Misschien is nu het moment om gewoon alleen nog Europese videovergadersoftware te gebruiken?

Videobelbedrijf Zoom heeft zijn excuses aangeboden voor de vele beveiligingslekken die in de software blijken te zitten. Dat meldde Tweakers onlangs. En dat was weer vlak nadat mijn kantoor blogde dat Zoom AVG-compliant is en nadat ik zelf een webinar met die tool gaf. Dit is dus waarom juristen altijd “in principe” bij zoiets zeggen. Maar ik ben er wel een beetje klaar mee, al dat Amerikaanse nepgedoe over we value your privacy.

Er gaat een meme rond met een zogenaamde bedrijfsquiz: wie leidde de digitale transformatie in jouw bedrijf? Antwoord A: de CEO. B: de CTO. C: COVID-19. Haha, ja. Maar er zit wel een kern van waarheid in, want waar overal thuiswerken vrijwel altijd een probleem was en videoconferencing een belachelijk alternatief was voor gewoon een vergadering (en “kunnen we Slacken” dan wel “kan dat in een e-mail” alleen een vraag voor nerds was), zit iedereen nu plotsklaps de hele dag te thuiswerken, met videoconferencen en een bedrijfschat open. (Ik werk zelf alleen per e-mail maar ik ben een ouderwetse nerd.)

Voor dat alles zijn enorm veel tools beschikbaar, maar vrijwel allemaal zijn ze groot en Amerikaans. En natuurlijk weten die clubs van de GDPR, dus dat staat in mooie woorden op hun site. Maar toch gaat het steeds maar mis. En hoewel foutjes kunnen gebeuren, ook in Europa, gaat het wel heel váák mis. En dan ook nog eens precies op de punten waarvan je vanuit AVG-perspectief zegt “hoe kon je überhaupt dénken dat die kant op iets inbouwen érgens goed voor was”, in het jargon “had even een DPIA gemaakt”. Wat mij er dus van overtuigt dat het geen foutje is maar een misfeature vanuit Amerikaans denken.

En Amerikaans denken is “privacy bestaat niet als je de voordeur dichtdoet / als je online gaat”, want dat is een grondrecht voor bij jou thuis, niet bij anderen. Een online tool kan dus doen en laten wat het wil, zolang het maar commercieel handig is. Daarom gaat het steeds mis, er wordt gewoon niet nagedacht over privacy en grondrechten maar men bouwt maar wat en zegt dat het modern en handig is.

Er is dan een héleboel kunst- en vliegwerk nodig om dat weer recht te breien. Of dat nou een betaalde G-suite met een heleboel extra configuratie is of een lokaal gehoste SaaS oplossing, het kan vast wel maar het blijft lapwerk. Want als iets fundamenteel niet gemaakt is om aan bepaalde eisen te voldoen, dan lekt er altijd wel ergens iets.

En dan denk ik, als we nu toch bezig zijn met die digitale transformatie en het moet maar, waarom pakken we dan niet één tandje door om te zeggen, hoe krijgen we een échte Europese, veilige oplossing ingericht?

Arnoud

35 reacties

  1. Hoewel Europese software een zeer goed begin is, moet er wel een handhavingsbeleid aan vast hangen. Hoeveel ondernemingen zijn al moeten stoppen omdat ze een flagrante overtreding van de AVG deden? Hoeveel CEO’s zijn al de laan uitgestuurd voor AVG overtredingen?

    Als ik privacyverklaringen van Europese bedrijven lees, wordt ik ook ziek. In het beste geval zoeken ze uitdrukkelijk de rand van de wetgeving op, vaak staan er flagrante zaken in. Ook bv. bij bedrijven die software diensten leveren aan de onderwijssector. Jammer genoeg kan ik in de onderwijssector niet direct iemand noemen die iets van privacy kent of er zelfs maar van wakker ligt.

  2. Als je als Europees bedrijf een product maakt voor de Amerikaanse medische markt, dan komt de FCC letterlijk fysiek bij je langs om je hele ontwerp en ontwerp proces door te lichten.

    Europa zou bij alle bedrijven die een privacy schandaal / lek hebben gehad de toezichthouder moeten langs sturen om het hele ontwerp en ontwerp proces door te lichten op onder andere privacy by design en om te kijken of alle DPIA’s er zijn. Ongeacht of het bedrijf Europees, Amerikaans of Chinees is. Als een bedrijf niet door de keuring komt, een dikke boete geven die een percentage van de omzet is, anders voelen de grote bedrijven het niet of draai je de nek van kleine te snel om. Vervolgens mag zo’n bedrijf zijn product niet meer aanbieden op de Europese markt totdat er opnieuw een keuring is geweest. Als dit soort fouten of schandalen te vaak voorkomen bij een bedrijf, dan mogen ze geen initiële zelf certificeren meer doen en moeten ze alle producten voorleggen voor keuring voordat ze de markt op mogen.

    [/rant]

    1. Niet de FCC, maar de FDA, en die willen werkelijk met alles meekijken, van ontwikkel-process tot requirement traceability en test coverage van code, zelf meegemaakt in de tijd dat ik nog aan medische software voor de VS markt werkte.

  3. Ik verbaas me steeds weer over hoe makkelijk Amerikaanse leveranciers worden gebruikt als (sub)verwerkers door Nederlandse leveranciers van Saas diensten. Een voorbeeld het geliefde Mailchimp, komt overal terug.

    MAAR.. ‘ze’ voldoen aan de AVG want ze zijn aangesloten bij Privacy Shield. Wie echter de terms en conditions leest van de betreffende subverwerkers, komt vreemde zaken tegen.

    Daarnaast komen er achteraf blijkbaar ook nog verschillende lijken uit de kast. Heel erg vervelend om mee geconfronteerd te worden als privacy professional.

  4. Digitaal vergaderen is tot nu toe totaal niet efficient gebleken. Ik merk dat er geen zinvolle informatie uitwisseling uit voorkomt. Moet eigenlijk alles doen met 1 op 1 gesprekken via telefoon/whatsapp of Skype. En ook dat is gewoon minder praktisch dan in persoon.

    1. Je ziet ook bij bedrijven die al sinds jaar en dag remote werken (bijv. Gitlab), dat zij juist inzetten op asynchrone communicatie. Daarbij ligt de grootste nadruk op e-mail, dan op chat, en dan pas dingen als telefoon/videoconferencing. De gedachte hierachter is dat je werknemers het beste tot hun recht komen als ze ongestoord kunnen werken, en op een moment dat het hen uitkomt even de vragen van collega’s kunnen afwerken, ipv dat ze ‘continue’ gestoord worden.

      Ik denk dan ook dat videoconferencing voor een deel een hype is, waar men hopelijk deels weer vanaf kan stappen.

      1. Juist die asynchrone communicatie is iets waar heel veel mensen en bedrijven aan zouden moeten werken. Ik maak het helaas nog steeds mee dat mensen me een e-mail sturen en 5 minute later bellen waarom ik nog geen antwoord heb gegeven. Ik antwoord dan maar dat ik er nog niet aan toe ben gekomen, omdat ik met enkele andere (voor mij) meer urgente dingen bezig ben. Een open chat (zeker met meerdere teamleden) is al snel onoverzichtelijk, Microsoft Teams (en ik gok Slack ook) lost dat op door discussies in draadjes te laten verlopen. Door de verschillende discussies over hetzelfde onderwerp in draadjes te zetten, blijft e.e.a. toch overzichtelijk en hoef je dus niet direct te reageren. Videoconferencing is geen hype, het is al iets al ruim 10 jaar bestaat en het zal altijd wel blijven bestaan.

        Wat wel een hype is, mede veroorzaakt door covid-19, is dat nu ineens alles via videoconferencing moet lopen. Iemand die vroeger even naar iemand toe liep, zal nu gaan videobellen ipv een chatbericht te sturen. Wel zie ik voordelen aan videobellen. Je ziet namelijk bij een videogesprek ook de gezichtsuitdrukking van de college, waardoor je beter kunt inschatten hoe bepaalde woorden bedoeld worden. Misintepretatie van getikte tekst komt nog altijd veel te vaak voor.

        1. Ik heb al jaren de ‘policy’ dat ik vaste momenten op de dag heb dat ik mijn e-mail bekijk en beperkte variabele momenten. Dat laatste zijn namelijk de momenten dat ik ergens klaar mee ben en iets nieuws oppak. Tussendoor heb ik de e-mail uit staan en ook geen notificaties aan staan.

          Je wil niet weten hoeveel drama dat bij sommige bedrijven geeft als ze daar voor het eerst mee geconfronteerd worden. “Hoe bedoel je ‘je hebt de e-mail niet open staan’?”. En “Waarom staan de notificaties uit?”. Heel simpel, omdat men vandaag de dag heeft bedacht dat iedereen altijd alle mails moet krijgen en van een CC heeft men ook al niet meer gehoord. Als men de CC voor ter info zou gebruiken dan kon ik daar notificaties op filteren, maar helaas. Dus krijg ik iedere 5 minuten een notificatie als ik die aanzet en dat stoort te veel.

          Om maar niet te beginnen over de onbenullen die mij dan wel een e-mail sturen waarin ik in de (B)CC sta en dan boos zijn dat ik niet meteen reageer op hun dringende vraag aan mij. Om te beginnen, als het een vraag aan mij is dan moet je de e-mail aan mij adresseren, anders neem ik aan dat het ter info is. En als het dringend is, dan is e-mail ook het verkeerde communicatie middel.

          Het voordeel nu met thuiswerken is wel dat de mensen dit van mij gewend zijn en ik geen gezeur heb als het even duurt voor er een reactie op de e-mail komt en er voor dringende zaken gebeld wordt. Videoconferencing … mijn camera staat uit en blijft uit. Beeld voegt geheel niets toe, het enige wat die software voor thuiswerken toevoegt is schermdelen als ik even met een collega mee moet kijken of omgekeerd. Ik heb ook al aangegeven dat als er voor elke scheet een skype call gestart wordt ik skype net als mijn e-mail op vaste tijden ga openen.

          Thuiswerken is echt super productief zo!

  5. Misschien is het tijd dat de verantwoordelijke EU commisaris een aanbesteding start voor een tool met IM/vergader /fileshare faciliteiten (vul zelf in wat je nodig denkt te heben) compliant aan de EU regeltjes. En deze dan open source publiceren. En ja dan zullen in silicon valley wel weer moord en brand gaan schreeuwen over concurrentievervalsing maar ze mogen zelf ook inschrijven.

  6. Mijn vriendin is docent. School heeft keurig alle Microsoft producten en die hebben hun zaakjes zo te zien wel redelijk op orde.

    Dus ze mag fijn lesgeven met Microsoft Teams. Met de standaardinstellingen kan elke leerling een ander muten, inclusief de docent, en voor iedereen.

    Daarnaast ziet ze slechts vier leerlingen tegelijkertijd in beeld plus degene die praat / geluid maakt. Volledig ineffectief.

    Na een week frustratie heeft ze op eigen kosten een Zoom account genomen. Ze is weer dolgelukkig.

    Denk je dat het gaat werken als iemand tegen haar over de AVG begint?

    Je houdt shadow IT alleen tegen door de zaken minstens even goed te regelen als het shadow alternatief. Vanuit functionaliteit gezien!

          1. Kan je mij een concreet en realistisch voorbeeld geven van hoe dit de privacy van die leerlingen schendt? Ze hebben geen account hoeven aanmaken. Er staat een wachtwoord op de meeting en er is een waiting room geconfigureerd.

            Bonuspunten voor als je me kan overtuigen dat het beter voor die leerlingen is om een slecht geconfigureerde MS Teams te gebruiken waarbij het vrijwel onmogelijk is om op een normale manier les te geven.

            1. Het lijkt me logischer om met goed geconfigureerde software te werken. Dat kan volgens mij slechts een tijdelijk probleem zijn aangezien iedereen op een school baat heeft bij een correcte configuratie.

            2. Tweakers heeft een aardig nieuwsoverzicht waarom Zoom de privacy van leerlingen kan schenden.

              Enkele voorbeelden uit het nieuwsoverzicht: Zoom heeft een tijdlang data doorgestuurd naar Facebook Zoom liet e-mailadressen en Windows-wachtwoorden uitlekken in aantal incidenten Onderzoeker: lekken in Mac-app Zoom geeft aanvaller toegang mic en camera Kwetsbaarheid bel-app Zoom maakte meeluisteren willekeurige gesprekken mogelijk En dit zijn de artikelen over problemen met het programma sinds januari van dit jaar.

              Een programma/app die wachtwoorden en e-mail adressen kan lekken, niet goed beveiligd is tegen meeluisteren met willekeurige gesprekken en toegang tot camera en microfoon geeft zonder toestemming van de gebruiker is wat mij betref af. Als de school van mijn kinderen Zoom zou willen gebruiken voor het lesgeven, zal ik als een van de eersten zijn die hier bezwaar tegen zal maken. De ontwikkelaars van het programa geven niets om security en/of privacy.

                • De toegang tot microfoon en camera zijn toch een MacOS lek ?
                • Er zijn geen accounts dus ook geen e-mail adressen.
                • Ook de overige lekken die je noemt zijn gedicht…

                Maar sowieso – beveiligingslekken kunnen in elk / stuk / software voorkomen. Ik doelde voornamelijk op de juridische kant van zaken.

  7. Zijn er uberhaupt geschikte Europese alternatieven? Ik ken ze niet echt. De realiteit van nu is simpelweg dat Europa enorm achterloopt. We kunnen op kleine schaal in onze TU’s en Philipsen en zo echt wel hele mooie dingen maken, maar alleen die Amerikanen zijn er goed in om iets wat ze gemaakt hebben dan ook op grote schaal wereldwijd aan de man te brengen en in korte tijd op te schalen. Het is geen toeval dat al decennia lang alle revoluties uit de VS komen. Waarom heeft Europa meer autofabrieken, maar Tesla moest uit de VS komen? Zijn Europese studenten niet slim genoeg om Google of Facebook te bedenken, of zit er iets anders achter? De overgrote meerderheid van alle tools en oplossingen die we nu masaal zijn gaan gebruiken komen uit de VS, en zelfs als een bedrijf uit een ander land komt zie je dat ze veelal onderzoeks-faciliteiten en kantoren in de VS hebben staan, en vaak werken daar dan ook meer mensen dan in het moederland. Het is kortom onze eigen schuld, er is gewoon geen Europese variant van Zoom, Teams of Slack, als ze er functioneel al zijn, dan zijn het marge-producten met een kleine gebruikersgroep, en alle bedrijven kiezen voor Amerikaanse producten.

    1. Een Amerikaan die een dienst opzet heeft meteen toegang tot een markt van 326 miljoen consumenten. En kan dat zonder veel problemen uitbreiden met 135 miljoen extra klanten in de andere Engels sprekende landen (Canada, GB, Ierland, Australië en Nieuw Zeeland). In Europa kan je 100 miljoen Duits sprekende bereiken en dan moet je aan de slag met dure lokalisaties.

      Wat ook niet helpt dat veel docenten op Nederlandse universiteiten en hogescholen nogal anti-commercieel zijn. Een Amerikaanse student die iets slim bedenkt zal gepusht worden om een bedrijf op te zetten. Een Europese student zal te horen krijgen dat hij zijn uitvinden moet vrijgeven als open source.

      1. Zeker waar, alhoewel je ook hier natuurlijk die software gelijk in het Engels zou kunnen maken. Alleen in Frankrijk is er volgens mij wetgeving die het bedrijven verplicht te localiseren, verder kan je overal gewoon de Engelse versie aanbieden als ik het wel heb. Ik werk geregeld met Duitsers, en alle wat jongere werken ook allemaal met Engelstalige versies. Is er uberhaupt een Nederlandstalige versie van Teams, Zoom of Slack (serieuze vraag, geen retorische, ik werk bij voorkeur met Engelstalige software omdat de Nederlandse variant altijd zo gekunsteld en gemaakt overkomt. Neem nu een woord als “apparaatstuurpogramma” of “versleutelalgoritmekamer”). Amerikanen maken overigens ook heel veel open source software, maar vaak is het niet eens zozeer de software zelf, maar het idee of concept, en vooral de manier waarop ze er in slagen om het op te schalen.

        1. Ja, maar niet om met een grote groep te videobellen: WeSeeDo, Clickdoc en Therapieland. Eigenlijk allemaal bedoeld voor de zorgsector om als behandelaar met een patiënt één op één ( en eventueel een ander (bv. familielid of andere arts) erbij) te overleggen. Jammer dat deze drie tools beperkt zijn tot videobellen met max. 3 personen. WeSeeDo en Therapieland zijn Nederlandse bedrijven en beide ISO-gecertificeerd. Clickdoc niet. Dat gaat via cgm.com.

    2. Het is niet alleen dat, maar het heeft ook te maken met de uniformiteit van de wetgeving: hier moet je, ondanks alle zogenaamde harmonisatie, je in elk land opnieuw door allerlei juridische hoepeltjes springen om iets nieuws en innovatiefs op de markt te brengen; in de VS kun je dat in een keer voor een veel grotere markt doen.

      Ik denk dat we de EU alleen kunnen redden als we een sprong voorwaards maken, en echt een keer als Europeanen gaan opereren met een serieuze harmonisatie van regels en denken vanuit gezamenlijk belang. De Covid-19 crisis is wat dat betreft nog niet echt hoopgevend.

    3. Het gaat er niet om of er geschikte Europese alternatieven zijn. Het gaat er om dat er videovergadersoftware is die geschikt is voor Europa. Er zijn verschillende bruikbare opensource systemen die aansluiten bij de privacyopvattingen die we in de EU hebben. Enkele voorbeelden zijn NextCloud, Jitsi meet, Bigbluebutton.

      Dit soort vergadersoftware kun je op je eigen servers installeren zodat alle data binnen je eigen netwerk blijft. Hoe meer privacy wil je? Qua complexiteit niet moeilijker dan het bijhouden van een domeinserver of backupsysteem.

      Er bestaat geen vergadersoftware voor een groter aantal gelijktijdige gebruikers die end-to-end encrypted is. Dat kan eenvoudig niet omdat dat aparte gecrypteerde verbindingen vereist voor video en audio tussen ieder paar gebruikers. Dat aantal schaalt als n*(n-1), wat al gauw een onhanteerbare hoeveelheid data oplevert. Alle vergadersystemen voor groepen decrypteren de datastromen op een centrale server, mixen de beeld- en geluidinformatie en crypteren het opnieuw op de centrale server. Wil je echte privacy, dan zul je dus je eigen servers moeten gebruiken. Doordat de eindgebruikers met https in hun webbrowser aan de vergaderingen deelnemen kunnen ook externe mensen gebruik maken van je eigen server.

  8. Het is gewoon tijd voor interoperabiliteit. Laat de EU eisen dat de protocollen worden opengesteld, zodat iedereen zijn eigen client en server kan bouwen, en closed source protocollen uitfazeren, om ze tenslote geheel te verbieden. Dan ben je gelijk van al dat walled-garden en vendor-lock-in gezeur af.

    1. Er is natuurlijk gewoon goed open source video meeting software. jitsi meet. Iedereen kan een server opzetten (of een cloud service uitkiezen) dus geen gedoe met stelen van video calls en dergelijke door een dienstverlener.

    1. Ja natuurlijk. Verbieden.

      Als bedrijven van hier buitenlandse bedrijven overnemen zijn het helden en pioniers, Hollands glorie wereldwijd!, en als het andersom is zijn het klootzakken met verborgen agenda’s.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.