image

Kamervragen over privacyrisico's bij gebruik Microsoft-clouddiensten

dinsdag 8 maart 2022, 09:46 door Redactie, 17 reacties

In de Tweede Kamer zijn vragen gesteld over het onderzoek van de Haagse Privacy Company dat het gebruik van Microsoft Teams, OneDrive en SharePoint door de Rijksoverheid en universiteiten verschillende privacyrisico's met zich meebrengt en dat organisaties geen gevoelige of bijzondere persoonsgegevens via Teams mogen uitwisselen.

De uitkomsten van het onderzoek zijn aanleiding voor D66-Kamerlid Van Ginneken om minister Yesilgöz van Justitie en Veiligheid om opheldering te vragen. "Deelt u de mening dat het gebruik van Amerikaanse clouddiensten zoals Microsoft een inbreuk op de privacy van de Nederlandse burgers tot gevolg kan hebben zoals ook omschreven in het Schrems arrest van het Europese Hof van Justitie?", vraagt Van Ginneken.

Het Kamerlid wil ook weten of de minister het ermee eens is dat het gebruik van Amerikaanse clouddiensten bij de overheid en universiteiten niet gewenst is wanneer dit over de uitwisseling of opslag van gevoelige ofwel bijzondere persoonsgegevens gaat. "Zo ja, kunt u aangeven welke concrete maatregelen u neemt om dit gebruik te verminderen en daarbij specifiek ingaan op de inzet van versleuteling?", vraagt ze verder.

Yesilgöz moet ook duidelijk maken wat de voor- en nadelen zijn van het gebruik van niet-Europese clouddiensten bij overheidssystemen en andere gevoelige sectoren voor de uitwisseling of opslag van gevoelige of bijzondere persoonsgegevens. Verder vraagt het D66-Kamerlid of de juridische mogelijkheden voor oplossingen voor het Schrems arrest voldoende zijn verkend. De minister heeft drie weken om te reageren.

Reacties (17)
08-03-2022, 10:09 door Anoniem
Bijna alles is Amerikaans in Nederland? Onze data is niet veilig en kan zo naar Amerika verhuizen? Google, Apple, Microsoft, Amazon, enz bepalen alles in Nederland en dan waarschuwen voor China maar is dat wel het echte gevaar? Tijd voor Europese bedrijven?
08-03-2022, 11:22 door gradje71
Door Anoniem: Bijna alles is Amerikaans in Nederland? Onze data is niet veilig en kan zo naar Amerika verhuizen? Google, Apple, Microsoft, Amazon, enz bepalen alles in Nederland en dan waarschuwen voor China maar is dat wel het echte gevaar? Tijd voor Europese bedrijven?

Het is inderdaad tijd voor Europese bedrijven. Maar wil jij dan weer een closed source software app gebruiken? Voor alle apps zijn open source alternatieven, die je zelf kan installeren. Dat dit niet gebeurt, dat vind ik eigenlijk de grote schande, vooral voor scholen, universiteiten en de overheid zelf.
08-03-2022, 11:26 door Anoniem
Goed dat er weer aandacht voor is. Het is inderdaad tijd voor Europese en Nederlandse clouds en vooral ook het besef dat gratis diensten een neven-effect hebben. We zijn gewend geraakt aan gratis en goedkope diensten en vergeten daarbij dat we met onze data/privacy betalen. Immers... voor niets gaat de zon op?

Nextcloud is een mooi voorbeeld van een open source cloud omgeving, gecombineerd met een mailserver is het een goede vervanger voor Microsoft en Google diensten. Naast het alternatief is Nextcloud in veel opzichten ook eenvoudiger in het gebruik. We zijn verwend geraakt door het gemak wat Microsoft en Google ons bieden doordat alles met elkaar gekoppeld is.

Er zijn verschillende aanbieders in Nederland van Nextcloud hosting, een voorbeeld daarvan is The Good Cloud (https://thegood.cloud).
08-03-2022, 13:11 door Anoniem
Waarom zouden europese bedrijven per definitie wel betrouwbaar zijn? Hoe zit het eigenlijk en verhoudt zich dit met de nederlandse sleepnetwet en de de recente roep van het mivd om nog grotere en ongetoetste toegang tot gegevens? En dan nog de ontwikkelingen op het gebied van een europese digitale identiteit waar heel veel persoonlijke gegevens aanelkaar gekoppeld worden?
08-03-2022, 13:26 door Anoniem
Door Anoniem: Goed dat er weer aandacht voor is. Het is inderdaad tijd voor Europese en Nederlandse clouds en vooral ook het besef dat gratis diensten een neven-effect hebben. We zijn gewend geraakt aan gratis en goedkope diensten en vergeten daarbij dat we met onze data/privacy betalen. Immers... voor niets gaat de zon op?

Nextcloud is een mooi voorbeeld van een open source cloud omgeving, gecombineerd met een mailserver is het een goede vervanger voor Microsoft en Google diensten. Naast het alternatief is Nextcloud in veel opzichten ook eenvoudiger in het gebruik. We zijn verwend geraakt door het gemak wat Microsoft en Google ons bieden doordat alles met elkaar gekoppeld is.

Er zijn verschillende aanbieders in Nederland van Nextcloud hosting, een voorbeeld daarvan is The Good Cloud (https://thegood.cloud).

(zakelijke) Microsoft diensten zijn niet gratis. Bovendien zijn deze beschermd door de GDPR wetgeving, en werkt met geolocations; data in de EU mag niet buiten de EU komen. In het artikel wordt er in ieder geval niet gesproken over de gratis variant van Microsoft. Bovendien valt of staat de privacy & security van een (Microsoft) cloud omgeving met een gedegen informatiebeleid. Dat zal niet anders zijn met andere cloud aanbieders, hoewel lang niet alle internationale aanbieders (zoals Google) voldoen aan GDPR of zich berusten op de verlopen Privacy Shield.

Bovendien zou ik zeggen dat mail, Teams of SharePoint niet per definitie goede platforms zijn voor gevoelige data. Als je gaat werken met gevoelige ofwel bijzondere persoonsgegevens zou ik systemen bekijken die daar specifiek voor ontworpen zijn.

Maar kan zijn dat ik je reactie volledig verkeerd begrijp en uit het verband trek! Hoe dan ook. My 2c.
08-03-2022, 13:38 door Anoniem
KPN biedt ook gewoon een hybrid cloud werkplek aan.
Je kunt dan kiezen of je in Azure wilt of in KPN's eigen datacenters.
08-03-2022, 13:45 door Anoniem
Door gradje71:
Door Anoniem: Bijna alles is Amerikaans in Nederland? Onze data is niet veilig en kan zo naar Amerika verhuizen? Google, Apple, Microsoft, Amazon, enz bepalen alles in Nederland en dan waarschuwen voor China maar is dat wel het echte gevaar? Tijd voor Europese bedrijven?

Het is inderdaad tijd voor Europese bedrijven. Maar wil jij dan weer een closed source software app gebruiken? Voor alle apps zijn open source alternatieven, die je zelf kan installeren. Dat dit niet gebeurt, dat vind ik eigenlijk de grote schande, vooral voor scholen, universiteiten en de overheid zelf.
Ligt misschien ook aan de kwaliteit en integratie mogelijkheden van dit soort applicaties?

Maar wat is je alternatief voor Azure AD en het complete eco platform er achter waarbij alles integreert bij 1 leverancier en backend?
08-03-2022, 14:59 door Anoniem
Door Anoniem: Maar wat is je alternatief voor Azure AD en het complete eco platform er achter waarbij alles integreert bij 1 leverancier en backend?

Er zijn genoeg alternatieven voor een user directory met SSO, als dat is wat je precies bedoeld. On-prem Active Directory + ADFS. Of op opensource tour met FreeIPA + Keycloak. Als je ondersteuning wil kom je dan bij RedHat uit. Maar er zijn veel meer combinaties te vinden, dat is het probleem niet.
08-03-2022, 15:51 door Anoniem
Door Anoniem:
Door Anoniem: Goed dat er weer aandacht voor is. Het is inderdaad tijd voor Europese en Nederlandse clouds en vooral ook het besef dat gratis diensten een neven-effect hebben. We zijn gewend geraakt aan gratis en goedkope diensten en vergeten daarbij dat we met onze data/privacy betalen. Immers... voor niets gaat de zon op?

Nextcloud is een mooi voorbeeld van een open source cloud omgeving, gecombineerd met een mailserver is het een goede vervanger voor Microsoft en Google diensten. Naast het alternatief is Nextcloud in veel opzichten ook eenvoudiger in het gebruik. We zijn verwend geraakt door het gemak wat Microsoft en Google ons bieden doordat alles met elkaar gekoppeld is.

Er zijn verschillende aanbieders in Nederland van Nextcloud hosting, een voorbeeld daarvan is The Good Cloud (https://thegood.cloud).

(zakelijke) Microsoft diensten zijn niet gratis. Bovendien zijn deze beschermd door de GDPR wetgeving, en werkt met geolocations; data in de EU mag niet buiten de EU komen. In het artikel wordt er in ieder geval niet gesproken over de gratis variant van Microsoft. Bovendien valt of staat de privacy & security van een (Microsoft) cloud omgeving met een gedegen informatiebeleid. Dat zal niet anders zijn met andere cloud aanbieders, hoewel lang niet alle internationale aanbieders (zoals Google) voldoen aan GDPR of zich berusten op de verlopen Privacy Shield.

Bovendien zou ik zeggen dat mail, Teams of SharePoint niet per definitie goede platforms zijn voor gevoelige data. Als je gaat werken met gevoelige ofwel bijzondere persoonsgegevens zou ik systemen bekijken die daar specifiek voor ontworpen zijn.

Maar kan zijn dat ik je reactie volledig verkeerd begrijp en uit het verband trek! Hoe dan ook. My 2c.
Deze zijn niet beschermd door de GDPR daar het Amerikaanse bedrijven betreft die gehouden zijn aan de Amerikaanse wetgeving (CLOUD Act., 702 FISA) waardoor Safe Harbor en Privacy Shield ongeldig verklaard zijn. Men probeert nu om weer zoiets op te zetten, maar dat gaat ook sneuvelen als de Amerikanen hun wetgeving niet veranderen.
08-03-2022, 16:50 door Anoniem
Door Anoniem:
Door Anoniem: Maar wat is je alternatief voor Azure AD en het complete eco platform er achter waarbij alles integreert bij 1 leverancier en backend?

Er zijn genoeg alternatieven voor een user directory met SSO, als dat is wat je precies bedoeld. On-prem Active Directory + ADFS. Of op opensource tour met FreeIPA + Keycloak. Als je ondersteuning wil kom je dan bij RedHat uit. Maar er zijn veel meer combinaties te vinden, dat is het probleem niet.
Ik mis dan alleen nog mogelijkheden zoals conditional access, high risk signin , intune, autopilot, meerdere DC's of regio's die er ook allemaal bijna direct bij zitten.
En ik moet alles zelf gaan beheren of neerzetten, ik zie nog niet echt een alternatief.
08-03-2022, 18:06 door karma4 - Bijgewerkt: 08-03-2022, 18:10
Door gradje71: Het is inderdaad tijd voor Europese bedrijven. Maar wil jij dan weer een closed source software app gebruiken? Voor alle apps zijn open source alternatieven, die je zelf kan installeren. Dat dit niet gebeurt, dat vind ik eigenlijk de grote schande, vooral voor scholen, universiteiten en de overheid zelf.
Open source is het grote verdienmodel van de Amirkaanse commerciëlen. De tijd van wat hobbyen en dat als open source zien te verkopen is echt wel eens voorbij. Eigenlijk een grote schande dat vasthouden aan onhaalbare idealen

Voor de makervragen, het is de fout uit de moderne tijd, Polltici die zich laten bespelen door ophef in de media.
Ophef in de media makkelijk te verkrijgen door activisten met een vreemde agenda.
Hoe denk je over privacy en tevens mensen thuis lastig vallen onder het mom van ophef?
Het is de Anton Mussert prijs waardig.
08-03-2022, 20:54 door Anoniem
Je kunt in M365 zien waar je data staat opgeslagen. Ik vrees dat dit weer een vorm van doorgeslagen privacy denken is want alle data (zowel in rest als in transit) is versleuteld. Alleen wel met de sleutel van MS, dus dat is wel een dingetje, maar het is niet zo dat iedereen zomaar bij de gebruikersdata kan komen. Als je als bedrijf niet wilt dat gebruikers vertrouwelijke gegevens via Teams versturen moet je de informatie op basis van je risicoclassificatie labelen en de toegangs-gebruiksrechten goed regelen en binnen Teams paal en perk stellen aan het gebruik. Onder Teams ligt Sharepoint en Onedrive en daar binnen kunnen behoorlijk veel restricties opleggen qua delen van data. Alleen is het zo dat je dat bij implementatie goed moet regelen en niet achteraf moet gaan miepen als het fout gaat. Maar restricties geeft vaak gedoe met medewerkers die vinden dat ze alles moeten kunnen en managers willen nu eenmaal geen gedoe dus die restricties worden vaak alleen maar op hoofdzaken gezet want de gebruiker mag nergens last van hebben.
Als organisatie zul je ook de medewerkers goed moeten trainen hoe ze met gegevens om moeten gaan en hoe ze dit binnen M365 moeten regelen, voor zover het niet via regels valt af te dwingen.
De tijd van iedereen mag bij alle data zal toch wel een keer voorbij moeten zijn met alle datalekken en beveiligingsinbreuken? Wanneer gaan de mensen het nu eens leren dat ze zelf als eerste verantwoordelijk zijn voor de beveiliging van hun gegevens en deze verantwoordelijkheid niet bij een leverancier kunnen neerleggen.
08-03-2022, 21:42 door gradje71 - Bijgewerkt: 08-03-2022, 21:44
Door Anoniem:
Door Anoniem:
Door Anoniem: Maar wat is je alternatief voor Azure AD en het complete eco platform er achter waarbij alles integreert bij 1 leverancier en backend?

Er zijn genoeg alternatieven voor een user directory met SSO, als dat is wat je precies bedoeld. On-prem Active Directory + ADFS. Of op opensource tour met FreeIPA + Keycloak. Als je ondersteuning wil kom je dan bij RedHat uit. Maar er zijn veel meer combinaties te vinden, dat is het probleem niet.
Ik mis dan alleen nog mogelijkheden zoals conditional access, high risk signin , intune, autopilot, meerdere DC's of regio's die er ook allemaal bijna direct bij zitten.
En ik moet alles zelf gaan beheren of neerzetten, ik zie nog niet echt een alternatief.

Hoe doet Apple dit soort zaken regelen?
09-03-2022, 11:16 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Maar wat is je alternatief voor Azure AD en het complete eco platform er achter waarbij alles integreert bij 1 leverancier en backend?

Er zijn genoeg alternatieven voor een user directory met SSO, als dat is wat je precies bedoeld. On-prem Active Directory + ADFS. Of op opensource tour met FreeIPA + Keycloak. Als je ondersteuning wil kom je dan bij RedHat uit. Maar er zijn veel meer combinaties te vinden, dat is het probleem niet.
Ik mis dan alleen nog mogelijkheden zoals conditional access, high risk signin , intune, autopilot, meerdere DC's of regio's die er ook allemaal bijna direct bij zitten.
En ik moet alles zelf gaan beheren of neerzetten, ik zie nog niet echt een alternatief.
Dat komt door je windows bril. Zo lang je geen windows gebruikt zijn er veel alternatieven. Kijk hoe Google het doet of IBM etc
09-03-2022, 15:28 door Anoniem
Deze zijn niet beschermd door de GDPR daar het Amerikaanse bedrijven betreft die gehouden zijn aan de Amerikaanse wetgeving (CLOUD Act., 702 FISA) waardoor Safe Harbor en Privacy Shield ongeldig verklaard zijn. Men probeert nu om weer zoiets op te zetten, maar dat gaat ook sneuvelen als de Amerikanen hun wetgeving niet veranderen.

Ja, dat zijn ze wel. Microsoft voert al sinds de introductie van de Cloud Act een rechtszaak tegen de Amerikaanse overheid. Als ze deze verliezen heeft MS aangekondigd dat ze met al hun bedrijven vertrekken uit de VS. De zaak heeft dan ook nogal wat gewicht. 1 van de acties die volgden op deze zaak was al de verhuizing van Europese data naar Europese datacenters.

Wel even inlezen voor je iets roept aub. Dit gaat niet over Cloud Act!
09-03-2022, 17:18 door karma4
Door Anoniem:
Door Anoniem: .....
En ik moet alles zelf gaan beheren of neerzetten, ik zie nog niet echt een alternatief.
Dat komt door je windows bril. Zo lang je geen windows gebruikt zijn er veel alternatieven. Kijk hoe Google het doet of IBM etc
Ibm nu niet bepaald een voorbeeld, Google met het brakke Android is geen haar beter.
Met de ongenuanceerde anti houding toon je een gekleurde bril.
10-03-2022, 11:32 door Anoniem
Door Anoniem: Waarom zouden europese bedrijven per definitie wel betrouwbaar zijn? Hoe zit het eigenlijk en verhoudt zich dit met de nederlandse sleepnetwet en de de recente roep van het mivd om nog grotere en ongetoetste toegang tot gegevens? En dan nog de ontwikkelingen op het gebied van een europese digitale identiteit waar heel veel persoonlijke gegevens aanelkaar gekoppeld worden?

Je zou maar een Russisch bedrijf zijn, niks met de oorlog te maken, en je hele spullen- en data boel net naar Azure hebben verplaatst. En dan afgesloten worden vanwege een economische boycot. Je maakt je als land chantabel als je alles op een ander continent plaatst. Het risico dat dit in je eigen land gebeurt is aanzienelijk kleiner.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.