Is Office 365 nu echt een AVG probleem of alleen voor Hessense openbare scholen?

| AE 11405 | Ondernemingsvrijheid, Privacy | 14 reacties

De gegevensbeschermingsautoriteit van de Duitse deelstaat Hessen heeft het gebruik van Microsoft Office 365 door scholen verboden omdat dit in strijd met de AVG is. Dat meldde Security.nl op gezag van de toezichthouder zelf. De aanleiding is dat Microsoft eerder de speciale optie van een Duits datacenter voor scholendata had geschrapt, zodat de mogelijkheid ontstond dat persoonsgegevens van leerlingen en personeel in de VS zouden worden opgeslagen. Hetzelfde geldt voor telemetriedata over het gebruik, dat automatisch naar Microsoft wordt gestuurd en niet meer bij de Duitse grens moest stoppen. Waar ging dit nu precies op mis en wat betekent het voor andere cloudafnemers?

De pijn lijkt vooralsnog te liggen bij een specifieke Duitse uitwerking van de AVG, zo lees ik in het persbericht:

Public institutions in Germany have a special responsibility regarding the admissibility and traceability of the processing of personal data. Also the digital sovereignty of state data processing must be guaranteed.

Ik kan alleen zo 1-2-3 in de Duitse Uitvoeringswet niet terugvinden waar dat dan staat. Ik ga er dus maar vanuit dat men bedoelt dat de lat voor noodzaak en proportionaliteit extra hoog ligt, en waarschijnlijk ook dat Microsoft niet bepaald transparant is (aldus de toezichthouder) over wat er precies met die data gebeurt. Daar valt wel wat voor te zeggen.

Daarmee is het voor mij niet perse het einde van de cloud, hoewel dat natuurlijk wel in de lucht hangt (haha) met recente ontwikkelingen in de Schrems II-zaak bij het Hof van Justitie: is de optie om met zogeheten model contractual clauses data naar de VS over te dragen dan eigenlijk wél rechtsgeldig? Als dat niet zo is (en daar lijkt alles op te wijzen) dan blijft er vervolgens heel weinig grondslag over om persoonsgegevens in de VS op te mogen slaan. (Privacy Shield staat overeind maar alleen maar omdat het Hof er nog niet aan toegekomen is.)

Wie met een cloudoplossing bezig is die over vijf jaar een afhankelijkheid op Amerikaanse servers heeft, heeft dus nu een goede reden om die oplossing aan te gaan passen.

Arnoud

Minister pakt Russische site met privédocumenten van Nederlanders niet aan

| AE 9801 | Security | 10 reacties

Tegen de Russische website DocPlayer, die automatisch pdf-bestanden van internetgebruikers publiceert, wordt geen actie ondernomen. Dat meldde Nu.nl vorige week. De site publiceert 4,3 miljoen bestanden staan die door een computerprogramma worden verzameld en gepubliceerd. “Echter, het valt niet op voorhand te stellen dat deze gegevens illegaal verkregen zijn.” Want als ze uit openbare bronnen verkregen zijn, dan is het niet strafbaar. Eh, wacht, wat?

In september ontstond ophef over de site, toen RTL meldde dat daar miljoenen documenten te vinden waren met privéinformatie die via onduidelijke bronnen verkregen zouden zijn. Daarover werden kamervragen gesteld, wat ging de minister hier aan doen?

Vrij weinig dus. Op zich niet zo heel gek, wat kún je ook tegen zo’n site die in Duitsland staat. Zei hij sarcastisch. Maar iets serieuzer, als minister kun je hier natuurlijk echt weinig aan doen, die taak ligt immers bij toezichthouders zoals de Autoriteit Persoonsgegevens of bij de mensen die getroffen zijn door deze publicatie. Hoe vervelend ook, het is een civiele kwestie – je moet zelf een rechtszaak aanspannen als je auteursrechten worden geschonden of je privacy te grabbel wordt gegooid.

Indienen van een verwijderverzoek bij de site (haha) en bij Google (wie weet) zou dus de eerste aangewezen stap moeten zijn. Daarnaast een handhavingsverzoek bij de AP, hoewel de minister daar meteen een bezwaar oproept: de site zit in Duitsland, dus is de AP niet bevoegd. Nee, maar ze zouden toch kunnen bemiddelen bij de Duitse collega’s wellicht?

Het argument dat die gegevens “bewust of onbewust door gebruikers op het internet zijn geplaatst en daarna door deze site zijn verzameld” is natuurlijk compleet irrelevant en het is jammer dat dat zo prominent vooraan in de antwoorden staat. Want dat dóet er niet toe; ook als je zelf bewust iets op je site plaatst dan nog mag het niet worden gekopieerd in zo’n handigejongenssite.

Arnoud

Mensen boos omdat Google Docs hun privédocumenten als abuse aanmerkte

| AE 9788 | Informatiemaatschappij | 18 reacties

Mensen worden buitengesloten van hun Google Docs, en daar zijn ze boos over. Dat meldde Slate vorige maand. Om onduidelijke redenen merkte een grote groep mensen ineens dat de toegang tot bepaalde van hun documenten geblokkeerd was, met als melding dat hier de Terms of Service waren overtreden. Censuur, omdat het ging om privédocumenten?

Uiteindelijk bleek het een typefout in de software:

This morning, we made a code push that incorrectly flagged a small percentage of Google Docs as abusive, which caused those documents to be automatically blocked. A fix is in place and all users should have full access to their docs.

Het laat wel weer mooi de grote zwakte van de cloud zien: er is geen cloud, er is alleen uitbesteden en daarmee een afhankelijkheid van je leverancier. Die kan en mag de dienstverlening veranderen, en als hij door een foutje je gegevens ontoegankelijk maakt dan heb je even pech. Net zoals een butler die de boodschappen vergeten is.

Die vergelijking maak ik niet zomaar, want voor de wet is er geen verschil tussen een butler en een clouddienst. Het is allebei dienstverlening, en de regels zijn simpel: die mag worden aangepast of opgezegd, en dat is het wel zo’n beetje. Dus nee, er is niet veel te doen tegen dit soort grappen.

Tegelijk weet ik ook niet goed hoe dit op te lossen, want het gaat ook weer erg ver om te zeggen, clouddiensten moeten tot jaar en dag ongewijzigd beschikbaar zijn. Dat kun je ook weer niet van mensen vragen.

Arnoud

Worden Europese bedrijven straks verplicht data aan de VS te geven?

| AE 9756 | Informatiemaatschappij | 23 reacties

De Supreme Court gaat uitspraak doen in de Microsoft-cloudzaak waarbij het Amerikaanse bedrijf door de rechter verplicht werd data van haar Europese dochter af te geven aan de FBI. Dat las ik (dank, tipgevers) bij Ars Technica. De zaak loopt al een tijdje en kan enorme gevolgen hebben voor de bruikbaarheid van de cloud voor… Lees verder

Tot eigendom van data geregeld is, kun je maar beter goede backups maken

| AE 9517 | Informatiemaatschappij | 12 reacties

Wie data opslaat bij een online backupdienst, of gebruik maakt van een SaaS-dienst voor bijvoorbeeld boekhouding of klantenadministratie, zal al snel geneigd zijn te spreken van ‘zijn’ data. Logisch: die informatie is essentieel voor die persoon, en als hij het fysiek ergens opgeslagen had, dan waren die mappen of papieren ook gewoon zijn eigendom. Maar… Lees verder

Wetsvoorstel moet digitaal leren met nepnaam veiliger maken

| AE 9265 | Informatiemaatschappij, Privacy | 21 reacties

Kinderen die op school met digitale lesmethoden werken, hoeven niet meer hun eigen naam in te vullen. Dat stond in het papieren AD afgelopen weekend. De ministerraad heeft namelijk ingestemd met een wetsvoorstel van die strekking, hoewel exacte details nog ontbreken. Kort gezegd komt het erop neer dat bij gebruik van clouddiensten door scholen moet… Lees verder

Google moet wél buitenlandse e-mails overdragen aan de FBI

| AE 9261 | Intellectuele rechten, Privacy | 19 reacties

Een Amerikaanse rechter heeft bepaald dat Google ook e-mails die op servers buiten de VS zijn opgeslagen moet overdragen aan de FBI in een zaak over binnenlandse fraude. Dat meldde Nu.nl onlangs. Deze beslissing staat lijnrecht tegenover de hogerberoepszaak van Microsoft dat géén berichten opgeslagen in het buitenland hoefde af te geven aan de Amerikaanse… Lees verder

Moet je echt bij elke internetdienst een bewerkersovereenkomst sluiten?

| AE 9217 | Privacy | 12 reacties

Een lezer vroeg me: Wij maken zakelijk gebruik van applicaties en software in de cloud. Mijn vraag is nu echter of je echt met iedere cloud leverancier een bewerkersovereenkomst moet afsluiten? Iedere applicatie verwerkt namelijk op de een of andere manier wel persoonsgegevens, de ene meer dan de ander. In sommige gevallen gaat het enkel… Lees verder

En nu eisen sitevoorwaarden ook al je eerstgeboren kind op

| AE 8802 | Informatiemaatschappij | 7 reacties

Gaan we weer: hee kijk, niemand leest websitevoorwaarden, zelfs als je erin zet dat je je eerstgeboren kind moet afstaan, gaat iedereen blindelings akkoord. Dat las ik bij Ars Technica. Leuk nieuwtje weer, maar wat mij betreft nieuwswaarde nul. Al sinds het begin van internet staat iedere site bol van de gebruiksvoorwaarden. Ergens wel logisch,… Lees verder

De cloud is (even) gered, Microsoft hoeft geen Europese klantgegevens af te geven

| AE 8793 | Privacy, Regulering | 12 reacties

Microsoft hoeft e-mails die opgeslagen zijn bij zijn datacenters in Ierland niet over te dragen aan de Amerikaanse rechter. Dat las ik bij Tweakers. In het langverwachte hoger beroep bepaalde het gerechtshof dat de Amerikaanse Justitie geen grond heeft om een Amerikaans moederbedrijf te dwingen data op te halen bij haar niet-Amerikaanse dochters. Daarmee is… Lees verder