijgend achter de VS aanloopt om een prima product als Kaspersky te verbieden terwijl MS doodleuk allerlei gegevens stiekem binnen harkt.
13-11-2018, 15:40 door
linux4
Door Anoniem:
Ok, ik hap wel:
Nee en nee. Je kunt alleen het verzamelen beperken (tot de volgende Windows update, want dan kan alles weer anders zijn). Als jouw gedrag gevolgd wordt, ook op je werk, dan is dat ten koste van jouw privacy. Dus zowel jij als je werkgever moeten zich daar zorgen over maken.
Door linux4: Is telemetrie in de W10 Enterprise editie niet uit te zetten door de beheerders?
Thuis gebruik ik Linux maar op werk verplicht W10 Enterprise, ben benieuwd wat er van mij verzameld wordt. Aan de nadere kant, het is alleen werk dus de enige die zich zorgen moet maken is de baas toch?
Thuis gebruik ik Linux maar op werk verplicht W10 Enterprise, ben benieuwd wat er van mij verzameld wordt. Aan de nadere kant, het is alleen werk dus de enige die zich zorgen moet maken is de baas toch?
Ok, ik hap wel:
Nee en nee. Je kunt alleen het verzamelen beperken (tot de volgende Windows update, want dan kan alles weer anders zijn). Als jouw gedrag gevolgd wordt, ook op je werk, dan is dat ten koste van jouw privacy. Dus zowel jij als je werkgever moeten zich daar zorgen over maken.
Wat valt er te happen? Gewoon bizar dat Microsoft dit soort dingen verzamelt in een Enterprise omgeving.
Maar goed, ze hebben beterschap beloofd door zich ergens in 2019 aan te passen aan NL wetgeving. Blijkbaar kon dat niet meteen vanaf het begin. Ik denk dat ze het gewoon geprobeerd hebben en gekeken wanneer iemand het door heeft...
13-11-2018, 15:56 door
linux4
Door Anoniem:
Het is alleen jammer dat die laffe honden van de AP niet doorpakken en op Europees niveau een boete op laat leggen van minimaal 4% van de jaaromzet. Dat zijn bedragen waar zelfs die kloothommels bij MS toch best van schrikken. Bovendien zou de overheid zich eens achter de oren moeten krabben over het feit dat ze als een schoothondje hijgend achter de VS aanloopt om een prima product als Kaspersky te verbieden terwijl MS doodleuk allerlei gegevens stiekem binnen harkt.
Door Anoniem: Dan gaat er dus alleen wat veranderen voor die machtige rijksklant en de overige miljoenen EU / NL gebruikers van die producten staan in de kou. Als ze nu ballen hebben stappen ze naar de AP en de EU toezichthouder.
De AP heeft al eerder Microsoft op de vingers getikt en vastgesteld dat MS de wet overtreed met het graaigedrag van persoonsgegevens.Het is alleen jammer dat die laffe honden van de AP niet doorpakken en op Europees niveau een boete op laat leggen van minimaal 4% van de jaaromzet. Dat zijn bedragen waar zelfs die kloothommels bij MS toch best van schrikken. Bovendien zou de overheid zich eens achter de oren moeten krabben over het feit dat ze als een schoothondje hijgend achter de VS aanloopt om een prima product als Kaspersky te verbieden terwijl MS doodleuk allerlei gegevens stiekem binnen harkt.
Want de Russen zijn "de vijand" en de VS "onze vrienden".
13-11-2018, 16:29 door
Anoniem
Door Anoniem: "Is telemetrie in de W10 Enterprise editie niet uit te zetten door de beheerders?"
Ik gebruik W10 Enterprise (privé). Je kunt inderdaad een paar dingen uitzetten. Verder moet je toch echt in het register om allerlei dingen uit te schakelen en heb je extra software nodig om alle telemetrie om zeep te helpen. Dat zou niet zo moeten zijn.
Vergeet ook de browsers niet!
Ik gebruik W10 Enterprise (privé). Je kunt inderdaad een paar dingen uitzetten. Verder moet je toch echt in het register om allerlei dingen uit te schakelen en heb je extra software nodig om alle telemetrie om zeep te helpen. Dat zou niet zo moeten zijn.
Vergeet ook de browsers niet!
Vroeger kon je nog wel eens via de host file deze servers blokkeren maar daar is Microsoft wijzer van geworden en zijn de ip adressen waar Windows naar thuis belt vast in Windows gezet volgens berichten.
Er staan nog wel addressen op Internet die je in de hostfile kan zetten als voorzorg.
Link het Rijk en Microsoft over AVG compliance (pdf). is dood.
Door linux4: Wat valt er te happen? Gewoon bizar dat Microsoft dit soort dingen verzamelt in een Enterprise omgeving.
Maar goed, ze hebben beterschap beloofd door zich ergens in 2019 aan te passen aan NL wetgeving. Blijkbaar kon dat niet meteen vanaf het begin. Ik denk dat ze het gewoon geprobeerd hebben en gekeken wanneer iemand het door heeft...
Maar goed, ze hebben beterschap beloofd door zich ergens in 2019 aan te passen aan NL wetgeving. Blijkbaar kon dat niet meteen vanaf het begin. Ik denk dat ze het gewoon geprobeerd hebben en gekeken wanneer iemand het door heeft...
Inderdaad! Dat is exact het probleem! Bij de consumentenvariant van Windows 10 kan je je er nog iets bij voorstellen. Hoewel... Maar in een enterprise setting? In een context van bedrijfsgeheimen, bedrijfsspionage, e.d.? Je mag toch verwachten dat Microsoft zich verre van dat soort potentiële wespennesten houdt?!
Het is een rapport van externe partij "privacy company" met een algemeen verhaal over een publiek tool als een algemene thuisgebruik benadering.
Wat mist is:
- welke persoons gegevens worden bij het rijk op een desktop verwerkt met die tools.
- welke afwijkingen op de standaard thuis manier heeft de externe dienstverlener voor de Desktop en het netwerk aangebracht.
-etc etc.
Denk maar niet dat de situatie van het rapport echt van toepassing is een enterprise omgeving.
De tools en leveranciers met privacy gevoelige data is een lange waslijst met server based benaderingen zoas:
- Oracle onder bij schenk en erfrecht en kei in het nieuws
- SAP de standaard voor hr maar als je niet oplet zo in de cloud
- IBM (database mainframe watson etc) en
- is ook veel open source. Gewoonlijk dat deel is out of control
Helaas uit falen ict en de eis van deadlines gaat het niet op een echt veilige manier.
Laat ik er nu vanuitgaan dat pia begint met de vraag welke persoonsgegevens waar en waarom verwerkt worden.
Waar is dat hier gebeurd?
https://www.google.nl/amp/s/ictrecht.nl/2018/08/07/wanneer-is-een-pia-verplicht-volgens-de-autoriteit-persoonsgegevens/amp/
Wat mist is:
- welke persoons gegevens worden bij het rijk op een desktop verwerkt met die tools.
- welke afwijkingen op de standaard thuis manier heeft de externe dienstverlener voor de Desktop en het netwerk aangebracht.
-etc etc.
Denk maar niet dat de situatie van het rapport echt van toepassing is een enterprise omgeving.
De tools en leveranciers met privacy gevoelige data is een lange waslijst met server based benaderingen zoas:
- Oracle onder bij schenk en erfrecht en kei in het nieuws
- SAP de standaard voor hr maar als je niet oplet zo in de cloud
- IBM (database mainframe watson etc) en
- is ook veel open source. Gewoonlijk dat deel is out of control
Helaas uit falen ict en de eis van deadlines gaat het niet op een echt veilige manier.
Laat ik er nu vanuitgaan dat pia begint met de vraag welke persoonsgegevens waar en waarom verwerkt worden.
Waar is dat hier gebeurd?
https://www.google.nl/amp/s/ictrecht.nl/2018/08/07/wanneer-is-een-pia-verplicht-volgens-de-autoriteit-persoonsgegevens/amp/
Door karma4: Wat mist is:
Whoehahahaha! Dat 'wat mist is' doet beroep op een ethos (*) die in dit geval overduidelijk totaal afwezig is!
(*) https://www.visionair.nl/analyses/retorica-de-logos-ethos-en-pathos-van-het-overtuigen/
13-11-2018, 18:08 door
Remmilou
Door Anoniem:
Ok, ik hap wel:
Nee en nee. Je kunt alleen het verzamelen beperken (tot de volgende Windows update, want dan kan alles weer anders zijn). Als jouw gedrag gevolgd wordt, ook op je werk, dan is dat ten koste van jouw privacy. Dus zowel jij als je werkgever moeten zich daar zorgen over maken.
Is dit niet op de een of andere manier te blokkeren met een rule voor firewall of router?Door linux4: Is telemetrie in de W10 Enterprise editie niet uit te zetten door de beheerders?
Thuis gebruik ik Linux maar op werk verplicht W10 Enterprise, ben benieuwd wat er van mij verzameld wordt. Aan de nadere kant, het is alleen werk dus de enige die zich zorgen moet maken is de baas toch?
Thuis gebruik ik Linux maar op werk verplicht W10 Enterprise, ben benieuwd wat er van mij verzameld wordt. Aan de nadere kant, het is alleen werk dus de enige die zich zorgen moet maken is de baas toch?
Ok, ik hap wel:
Nee en nee. Je kunt alleen het verzamelen beperken (tot de volgende Windows update, want dan kan alles weer anders zijn). Als jouw gedrag gevolgd wordt, ook op je werk, dan is dat ten koste van jouw privacy. Dus zowel jij als je werkgever moeten zich daar zorgen over maken.
Iemand tips?
13-11-2018, 18:36 door
Anoniem
Is dit niet op de een of andere manier te blokkeren met een rule voor firewall of router? Iemand tips?
Ik denk dat er maar een tip gaat werken en deze is allemaal naar een andere OS over gaan, maar daar komtwel een leer proces bij kijken.
Er zijn besturings systemen waar Windows niet aan kan tippen maar daar ga ik hier niet verder over in, zelf uit proberen.
Ubuntu zou ik links laten liggen, kun je volgens mij net zo goed Windows gebruiken,
13-11-2018, 18:47 door
Anoniem
Door karma4: Het is een rapport van externe partij "privacy company" met een algemeen verhaal over een publiek tool als een algemene thuisgebruik benadering.
Wat mist is:
- welke persoons gegevens worden bij het rijk op een desktop verwerkt met die tools.
- welke afwijkingen op de standaard thuis manier heeft de externe dienstverlener voor de Desktop en het netwerk aangebracht.
-etc etc.
Denk maar niet dat de situatie van het rapport echt van toepassing is een enterprise omgeving.
De tools en leveranciers met privacy gevoelige data is een lange waslijst met server based benaderingen zoas:
- Oracle onder bij schenk en erfrecht en kei in het nieuws
- SAP de standaard voor hr maar als je niet oplet zo in de cloud
- IBM (database mainframe watson etc) en
- is ook veel open source. Gewoonlijk dat deel is out of control
Helaas uit falen ict en de eis van deadlines gaat het niet op een echt veilige manier.
Laat ik er nu vanuitgaan dat pia begint met de vraag welke persoonsgegevens waar en waarom verwerkt worden.
Waar is dat hier gebeurd?
https://www.google.nl/amp/s/ictrecht.nl/2018/08/07/wanneer-is-een-pia-verplicht-volgens-de-autoriteit-persoonsgegevens/amp/
Er is geconstateerd dat Microsoft 'heimelijk' informatie van en over de gebruiker verzamelt en opslaat in een database ergens in Amerika. Een PIA is hier al een gepasseerd station en daarmee einde discussie.Wat mist is:
- welke persoons gegevens worden bij het rijk op een desktop verwerkt met die tools.
- welke afwijkingen op de standaard thuis manier heeft de externe dienstverlener voor de Desktop en het netwerk aangebracht.
-etc etc.
Denk maar niet dat de situatie van het rapport echt van toepassing is een enterprise omgeving.
De tools en leveranciers met privacy gevoelige data is een lange waslijst met server based benaderingen zoas:
- Oracle onder bij schenk en erfrecht en kei in het nieuws
- SAP de standaard voor hr maar als je niet oplet zo in de cloud
- IBM (database mainframe watson etc) en
- is ook veel open source. Gewoonlijk dat deel is out of control
Helaas uit falen ict en de eis van deadlines gaat het niet op een echt veilige manier.
Laat ik er nu vanuitgaan dat pia begint met de vraag welke persoonsgegevens waar en waarom verwerkt worden.
Waar is dat hier gebeurd?
https://www.google.nl/amp/s/ictrecht.nl/2018/08/07/wanneer-is-een-pia-verplicht-volgens-de-autoriteit-persoonsgegevens/amp/
13-11-2018, 20:18 door
karma4
Door Anoniem: Er is geconstateerd dat Microsoft 'heimelijk' informatie van en over de gebruiker verzamelt en opslaat in een database ergens in Amerika. Een PIA is hier al een gepasseerd station en daarmee einde discussie.
Ik kijk naar de inhoud en onderbouwing. Daar klopt duidelijk iets niet. Wat je noemt is het bekende verhaal van service overeenkomst voor thuisgebruikers.Bedrijfsmarig gaat dat heel anders.
Google zend alles naar de US Facebook Amazon Apple en veel anderen. Als je de hobbyist los laat in een bedijfsomgeving heb je een probleem. Het is lastig genoeg goed met verwerkers overeenkomsten om te gaan.
In idee geval wat daar in het artikel een pia genoemd wordt lijkt me daar niet aan te voldoen. Dan wordt de vraag waarom dan zo iets. Moeten ze iets met kei?
13-11-2018, 20:36 door
The FOSS
Door karma4:
Door Anoniem: Er is geconstateerd dat Microsoft 'heimelijk' informatie van en over de gebruiker verzamelt en opslaat in een database ergens in Amerika. Een PIA is hier al een gepasseerd station en daarmee einde discussie.
Ik kijk naar de inhoud en onderbouwing. Daar klopt duidelijk iets niet. Nee? Wat is er dan specifiek niet kloppend in het door redactie gelinkte onderzoek? Te weten: https://www.rijksoverheid.nl/documenten/rapporten/2018/11/07/data-protection-impact-assessment-op-microsoft-office.
(N.B.: zoals redactie meldt gaat het specifiek over Windows 10 Enterprise en Microsoft Office.)
13-11-2018, 21:11 door
Anoniem
Thuis gebruik ik Linux maar op werk verplicht W10 Enterprise, ben benieuwd wat er van mij verzameld wordt.
Idem... Waarom zou linux thuis niet kunnen.Op het werk is er lock-in voor Office en sommige bedrijfsapplicaties. Dat is een (dure) keuze, maar, ehe daarom heb je daar nog Windows..
13-11-2018, 22:33 door
karma4
Door The FOSS:
Nee? Wat is er dan specifiek niet kloppend in het door redactie gelinkte onderzoek? Te weten: https://www.rijksoverheid.nl/documenten/rapporten/2018/11/07/data-protection-impact-assessment-op-microsoft-office.
(N.B.: zoals redactie meldt gaat het specifiek over Windows 10 Enterprise en Microsoft Office.)
ja agenda ken ik intussen wel ook al probeer je die verborgen te houden, maar vooruit.Nee? Wat is er dan specifiek niet kloppend in het door redactie gelinkte onderzoek? Te weten: https://www.rijksoverheid.nl/documenten/rapporten/2018/11/07/data-protection-impact-assessment-op-microsoft-office.
(N.B.: zoals redactie meldt gaat het specifiek over Windows 10 Enterprise en Microsoft Office.)
Je moet het engelstalige deel eens goed doorwerken.
"Out of scope
This DPIA does not describe the specific deployments chosen by the different government organisations that procure the Office software …" verder
"In this case, the answer to the question whether Microsoft processes personal data via the diagnostic data, is not obvious, nor neutral, and the answer to the question which personal data will factually be processed via the diagnostic data, is not within the scope of this DPIA."
https://www.emerce.nl/nieuws/medische-privacyzorgen-over-gebruik-google-analytics
"Volgens Sjoera Nas, beleidsmedewerker bij het College Bescherming Persoonsgegevens, onderschrijft Google de Europese privacyrichtlijnen omdat het bedrijf de Safe Harbor Agreement ondertekende. Dat is een verdrag waarmee Amerikaans bedrijven aan kunnen geven de Europese regels te respecteren en toe te passen."
Uh, wat gebeurt hier?
Gaan we alle trackers op websites goed vinden. Alle logging van Google Apple etc, en dan hier het zo brengen.
Er zijn nog wat meer lijntjes met verbanden, je zou zeggen een erg klein kringetje.
Dus we hebben nu iets dat logging en verplicht is want de medewerkers wie wat benaderd is een eis met de AVG. Dat is ook een AP verhaal en nu dat iets wat theoretisch en misschien …. mits en maar ja logging mag niet. Het spreekt elkaar tegen.
13-11-2018, 22:38 door
The FOSS
Door karma4:
Door The FOSS:
Nee? Wat is er dan specifiek niet kloppend in het door redactie gelinkte onderzoek? Te weten: https://www.rijksoverheid.nl/documenten/rapporten/2018/11/07/data-protection-impact-assessment-op-microsoft-office.
(N.B.: zoals redactie meldt gaat het specifiek over Windows 10 Enterprise en Microsoft Office.)
ja agenda ken ik intussen wel ook al probeer je die verborgen te houden, maar vooruit.Nee? Wat is er dan specifiek niet kloppend in het door redactie gelinkte onderzoek? Te weten: https://www.rijksoverheid.nl/documenten/rapporten/2018/11/07/data-protection-impact-assessment-op-microsoft-office.
(N.B.: zoals redactie meldt gaat het specifiek over Windows 10 Enterprise en Microsoft Office.)
Nou agenda? Het topic gaat eigenlijk gewoon over Windows 10 Enterprise en Microsoft Office. Het staat er gewoon letterlijk!
13-11-2018, 23:05 door
Anoniem
Ministerie: dataverzameling Windows 10 en Office privacy risico?
Wat is het probleem? Ik zie dat niet.
Dat gebeurde al in 1980 en eerder toen de eerste Microsoft pc systemen uitkwamen.
De enige bescherming was/is tot op de dag van vandaag de software van Evidence Eliminator ( laatste versie ) vanwege het ontbreken van enige vorm van beveilingsmechanisme v.w.b. privacy in het D.O.S. systeem.
Dus?
Zeg het maar:
Oud nieuws!
Wat is het probleem? Ik zie dat niet.
Dat gebeurde al in 1980 en eerder toen de eerste Microsoft pc systemen uitkwamen.
De enige bescherming was/is tot op de dag van vandaag de software van Evidence Eliminator ( laatste versie ) vanwege het ontbreken van enige vorm van beveilingsmechanisme v.w.b. privacy in het D.O.S. systeem.
Dus?
Zeg het maar:
Oud nieuws!
14-11-2018, 00:00 door
Anoniem
Weg met Microsoft producten; bouw een muur.
Nederland FIRST!
(waar is de tijd gebleven toen Philips nog computers maakte ...)
Nederland FIRST!
(waar is de tijd gebleven toen Philips nog computers maakte ...)
14-11-2018, 01:12 door
Anoniem
Iedereen kreeg voldoende de tijd om zich op de AVG voor te bereiden en uiteindelijk werd de AVG van kracht.
Maar dan lees je dat dit niet opging voor een bedrijf uit Redmond.
Laat ik nou denken dat iedereen zich aan de wet moet houden?
Maar dan lees je dat dit niet opging voor een bedrijf uit Redmond.
Laat ik nou denken dat iedereen zich aan de wet moet houden?
14-11-2018, 03:05 door
Anoniem
Ik kocht van de week een potje abrikozenjam. Trek in en honger. Ik moest echter eerst een account bij Hero aanmaken. Anders ging het deksel er niet af. Daar kwam ik thuis pas achter. Op de kassabon stond echter doodleuk dat het mijn potje was. Betaald en kom nmog eens terug winkelen.
Al die firma's moeten eens kappen met dat gezeik. Microsoft ook. Als je wat van me wilt weten, vraag het dan netjes. En belazer me niet meer met dekseltjes die niet open gaan tot ik een account heb. Want waar betaal ik dan nog voor? Ik heb al jaren flink geld tegoed van al die bedrijven wegens al die gejatte gebruikersdata!!!!!!
Al die firma's moeten eens kappen met dat gezeik. Microsoft ook. Als je wat van me wilt weten, vraag het dan netjes. En belazer me niet meer met dekseltjes die niet open gaan tot ik een account heb. Want waar betaal ik dan nog voor? Ik heb al jaren flink geld tegoed van al die bedrijven wegens al die gejatte gebruikersdata!!!!!!
14-11-2018, 08:09 door
Anoniem
Door Remmilou:
Iemand tips?
Ja er is wel het e.e.a.mogelijk en waarschijnlijk kom je dan tot de ontdekking dat er nog veel meer afgeluisterd wordt op je pc of laptop. Isoleer je pc of laptop in je netwerk door er een goede router/firewall tussen te zetten die alle connecties kan laten zien die opgebouwd zijn vanaf je pc of laptop. Als je deze lijst van connecties gaat checken via bijv. Abuseipdb dan kom je zo al aardig te weten welke IP-Adressen van Microsoft of Google zijn. Je kunt natuurlijk ook al simpeler beginnen door gebruik te maken van Currports van Nirsoft om een indruk te krijgen. Er is heel veel te weten te komen en heel veel te blokken maar het kost wel aardig wat tijd om het allemaal in kaart te brengen en je moet een manier vinden om ook op IP-Adres te kunnen blokken, alleen op DNS blokken in je hosts file gaat niet werken omdat deze adressen niet gerelateerd zijn aan een DNS naam.Door Anoniem:
Ok, ik hap wel:
Nee en nee. Je kunt alleen het verzamelen beperken (tot de volgende Windows update, want dan kan alles weer anders zijn). Als jouw gedrag gevolgd wordt, ook op je werk, dan is dat ten koste van jouw privacy. Dus zowel jij als je werkgever moeten zich daar zorgen over maken.
Is dit niet op de een of andere manier te blokkeren met een rule voor firewall of router?Door linux4: Is telemetrie in de W10 Enterprise editie niet uit te zetten door de beheerders?
Thuis gebruik ik Linux maar op werk verplicht W10 Enterprise, ben benieuwd wat er van mij verzameld wordt. Aan de nadere kant, het is alleen werk dus de enige die zich zorgen moet maken is de baas toch?
Thuis gebruik ik Linux maar op werk verplicht W10 Enterprise, ben benieuwd wat er van mij verzameld wordt. Aan de nadere kant, het is alleen werk dus de enige die zich zorgen moet maken is de baas toch?
Ok, ik hap wel:
Nee en nee. Je kunt alleen het verzamelen beperken (tot de volgende Windows update, want dan kan alles weer anders zijn). Als jouw gedrag gevolgd wordt, ook op je werk, dan is dat ten koste van jouw privacy. Dus zowel jij als je werkgever moeten zich daar zorgen over maken.
Iemand tips?
14-11-2018, 08:59 door
Anoniem
Dit is één van de redenen, dat ik Windows de deur uitgegooid heb. Draai nu heel tevreden op Linux.
Ik ben echt helemaal klaar met die verzamelwoede van al die bedrijven.
In de cloud....... Ook niet. alles gaat naar en vanaf mijn eigen server thuis.
Ik probeer zoveel mogelijk waar kan iets te doen tegen deze verzameldrift.
Alle bedrijven die ik mail, krijgen een eigen mail adres bedrijfx.Bedrijven@.....nl
Krijg ik spam van die gasten, dan gaat deze spam rechtstreeks door naar een e-mail adres van dat betreffende bedrijf met de mededeling, dat ik ongewenste mail heb ontvangen door hun verkoop. Ik blijf ze stalken met hun eigen zooi.
Echt helemaal klaar met deze onzin. Tegenwoordig moet je echt vechten voor je eigen privacy. Voor onze generatie is dit een dingetje, maar ben je één of twee generaties verder, dan speelt dit niet meer en is iedereen in kaart gebracht.
Beetje jammer.
Ik ben echt helemaal klaar met die verzamelwoede van al die bedrijven.
In de cloud....... Ook niet. alles gaat naar en vanaf mijn eigen server thuis.
Ik probeer zoveel mogelijk waar kan iets te doen tegen deze verzameldrift.
Alle bedrijven die ik mail, krijgen een eigen mail adres bedrijfx.Bedrijven@.....nl
Krijg ik spam van die gasten, dan gaat deze spam rechtstreeks door naar een e-mail adres van dat betreffende bedrijf met de mededeling, dat ik ongewenste mail heb ontvangen door hun verkoop. Ik blijf ze stalken met hun eigen zooi.
Echt helemaal klaar met deze onzin. Tegenwoordig moet je echt vechten voor je eigen privacy. Voor onze generatie is dit een dingetje, maar ben je één of twee generaties verder, dan speelt dit niet meer en is iedereen in kaart gebracht.
Beetje jammer.
14-11-2018, 09:01 door
Anoniem
Door linux4: Is telemetrie in de W10 Enterprise editie niet uit te zetten door de beheerders?
Ja, maar als je SCCM installeert, moet je het verplicht weer aan zetten xD
14-11-2018, 17:47 door
Anoniem
Door Anoniem: Dit is één van de redenen, dat ik Windows de deur uitgegooid heb. Draai nu heel tevreden op Linux.
Ik ben echt helemaal klaar met die verzamelwoede van al die bedrijven.
In de cloud....... Ook niet. alles gaat naar en vanaf mijn eigen server thuis.
Ik probeer zoveel mogelijk waar kan iets te doen tegen deze verzameldrift.
Alle bedrijven die ik mail, krijgen een eigen mail adres bedrijfx.Bedrijven@.....nl
Krijg ik spam van die gasten, dan gaat deze spam rechtstreeks door naar een e-mail adres van dat betreffende bedrijf met de mededeling, dat ik ongewenste mail heb ontvangen door hun verkoop. Ik blijf ze stalken met hun eigen zooi.
Echt helemaal klaar met deze onzin. Tegenwoordig moet je echt vechten voor je eigen privacy. Voor onze generatie is dit een dingetje, maar ben je één of twee generaties verder, dan speelt dit niet meer en is iedereen in kaart gebracht.
Beetje jammer.
Ik ben echt helemaal klaar met die verzamelwoede van al die bedrijven.
In de cloud....... Ook niet. alles gaat naar en vanaf mijn eigen server thuis.
Ik probeer zoveel mogelijk waar kan iets te doen tegen deze verzameldrift.
Alle bedrijven die ik mail, krijgen een eigen mail adres bedrijfx.Bedrijven@.....nl
Krijg ik spam van die gasten, dan gaat deze spam rechtstreeks door naar een e-mail adres van dat betreffende bedrijf met de mededeling, dat ik ongewenste mail heb ontvangen door hun verkoop. Ik blijf ze stalken met hun eigen zooi.
Echt helemaal klaar met deze onzin. Tegenwoordig moet je echt vechten voor je eigen privacy. Voor onze generatie is dit een dingetje, maar ben je één of twee generaties verder, dan speelt dit niet meer en is iedereen in kaart gebracht.
Beetje jammer.
Eens. Zijn er geen goeie sites met tips om al die datacenters goed op het verkeerde pad te zetten?
Dat je bijvoorbeeld het ene datacenter vult met data uit het andere, maar dan alle privegegevens husselt? Zodat op een gegeven moment niemand meer weet welk gegeven nou bij wie hoort?
Dan zouden ze mooi zitten te koekeloeren. Met al die big data datacenters. Op afbetaling.
En tegelijk, sabotage in het algemeen mag niet. Maar je eigen privedata saboteren, dat mag volgens mij overal nog!
15-11-2018, 12:11 door
Anoniem
Door Anoniem: Er is geen enkele rechtvaardiging voor de opslag van dergelijke privacy gevoelige data. Microsoft gaat zich gedragen als Google, maar dan op de manier dat je zowel betaalt met geld, als ook met privacy.
Er is in deze een duidelijk verschil tussen Google en Microsoft.
Een voorbeeld is te vinden in de slides:
"Er werken 20 tot 30 teams met engineers met deze gegevens, die met eigen kopieën van de datasets kunnen werken"
Dit toont aan wat Microsoft al eerder heeft aangegeven. Persoonsgegevens zijn voor hen niet belangrijk. En wat doe je met dingen die je niet belangrijk vindt? Daar ga je onveilig en onvoorzichtig mee om.
Als organisatie bescherm je je kroonjuwelen. Voor Microsoft is dat de code van hun software. Al het andere is bijzaak. En nu blijken persoonsgegevens dus ook bijzaak te zijn om het beste uit de kroonjuwelen te halen.
In dat kader zag ik in een andere discussie een reactie van een Google medewerker:
"I spent so much time at Google figuring out how NOT to collect data that we didn't absolutely need. For example, my team made WiFi routers that uploaded their logs for monitoring. How do we avoid creating a database of MAC addresses and how they moved around between different customers? By making a concerted effort to never use MAC addresses in software we wrote (preferring an encrypted variant for which the router had the key but we didn't) and as a last resort, XX ing out anything that looked like xx:xx:xx:xx:xx. Was it annoying to be debugging an issue and seeing that we forgot to use the anonymized variant somewhere, and just got XXs? Yup. Was it worth the privacy gain for our users? Yup."
Ik heb in diverse medewerkers (van hoog tot laag) bij zowel Microsoft als Google gesproken en ik kan je vertellen dat bovenstaand verschil daar ook duidelijk ter sprake kwam. Voor Microsoft (personeel) zijn gebruikers/personen niet belangrijk. Bij Google weten ze dat ze niets kunnen zonder gebruikers/personen. Microsoft krijgt het altijd wel voor ellkaar om grote partijen aan hen te binden. Google heeft dat niet.
Peter
18-11-2018, 13:53 door
karma4
Door Anoniem:
Ik heb in diverse medewerkers (van hoog tot laag) bij zowel Microsoft als Google gesproken en ik kan je vertellen dat bovenstaand verschil daar ook duidelijk ter sprake kwam. Voor Microsoft (personeel) zijn gebruikers/personen niet belangrijk. Bij Google weten ze dat ze niets kunnen zonder gebruikers/personen. Microsoft krijgt het altijd wel voor ellkaar om grote partijen aan hen te binden. Google heeft dat niet.
Peter
Het verschil is dat MS een desktop cultuur heeft waarbij logging en tracing van de techniek om de techniek betrouwbaar te krijgen van belang is. Dat is in lijn hoe SMF/RMF (mainframe) ooit het centrale log medium van IBM was. Door Anoniem: Er is geen enkele rechtvaardiging voor de opslag van dergelijke privacy gevoelige data. Microsoft gaat zich gedragen als Google, maar dan op de manier dat je zowel betaalt met geld, als ook met privacy.
...Ik heb in diverse medewerkers (van hoog tot laag) bij zowel Microsoft als Google gesproken en ik kan je vertellen dat bovenstaand verschil daar ook duidelijk ter sprake kwam. Voor Microsoft (personeel) zijn gebruikers/personen niet belangrijk. Bij Google weten ze dat ze niets kunnen zonder gebruikers/personen. Microsoft krijgt het altijd wel voor ellkaar om grote partijen aan hen te binden. Google heeft dat niet.
Peter
Je minimaliseert de betreffende data als wat nodig is tot die gegevens. Natuurlijk heb je een sessie verwijzing nodig als het bij transactieverwerking als een onderdeel iets van een DBMS gaat maar dat is er niet als het om machine/systeem delen gaat. Google heeft eem cultuur waarbij het volgen van gebruikers de basis is.Het verdienmodel is gebaseerd op kennis omtrent gebruik en gebruikers.
In het onderzoekverhaal staat dat men op zoek ging naar het gedrag van Office. De gemaakte fout is dat ze gingen meten aan de doos. Alsof je bij een autokeuring compleet andere eisen gaat stellen tijdens de keuring dan vooraf aangegeven.
Dan krijg een niet kunnen antwoorden op iets wat niet voorbereid is en het zou kunnen dat met bij voorbaat schuldig als een zekerheid naar buiten brengen.
Door karma4: Het verschil is dat MS een desktop cultuur heeft waarbij logging en tracing van de techniek om de techniek betrouwbaar te krijgen van belang is.
Wil je nou serieus het data verzamelen van Windows 10 en Office rechtvaardigen/spindoctoren alsof het logging en tracing zou zijn? #ROFL! (En wel heel erg doorzichtig!)
21-11-2018, 12:19 door
Anoniem
Zolang Microsoft het voor elkaar krijgt om alle C- level executive er van te overtuigen vooral hun producten te gaan gebruiken en dan ook het liefst in de cloud of alleen maar in de cloud dan lijkt het al die bestuurders echt niet te interesseren hoeveel persoonsgegevens ze delen van hun medewerkers.
Alle managers kunnen zogenaamde alle security en privacy vinkjes zetten en laten zien dat ze aan de voorwaarden hebben voldaan.
Microsoft zegt dat ze hier mooie all in one bundels van maken wat makkelijk te beheren is (en "gratis") producten er bij doet.
Dat Microsoft toch op de achtergrond data verzamelt van alle deze medewerkers dat maakt toch niet uit?? Het is zogenaamd binnen budget, er wordt verteld dat het eenvoudig te beheren is en het is allemaal lekker centraal bij één leverancier. Vendor lockin maakt tegenwoordig ook niet meer uit blijkbaar.....
Alle managers kunnen zogenaamde alle security en privacy vinkjes zetten en laten zien dat ze aan de voorwaarden hebben voldaan.
Microsoft zegt dat ze hier mooie all in one bundels van maken wat makkelijk te beheren is (en "gratis") producten er bij doet.
Dat Microsoft toch op de achtergrond data verzamelt van alle deze medewerkers dat maakt toch niet uit?? Het is zogenaamd binnen budget, er wordt verteld dat het eenvoudig te beheren is en het is allemaal lekker centraal bij één leverancier. Vendor lockin maakt tegenwoordig ook niet meer uit blijkbaar.....
Door Anoniem:
Ja, dat laatste doelde ik eigenlijk een beetje op.Door Remmilou:
Iemand tips?
Ja er is wel het e.e.a.mogelijk en waarschijnlijk kom je dan tot de ontdekking dat er nog veel meer afgeluisterd wordt op je pc of laptop. Isoleer je pc of laptop in je netwerk door er een goede router/firewall tussen te zetten die alle connecties kan laten zien die opgebouwd zijn vanaf je pc of laptop. Als je deze lijst van connecties gaat checken via bijv. Abuseipdb dan kom je zo al aardig te weten welke IP-Adressen van Microsoft of Google zijn. Je kunt natuurlijk ook al simpeler beginnen door gebruik te maken van Currports van Nirsoft om een indruk te krijgen. Er is heel veel te weten te komen en heel veel te blokken maar het kost wel aardig wat tijd om het allemaal in kaart te brengen en je moet een manier vinden om ook op IP-Adres te kunnen blokken, alleen op DNS blokken in je hosts file gaat niet werken omdat deze adressen niet gerelateerd zijn aan een DNS naam.Door Anoniem:
Ok, ik hap wel:
Nee en nee. Je kunt alleen het verzamelen beperken (tot de volgende Windows update, want dan kan alles weer anders zijn). Als jouw gedrag gevolgd wordt, ook op je werk, dan is dat ten koste van jouw privacy. Dus zowel jij als je werkgever moeten zich daar zorgen over maken.
Is dit niet op de een of andere manier te blokkeren met een rule voor firewall of router?Door linux4: Is telemetrie in de W10 Enterprise editie niet uit te zetten door de beheerders?
Thuis gebruik ik Linux maar op werk verplicht W10 Enterprise, ben benieuwd wat er van mij verzameld wordt. Aan de nadere kant, het is alleen werk dus de enige die zich zorgen moet maken is de baas toch?
Thuis gebruik ik Linux maar op werk verplicht W10 Enterprise, ben benieuwd wat er van mij verzameld wordt. Aan de nadere kant, het is alleen werk dus de enige die zich zorgen moet maken is de baas toch?
Ok, ik hap wel:
Nee en nee. Je kunt alleen het verzamelen beperken (tot de volgende Windows update, want dan kan alles weer anders zijn). Als jouw gedrag gevolgd wordt, ook op je werk, dan is dat ten koste van jouw privacy. Dus zowel jij als je werkgever moeten zich daar zorgen over maken.
Iemand tips?
Ik draai al jaren uitsluitend Debian Linux (stable + backports). Ik gebruik Maltrail en dan kom je op ellenlange waslijsten met ip adressen die maar matig vertrouwd moeten worden. Heb wel eens Etherape en Wireshark laten draaien en dan duizelt het me helemaal. Ik zoek naar een methode om die ip-adressen om te zetten in een lijst die ik in mijn firewall, of liever nog router, kan opnemen als "hier wil ik geen contact meet mee". Of welke betere methode dan ook. Een methode die dus voor een "niet cybersecurity specialist" als ik te doen is.
Hoewel ik een fan ben van Linux distro's (Debian) op de desktop zie ik op dit punt niet zo'n fundamenteel verschil met Windows, of MacOS. Het gaat ook om ip-adressen die mij tracken en anderszins. Ja ik gebruik ook al uBlock origine + Privacy Badger.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Security Trainer
Ben je net als de rest van ons team bovenmatig geïnteresseerd in security en vind je het leuk om je hacker mindset en security-skills over te dragen? Dan ben je bij ons aan het juiste adres!
Are you ready for a challenge?
