Windows 10 Enterprise en Office zijn risico voor privacy ambtenaren

Via Windows 10 Enterprise en Microsoft Office verzamelt Microsoft gebruikersgegevens die het bedrijf in de VS opslaat. Dat meldde Tweakers op basis van onderzoek bij het ministerie. Deze opslag geeft een inbreuk op de privacy van de ambtenaren, plus een ieder wiens gegevens door die ambtenaren worden verwerkt. Het onderzoek werd uitgevoerd als een DPIA onder de AVG, waarbij werd gekeken naar de zogeheten telemetriedata die Windows- en Office-installaties verzamlen bij de gebruiker en doorsturen naar Microsoft in de USA. Bij Office gaat het mis: deze verzamelt een enorme hoeveelheid data, en dat is niet uit te schakelen.

Het is natuurlijk leuk en aardig dat Microsoft “telemetrie” oftewel statistieken verzamelt, maar dat is in de EU best problematisch omdat dat al héél snel onder de noemer van persoonsgegevens valt. Informatie over wat gebruiker thx1138 doet met zijn Office is een persoonsgegeven, ook al heb je niet de naam van die gebruiker of enig contactgegeven. Zelfs wanneer je aan die meetgegevens een eigen willekeurig toegekende ID hangt, val je nog onder de AVG. Dat voelt als nogal een ontwerpfout.

Met name dat “het kan niet uit” verbaast me hogelijk. Je zou zeggen dat je als bedrijf weet dat het verzamelen van gegevens over wat je gebruikers doen gevoelig kan liggen, zeker in enterprise-omgevingen (en daar hebben we het hier over). Dat is niet iets dat je met een vinkje in de EULA oplost, de belangen zijn daarvoor te groot. Dit mag gewoon niet.

Natuurlijk zal Microsoft vast ergens in de licentievoorwaarden hebben gezegd dat toestemming wordt verleend. Maar dat werkt niet op dit niveau. Software wordt ingekocht onder een groot contract, en deze afspraak moet dáár dan worden gemaakt.

Bovendien: een bedrijf of instelling mag die afspraak alleen maken als ze dat vervolgens aan haar personeel (en/of klanten) kan rechtvaardigen, en dat zie ik hier niet opgaan. Welke noodzaak binnen de arbeidsovereenkomst (aanstelling, het is ambtenarenrecht) is er om deze telemetrie aan Microsoft te verstrekken die het voor eigen doeleinden gaat gebruiken? Welk belang van Microsoft is zo dringend dat de privacy van het personeel mag worden gepasseerd? En heeft de OR wel ingestemd met die telemetrieverstrekking, dat is immers een apart recht onder de Wet OR?

Beloofd wordt om een en ander aan te passen om binnen de Europese regels te blijven, maar dat zal tot ergens in 2019 gaan duren. Dat is nogal lang, dus ik hoop dat er in de tussentijd een firewall of iets tussengezet kan worden zodat de privacy van de ambtenaren gewaarborgd blijft.

Arnoud

29 reacties

  1. Even een technische oplossing voor dit probleem dan :-).

    Waarom dan niet gewoon directe toegang tot internet blokkeren. Toegang tot internet realiseren via een Citrix/RDP sessie, waarbij alleen de browser wordt gestart. downloads kunnen op een fileshare worden opgeslagen, die ook vanuit de werkplek te benaderen is. Gewoon een extra beveiligingslaag toevoegen dus. Interne sites (SharePoint en andere web applicaties die op het eigen netwerk worden gehost) gewoon via de locale browser, externe sites via Citrix.

    Hiermee kan telemetry wel aan staan, maar wordt er simpelweg niets verstuurd naar Microsoft, want de werkplek komt gewoon zelf niet het internet op. Kwestie van je routers fatsoenlijk configureren. Licensering is via de locale KMS server, Windows updates via locale WSUS, applicatie updates via Altiris, AV updates via een lokaal distributiepunt.

    Natuurlijk is het geen ideale oplossing, maar het is wel een manier om telemetry data tegen te houden

  2. Het lijkt me dat Microsoft helemaal niet geïnteresseerd is in gebruikersgegevens maar uitsluitend in gebruiksgegevens. Om hun producten te verbeteren is het interessant om te zien welke functies vaak of minder vaak gebruikt worden bijvoorbeeld. Een veel gebruikte functie zou in een volgende versie een prominentere plek in de UI kunnen krijgen. Als er in de verzamelde data geen enkele relatie is met specifieke gebruikers (geen id’s, ip’s, keys, of wat dan ook) lijkt me dat geen probleem toch?

      1. Nope, vraag maar aan de Franse regering,. Die zijn bedrijven kwijt geraakt op die manier. Vandaar dat ze ook heel erg stimuleren om GEEN Microsoft producten te gebruiken. En ze geven zelf het goede voorbeeld bij oa justitie 80 000 plekken klaar afgelopen januari zowel besturing als office Gendbuntu en libreoffice, inmiddels ook de webservers

  3. De overheid gebruikt MS Office voor dit onderzoek toch in combinatie met een Microsoft SharePoint cloudoplossing. Dat maakt wel verschil denk ik. Bijvoorbeeld autorisatie voor de cloud bij het openen van Office levert dan al pricvacygevoelige info op op de servers van Microsoft

  4. De enige reden die ik me kan bedenken voor het ‘wij kunnen het niet uitzetten’ is omdat ze 1) geen aparte versie uit willen geven waarin een gebruiker dit wél uit kan zetten en 2) als je maar één versie hebt waarin het mogelijk is, dan gaan tools als O&O shutup 10 en Spybot enz. het ook mogelijk maken voor mensen die deze optie niet in hun overeenkomst hebben laten zetten. Waardoor Microsoft uiteindelijk minder telemetrie binnen krijgt. Als ik MS Office nog zou gebruiken dan zou ik het zeker niet laten om ook deze telemetrie in te dammen. Elke vorm van telemetrie. Zolang MS niet open en bloot inzage geeft in wat ze precies aan telemetrie sturen (met packet inspection) voel ik er niks voor om ze toe te staan om voor mij onbekende gegevens van mijn computers dan wel netwerken weg te sluizen.

    1. Als het gaat om Office, zijn ze daar vrij duidelijk over en dat kun je hier lezen.

      Hetzelfde overigens voor Windows 10, zoals je hier kunt lezen

      Het probleem voor de NL overheid is alleen dat Windows 10 telemetry helemaal uitgeschakeld kan worden, waar dat voor Office niet mogelijk is. Anderhalf jaar geleden heb ik een rapport ingezien over Windows 10 implementatie voor de overheid. Daarin werd duidelijk gemeld dat Windows 10, vanwege de telemetry, niet geimplementeerd mocht worden. Dicht mocht pas na de 2018.05 update, omdat daar een optie bij kwam om de telemetry volledig uit te schakelen. Deze optie is er gekomen na overleg tussen de NL overheid en Microsoft, dus dit zal ongetwijfeld ook voor Office zo gaan gelden in de nabije toekomst.

  5. Microsoft heeft al een reactie gegeven over dit geheel. <a href=”https://www.yammer.com/mpnnederland/#/Threads/show?threadId=1190905014>Deze is hier in te zien

    “We are committed to our customers’ privacy, putting them in control of their data and ensuring that Office ProPlus and other Microsoft products and services comply with GDPR and other applicable laws. We appreciate the opportunity to discuss our diagnostic data handling practices in Office ProPlus with the Dutch Ministry of Justice and look forward to a successful resolution of any concerns.” A Microsoft spokesperson.

    Microsoft Talking Points • Microsoft is committed to ensuring that our diagnostic data handling practices in all of our products and services, including Office ProPlus, comply with GDPR and other applicable laws. The ongoing discussion with the Ministry of Justice and our mutual understanding of the detailed aspects of these regulations will determine the steps that we will need to take to maintain compliance. And as our customers use our tools and experience other features we’ll listen to their feedback and suggestions for improvements. • We welcome the feedback on our diagnostic data handling practices in Office ProPlus and expect to resolve any concerns raised by the Dutch Ministry of Justice. • Concerns raised by the Dutch Ministry of Justice focus on diagnostic data handling practices in Office applications and connected online services offered with Office ProPlus. Microsoft collects diagnostic data for the purposes of keeping our products and services secure, up-to-date, and performing properly and is committed to improving controls to help customers better manage the collection of diagnostic data.. While diagnostic data does not include customer content, it may contain data covered under privacy regulations such as GDPR, and we believe our collection of any such data complies with GDPR and other applicable laws.

    Microsoft’s continued strong commitment to privacy: • Microsoft firmly believes that privacy is a fundamental human right. As people live more of their lives online and depend more on technology to operate their businesses, engage with friends and family, pursue opportunities, and manage their health and finances, the protection of this right is becoming more important than ever. • We provide tools for customers to manage their use of services and provide discovery and deletion tools for customers to execute their compliance responsibilities. One of Microsoft’s contractual commitments is to help customers demonstrate their compliance with GDPR.

      1. Natuurlijk is het een hele hoop marketing blabla.

        Maar zoals ik al eerder zei, is er tussen de Europese regeringen (in ieder geval NL) en Microsoft veel overleg geweest over de GDPR en dan vooral met betrekking tot Windows 10. Daar hebben zij ook de benodigde aanpassingen doorgevoerd. Ik kan me dus haast niet voorstellen dat dit voor Office niet het geval zou zijn.

        Ik ben op 31 oktober bij een Microsoft “Technology in Action” event geweest, waar Satya Nadella als keynote speaker de dag opende (de keynote is hier terug te zien, de keynote hierna van Ruud Veltenaar is ook goed en grappig). Daarin werd duidelijk gesteld dat Microsoft hun verantwoordelijkheid met betrekking tot privacy, security en ethiek. Niet dat ik helemaal verkocht ben en Microsoft hiermee op hun blauwe ogen vertrouw, maar ik merk de afgelopen jaren wel dat Microsoft als bedrijf een hele andere aanpak heeft mbt data en informatie dan bijvoorbeeld Facebook en/of Google.

        Ik geloof dus wel dat Microsoft hier de benodigde stappen voor gaat zetten.

        1. De conclusie die ik uit de gepresenteerde feiten trek is dat Microsoft Office (in de huidige staat) niet door de Nederlandse overheid gebruikt mag worden. Ik heb verder niets gelezen over bestraffing van overheidsdiensten die het pakket toch gebruiken.

          Persoonlijk denk ik dat Libre Office een prima vervanger is, met een aanzienlijk lager licentietarief en minder privacy-problemen.

        2. Daarin werd duidelijk gesteld dat Microsoft hun verantwoordelijkheid met betrekking tot privacy, security en ethiek.

          Het klopt dat de tijd van smaad en erger deels voorbij zijn, zoals ooit te zien was op bv. https://www.heise.de/ct/artikel/Die-Woche-Microsoft-und-Linux-1283059.html van 21.07.2011.

          Ik geloof dus wel dat Microsoft hier de benodigde stappen voor gaat zetten.

          Mijn ogen zijn niet blauw en grote organizaties, bedrijf of overheid, geloof ik hooguit achteraf vanwege hetgeen ze waargemaakt hebben.

  6. Pi-hole, want all dns en ip adressen zijn allang bekend. Internet forwarden via Pi-hole, of idd een goede firewall kan je daar alle gegevens invoeren. Terwijl dat bij Pi-hole dat al gedaan is en bijgehouden word. Ben je meteen van veel reclame af op je netwerk 🙂 (incl black en whitelist die makkelijk bij te houden is.

  7. Kan iemand uitleggen waarom steeds de stelling opkomt dat de instemming van de OR gelijk staat met instemming door belanghebbenden. Ik zie in de wet op de OR slechts een instemmingsrecht op een besluit en dat besluit kan over de rechtmatige verwerking van persoonsgegevens gaan. De instemming van de OR is op niveau van het besluit, het is niet bedoeld (kan ook niet bij een individueel recht) als middel om de rechtmatigheid van het besluit, of de rechtmatigheid van de verwerking die in dat besluit is bedoeld, te laten ontstaan. Ik houd mijn hart vast als OR leden voor mij de grondslag van instemming in kunnen gaan vullen.

    1. Die stelling is volstrekt onjuist. De OR heeft instemmingsrecht op het niveau van de regeling inderdaad, maar dat zegt nul komma niets over toestemming in de zin van de AVG. Een regeling omtrent verwerking van persoonsgegevens zal altijd op een van de andere gronden (met name uitvoering (arbeids-)overeenkomst of eigen belang) gebaseerd moeten worden. Personeel kan juridisch geen toestemming geven onder de AVG voor regelingen die de werkgever invoert.

  8. Moeten we hier niet kijken naar Overweging 66 in de e-privacy richtlijn 2009/136/EG: (en art 5.3) https://edps.europa.eu/sites/edp/files/publication/dir2009136_nl.pdf

    Het is mogelijk dat derden informatie op de apparatuur van een gebruiker willen installeren of toegang tot reeds opgeslagen informatie willen krijgen, dit om tal van rede­ nen, gaande van wettige handelingen (b.v. bepaalde types cookies) tot ongeoorloofde indringing in de privésfeer (b.v. spyware of virussen). Daarom is het van kapitaal belang dat gebruikers duidelijke en omvattende informatie krijgen wanneer zij een handeling stellen die kan resulteren in een dergelijke opslag of toegang. De wijze waarop informatie wordt gegeven en een recht van weigering wordt aangebo­ den moet zo gebruikersvriendelijk mogelijk zijn. Uitzon­ deringen op de verplichting om informatie te geven en een recht van weigering aan te bieden moeten worden beperkt tot situaties waarbij de technische opslag of toegang strikt noodzakelijk is voor het wettige doel of om het gebruik mogelijk te maken van een specifieke dienst waarom de abonnee of gebruiker heeft verzocht. Wanneer dit tech­ nisch mogelijk en doeltreffend is, kan, overeenkomstig de desbetreffende bepalingen van Richtlijn 95/46/EG, de toe­ stemming van de gebruiker met verwerking worden uitge­ drukt door gebruik te maken van de desbetreffende instellingen van een browser of een andere toepassing. Deze bepalingen moeten doeltreffender worden afgedwon­ gen via uitgebreide bevoegdheden die aan de desbetref­ fende nationale instanties worden verleend.

  9. Ook in het bedrijfsleven is dit veel gebruikte software. Het delen van deze data is bij veel bedrijven die het gebruiken waarschijnlijk niet bekend. Moet het onder de AVG ook niet naar standaard niet delen tenzij de gebruiker toestemming geeft? Immers kan ik moeilijk een dringende noodzaak vinden voor Microsoft of bedrijven met bv 10 werknemers.

  10. Dit is toch al heel oud nieuws dat MicroSoft haar pakketten informatie laat doorsturen!? Als globale monopolist met ‘Office’ kan niemand om haar heen en geen enkele overheid heeft de macht om hier wat aan te doen. Het enige dat zou werken is wanneer Europa een eigen pakket ontwikkelt en de monopolie doorbreekt en de ontwikkelaars in Europa van begin af aan niet alleen veiligheid, maar ook privavy in het ontwerpproces opneemt. Betwiijfel echter of de overheid zo ver wil gaan.

  11. Daar dacht ik eigenlijk ook een beetje aan, echter heel Europa moet er achter staan, net zoals Europees Internet 2.0 dat een tegenwicht moet vormen tegenover het Amerikaans gedomineerd world wide web, maar met verbeteringen welke de kwetsbaarheden van het huidige internet oplossen. Om dat te realiseren moeten wij Europeanen meer samenhang tonen en niet er om rouwen als een Brexit plaatsvindt. Europa kan dan alleen maar versnellen in haar positieve ontwikkelingen. Dus ook als Oost-Europa dwarsligt duidelijke keuzes maken. De EU van de 6 landen was vroeger al sterk genoeg, dus voorlopig alleen verder met waarachtige Europeanen. Binnen dit thema, het zou handig zijn als de EU een waarlijk Europees programma zou ontwikkelen voor de realisatie van een EuroSoft Business Intelligence Package (ESBIP)!?

    1. Voor een tegenwicht van de Amerikanen ben ik niet bang, het enige wat ze kunnen doen is de rootservers uitzetten, wat ze met de golfoorlog daadwerkelijk geprobeerd hebben, maar er zijn heel snel ander oplossingen. Er is zelfs al een alternatief internet dat geen gebruik maakt van de rootservers en eigen DNS servers gebruikt. Komt bij dat Tim Berners lee, als grondlegger van het internet o.a. bezig me teen alternatief protocol voor de TCP/ip Stack zodat DNS niet meer nodig is en een kans dat een of andere natie het internet kan blokkeren er niet meer is. Maar ja mensen en bedrijven zijn conservatief, zie in het verleden VHS tegen oa het betere Betamax. en nu het TCP/IP V4 versus TCP/IP v6, het kost geld tijd, materiaal en mensen begrijpen het slecht. En ervaring leert dat het dan niet gaat gebeuren. Komt bij dat V4 nog lang niet uitgeput is, wel wat ip adressen betreft maar er zijn nog oplossingen zat. En IOT heeft het niet nodig want IBM heeft een protcol bedacht dat gewoon bovenop TCP/IP draait. Wel met de nodige beveiligings-problemen maar word wel door 90 % al gebruikt omdat het gratis is.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.