Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Office 365 DPIA SPA

Reageer met quote

02-10-2025, 14:44 door Anoniem, 10 reacties

De "Scottish Police Authority (SPA)" heeft een DPIA uitgevoerd naar Office 365.

Het blijkt dat gegevens in meer dan 100 landen (incl. China) kunnen worden verwerkt:

https://www.computerweekly.com/news/366632040/Microsoft-hides-key-data-flow-information-in-plain-sight

Die was ik nog niet eerder tegengekomen in andere DPIA's. Dat was ook wat problematisch geworden met de AVG. Dus gelukkig maar.

KPN Scam?

Apple dicht ernstige kwetsbaarheid

Reacties (10)

Reageer met quote

02-10-2025, 15:36 door Named

Oftewel: absoluut niet geschikt voor gebruik bij de overheid of gevoelige instanties!
Dat wisten we natuurlijk al langer, maar nu staat het ook daadwerkelijk in een rapport.

Ik denk dat de belastingdienst dus hun verplaatsing van email naar Microsoft mag heroverwegen...

Reageer met quote

02-10-2025, 16:38 door Anoniem

Door Named: Ik denk dat de belastingdienst dus hun verplaatsing van email naar Microsoft mag heroverwegen...

Ik weet het wel zeker dat ze bij Microsoft iets uit te leggen hebben. Dit gegeven gaat geheid leiden tot Kamervragen:

https://www.security.nl/posting/907325/Belastingdienst%2C+Douane+stappen+over+Office+365#posting907409

Reageer met quote

02-10-2025, 18:14 door Anoniem

Door Anoniem: De "Scottish Police Authority (SPA)" heeft een DPIA uitgevoerd naar Office 365.

Het blijkt dat gegevens in meer dan 100 landen (incl. China) kunnen worden verwerkt:

https://www.computerweekly.com/news/366632040/Microsoft-hides-key-data-flow-information-in-plain-sight

Die was ik nog niet eerder tegengekomen in andere DPIA's. Dat was ook wat problematisch geworden met de AVG. Dus gelukkig maar.

Dat is hier niet relevant. Schotland maakt immers geen deel uit van de EU en dus ook niet van de afspraken tussen de EU en US.

Reageer met quote

02-10-2025, 18:46 door Anoniem

Daar bedenkt wel iemand een uitleg voor binnenkort, of een geitenpaadje. Bijzonder knap van de Schotten dat ze dit hebben ontrafeld natuurlijk. In Nederland geloven we nog in het sprookje van Middenmeer, of dat Microsoft uit Ierland komt.
Ik verwed er er fles Whisky (iers of schots) onder dat in ons land hier geen consequenties uit voort komen.

Reageer met quote

02-10-2025, 21:19 door Anoniem

Door Anoniem: Daar bedenkt wel iemand een uitleg voor binnenkort, of een geitenpaadje. Bijzonder knap van de Schotten dat ze dit hebben ontrafeld natuurlijk. In Nederland geloven we nog in het sprookje van Middenmeer, of dat Microsoft uit Ierland komt.
Ik verwed er er fles Whisky (iers of schots) onder dat in ons land hier geen consequenties uit voort komen.

Inderdaad. Ons land luistert nergens naar. Ransomware en datalekken krijgt ze wel onder de knie.

Reageer met quote

03-10-2025, 08:33 door Anoniem

Het is simpel: alle US hyperscalers MOETEN data aan de US overheid af staan.

https://www.theregister.com/2025/07/25/microsoft_admits_it_cannot_guarantee/

Reageer met quote

03-10-2025, 11:45 door Anoniem

Door Anoniem: Het is simpel: alle US hyperscalers MOETEN data aan de US overheid af staan.

https://www.theregister.com/2025/07/25/microsoft_admits_it_cannot_guarantee/

Toch gaat het in deze post niet over de Verenigde Staten.

Reageer met quote

03-10-2025, 12:12 door Anoniem

Door Anoniem:

Door Anoniem: Het is simpel: alle US hyperscalers MOETEN data aan de US overheid af staan.

https://www.theregister.com/2025/07/25/microsoft_admits_it_cannot_guarantee/

Toch gaat het in deze post niet over de Verenigde Staten.

Maar ook niet over de EU ;-)

Reageer met quote

03-10-2025, 13:39 door Anoniem

Door Anoniem: Het is simpel: alle US hyperscalers MOETEN data aan de US overheid af staan.

https://www.theregister.com/2025/07/25/microsoft_admits_it_cannot_guarantee/

Mooi artikel, dank voor de link. De essentie van het artikel:

As proceedings continued, Carniaux was asked if in the event of an injunction that was legally justified, could he, as Microsoft director of public and legal affairs, "guarantee our committee, under oath" that data on French citizens could not be transmitted to the American government without the explicit agreement of the French government.

"No," said Carniaux, "I cannot guarantee that, but, again, it has never happened before."

The Register asked Microsoft to comment on this but it declined to do so.

Dat "has never happened before" is geen enkele garantie voor de toekomst, en met de juiste gag order mag hij er niet eens wat over zeggen. Oftewel, als de Amerikaanse overheid erom vraagt, om wat voor juridisch twijfelachtige reden dan ook, dan wordt er geleverd. En met dergelijke partijen gaat een Nederlandse overheid vrijwillig in zee "want bevriende natie". Dat is toch een enorm risico, zeker als gevoelige gegevens zoals belastingdienstgegevens in dergelijke clouds worden gehost? Wellicht zouden de risico's wat zwaarder moeten wegen in het besluitvormingsproces dan een kwartier productiviteitsverlies, zoals in de brief van Heijnen wordt aangegeven.

Reageer met quote

03-10-2025, 15:41 door Rubbertje

Ierse (en Amerikaanse) whiskey schrijf je met een 'e' erin. Schotse whisky zonder 'e'. Maar dat terzijde. Proost.

Reageren

Ondersteunde bbcodes

Bold: [b]bold text[/b]

Italic: [i]italic text[/i]

Underline: [u]underlined text[/u]

Quote: [quote]quoted text[/quote]

URL: [url]https://www.security.nl[/url]

Config: [config]config text[/config]

Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Mag LinkedIn miv 3 november al jouw data gebruiken om generatieve AI-modellen te trainen?

Vacature

Technical Consultant (IGA)

Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.

Lees meer

Vacature

Cybersecurity Trainer / Full Stack Developer

Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.

Lees meer

Kan een platform de voorwaarden met terugwerkende kracht herzien om AI te kunnen trainen met alle gebruikersdata?

22-10-2025 door Arnoud Engelfriet

Juridische vraag: Veel is al gezegd over de recente aankondiging van Linkedin om standaard gebruikersposts en -data te ...

10 reacties

Lees meer

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Office 365 DPIA SPA

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Mag LinkedIn miv 3 november al jouw data gebruiken om generatieve AI-modellen te trainen?

Wachtwoord Vergeten

Password Reset

Registreren