Nieuws

M365 voldoet niet aan de AVG!

Zo Rijksoverheid. Word je toch mooi even te kakken gezet door NOYB. Met name een schande voor SLM Microsoft Rijk onder het Ministerie van Justitie en Veiligheid. Zij maken het mogelijk onder valse beloftes dat M365 voldoet aan de AVG en mag worden gebruikt in het onderwijs en bij de Rijksoverheid.

• Microsoft 365 is hardly compliant with EU law.

de Belastingdienst naar de public cloud

De Belastingdienst heeft nu ook het besluit genomen om naar de public cloud te gaan. En wat is de reden om dat tegen de wil van het volk nu te doen?

Op korte termijn is er geen alternatief scenario beschikbaar dat hetzelfde niveau van functionaliteit en informatiebeveiliging kan bieden.
De Microsoft public cloud is bewezen niet veiliger dan applicaties in je eigen datacenter

Geen ruimte/stroom beschikbaar in het datacenter van de Belastingdienst voor eigen mail en samenwerkingsapplicaties.
Hier heeft de Belastingdienst liggen slapen. Maar een 1MW aansluiting terwijl Microsoft meer dan 10MW aansluiting heeft. En omdat we een souverein datacenter niet belangrijk vinden staat de Belastingdienst achteraan in de rij voor meer stroom.

Mail en documenten, die in het door de Belastingdienst voorziene scenario in de public cloud verwerkt worden, kunnen wel fiscale en bijzondere persoonsgegevens ontvangen.
Lekker dit. Hoe ga je dit beveiligen met Exchange Online/Sharepoint/Onedrive/M365? Eigen encryptie gaan ze niet doen, net zoals bij de poltie want dan verlies je functionaliteit.

Noodzakelijk bij dit scenario is wel dat er vertrouwen moet zijn in de leverancier. Daarom heeft de Belastingdienst gesprekken gevoerd met de
leverancier over hoe dit scenario kan worden vormgegeven en hoe de risico's zo beheersbaar mogelijk zijn.
De Belastingdienst heeft gesprekken gevoerd met Microsoft en nu zijn al onze persoonsgegevens op basis van vertrouwen veilig in de Amerikaanse cloud!

M365 heeft het hoogst beschikbare niveau van informatiebeveiliging tegen kwaadwillenden.
Dit is niet waar. Kijk maar naar de informatiebeveiliging van de afgelopen jaren. Het blijft bij een belofte van Microsoft: we gaan het vanaf nu beter doen.

Met behulp van functionaliteiten uit M365 zoals MS-Teams ontstaat er meer grip op de informatiehuishouding.
Met een videobellen applicatie krijg je meer grip op je informatiehuishouding?

M365 bevat een groot aantal beveiligingsmaatregelen om de vertrouwelijkheid en beschikbaarheid van de gegevens van de Belastingdienst te garanderen.Dit betreft bijvoorbeeld het toepassen van encryptie en het opslaan van gegevens binnen de Europese Economische Ruimte (EER).
Ze gaan double key encryptie niet gebruiken omdat ze dan functionaliteit verliezen. Encryptie in use is sowieso niet mogelijk.

Er is voorzien in een realtime backup oplossing waarbij de data real time op een andere plaats buiten de cloud wordt bewaard. Met behulp van een
Microsoft stand alone pakket of andere software kan de data dan geraadpleegd worden.
Toch Exchange SE om intern mail te kunnen gebruiken?

De Belastingdienst onderschrijft de langetermijnvisie van BZK en de Nederlandse Digitaliseringsstrategie (NDS) om tot een meer autonome
oplossing te komen en de afhankelijkheid van externe (niet-Europese) leveranciers af te bouwen. Op korte termijn is dit voor de Belastingdienst geen optie.
Op korte termijn naar de public cloud en op de lange termijn weer terug? Wat denk je zelf? Je gaat van het enige Nederlandse souvereine datacenter naar een Amerikaans datacenter. punt...

Tijdens een plenair debat over migraties van overheids-ICT naar het buitenland is de motie Kathmann aangenomen, die de regering verzoekt om
onder meer géén migraties van overheids-ICT naar clouddiensten van Amerikaanse techgiganten toe te staan, tenzij “onafhankelijk onderbouwd kan
worden dat de continuïteit van de dienstverlening aan burgers hierdoor in gevaar komt”
Ja hoor, de onderbouwing is heel goed. Als de Belastingdienst niet kan beschikken over MS Teams, komt de continuïteit van de dienstverlening aan burgers in gevaar.... Ze hebben toch ook hele mooie kantoorgebouwen om vanuit te werken? En ze hebben toch ook al Cisco Webex?

Een schoffering van het volk en de volkvertegenwoordigers.

politie en public cloud

Via een besluit op mijn WOO verzoek over cloud beleid/gebruik bij de politie zijn o.a. de volgende documenten openbaar geworden:

• Met de benen op de grond op weg naar de cloud -> Visie, strategie en kaders
• GEB/DPIA Microsoft M365 MVP Teams/OneDrive/SharePoint door Expertisecentrum Privacy

Enkele opmerkelijke stukken uit deze documenten:

Beleid:

Beleid en strategie, alles naar de pulic cloud:
Alle informatie m.b.t. het uitvoeren van de politietaak, eigen medewerkers en eigen bedrijfsgegevens die
gerubriceerd zijn in een categorie tot en met Politie GEHEIM4, mag in een externe private of public cloud
worden opgeslagen en verwerkt.

En dit:
Het gegeven dat alleen de korpschef verwerkingsverantwoordelijkheid heeft binnen de Wpg

We zien hier het probleem en nemen maatregelen (encryptie):
De Amerikaanse overheid stelt zich op het standpunt dat zij jurisdictie heeft over alle bedrijven - waar ook
gevestigd - die verbonden zijn met Amerika en dat zij bij die bedrijven informatie over individuen mag vorderen
(de Cloud Act). De Europese Commissie en het Nederlandse kabinet stellen zich op het standpunt dat EU-
wetgeving voorgaat op EU-grondgebied. Dit juridische dispuut is vooralsnog niet opgelost. In de praktijk houdt dit
in dat de leveranciers, vrijwel allemaal Amerikaanse bedrijven, hierdoor in een spagaat terecht komen. Een
oplossing hiervoor is nog niet gevonden, maar we zijn ons bewust van dit risico en proberen zo veel mogelijk
maatregelen te nemen om het risico te beperken.

Encryptie:
De encryptiesleutel is in handen van de politie.

En dit is mogelijk door eigen encryptie:
De politie biedt in beginsel meer ruimte voor het gebruik van public cloud dan het Rijk. Het afwegingskader van
het Rijk geeft ruimte om informatie die lager is gerubriceerd dan Departementaal Vertrouwelijk in een externe
cloud te zetten. Het kader van de Politie geeft ruimte om informatie tot en met de rubricering geheim in een
externe cloud te zetten.

GEB/DPIA:

Wpg is strenger dan de AVG:
Diensten die dienen voor operationele politiediensten
In dit geval betreft het diensten die naast AVG ook Wpg-data bevatten. Dat
heeft de nodige juridische consequenties ten aanzien van privacy en security
omdat het Wpg-regime geldt. De rijksoverheid heeft met een aantal
cloudleveranciers overeenkomsten gesloten waar de politie van gebruik kan
maken. Bij deze overeenkomsten is de AVG het uitgangspunt. Ten aanzien
van de Wpg dienen dan ook separate afspraken gemaakt te worden.

We nemen privacy/security echt serieus:
Voor het maken van de GEB/DPIA kreeg het Expertisecentrum Privacy van de politie 2 maanden voor de AVG en 1 maand voor de Wpg door
1 privacy adviseur. Dus geen volledig overzicht.

Dit komt toch in een heel ander licht te staan nu Trump president is:
Hoewel het de verwachting is dat het DPF juridisch zal worden aangevochten, worden in de VS waardevolle en belangrijke stappen gezet om de rechten en vrijheden van betrokkenen in lijn te brengen met de normen die gehanteerd worden binnen de EU.

Wat kost videobellen software per jaar?
Microsoft Enterprise E5 licenties € 22.000.000,-

Verwerkersovereenkomst is de SLM Rijks MBSA:
Verwerkersovereenkomst in Data Protection Terms van Online Service Terms in Enterprise Enrollment / Rijks MBSA en de Rijks Enterprise Agreement
Opvallend hieraan is dat Microsoft de klantgegevens mag gebruiken voor het doeleinde: improving the Online Services.

Voldoen sub-verwerkers aan de AVG? Jammer dan bedrijfsgeheim:
Microsoft heeft op 20 februari in een gesprek met de politie mondeling aangegeven over DTIA's te beschikken met betrekking tot India, China en Servie, maar heeft aangegeven deze niet te willen delen omdat deze DTIA's bedrijfsgeheim zouden zijn. Op verzoek van het ECP is schriftelijk de vraag bij Microsoft uitgezet om deze alsnog te verstrekken, aangezien zij volgens het ECP als verwerker verplicht zijn om aan de verwerkingsverantwoordelijke aan te tonen dat de doorgifte aan hun sub-verwerkers voldoet aan de AVG. Microsoft heeft dit schriftelijk geweigerd om dezelfde reden als die zij modeling hebben gedaan.

verwerker/verwerkingverantwoordelijke:
Er zijn een aantal factoren die zonder enige twijfel erop wijzen dat Microsoft verwerkingsverantwoordelijke is met betrekking tot de verwerking ten behoeve van het verbeteren van de geleverde diensten, ook al bepaalt de overeenkomst het tegenovergestelde.
In een op 25 november 2022 gepubliceerd rapport heeft de Duitse Datenschutzkonferenz (DSK) geconcludeerd dat het gebruik van Microsoft 365 onrechtmatig is. Een van de redenen hiervoor is dat Microsoft onvoldoende transparant zou zijn over welke persoonsgegevens verwerkt worden, en voor welke doeleinden. Op 14 december 2022 heeft SLM Rijk in een reactie op dit rapport gesteld dat SLM namens de Rijksoverheid in de MBSA vergaande afspraken met Microsoft heeft vastgelegd die de actuele kritiek van de DSK voldoende ondervangen. Zo bindt de verwerkersovereenkomst Microsoft volgens SLM aan strikte instructies voor de verwerking van persoonsgegevens van overheidsorganisaties die onder de reikwijdte van de MBSA vallen. Deze afspraken beschrijven volgens SLM helder wat Microsoft wel, en wat Microsoft niet met deze gegevens mag doen. Volgens het ECP zijn deze instructies in tegenstelling tot wat SLM Rijk stelt in het geheel niet strikt en helder, omdat de instructie met betrekking tot verbeteren van de geleverde diensten zeer ruim geformuleerd is en daardoor voor meerdere interpretatie open staat.

Geen eigen encryptie.
Geen enkel persoonsgegeven wordt momenteel met dubbele versleuteling (Double Key Encryption) versleuteld.
Bij het versleutelen van persoonsgegevens met een eigen key kunnen bepaalde functionaliteiten niet meer worden gebruikt,
zoals DSAR-tooling. De politie heeft daarom nog niet definitief bepaald of Double Key Encryption zal worden gebruikt.

Geen exit-strategie.
Het Microsoft 365 projectteam van de politie heeft bij nadere vragen van het ECP hierover aangegeven toch nog geen exit-strategie te hebben ontwikkeld.

De belangrijkste risico's zijn:
De politie is niet in staat om (tijdig) verzoeken om de uitoefening van rechten van betrokkenen met betrekking tot verwerkingen in Microsoft
Teams/OneDrive/SharePoint te beantwoorden. -> Risiconiveau voorafgaand aan het nemen van maatregelen -> ZEER HOOG

Zeer hoog: Het verlies van controle over persoonsgegevens omdat deze in een gebied zijn gebracht waar een inadequaat niveau van gegevensbescherming wordt geboden is een erstige inbrek op de rechten en vrijheden van de betrokkenen.
De impact is nog hoger wanneer de persoonsgegevens bijzondere persoonsgegevens of politiegegevens betreffen, omdat de risico's voor de betrokkenen met betrekking tot dit soort gegevens van tevoren niet valt te voorzien. Dat is met name geval voor zaken rondom de persoonlijke levenssfeer van een persoon die binnen de EU doorgaans als normaal of acceptabel worden beschouwd, maar in de Verenigde Staten strafbaar zijn gesteld of als gevaarlijk worden gezien. Omdat ook bijzondere persoonsgegevens en politiegegevens verwerkt kunnen worden middels het Microsoft 365 MVP. en deze vatbaar zijn voor een vordering, wordt de impact van het verwezenlijken van dit risico op Hoog ingeschat.

Betrokkenen behoeven niet te verwachten dat Microsoft of sub-verwerkers toegang kunnen krijgen tot potentieel gevoelige persoonsgegevens
of politiegegevens om de geleverde diensten te verbeteren, aangezien de betrokkenen hier geen enkele controle op kunnen uitoefenen. Voor de politiegegevens geldt ook nog eens dat dit een verwerking is die niet plaatsvindt voor een bij of krachtens de Wet politiegegevens geformuleerd doeleinde, en daarom onrechtmatig is. -> ZEER HOOG.

Trump

Elect a rapist. Expect to get fucked.
When You elect a clown. Expect a circus.

Palantir

De Nederlandse overheid gebruikt dus stiekem software van het dubieuze Amerikaanse bedrijf Palantir. Wat een sukkels.

• Palantir: Het huwelijk tussen Orwell en Kafka
• Eine äußerst miserable Idee
• Wie sich eine unheimliche US-Firma in Europa breitmacht
• billionaire man of mystery
• Watching you – Die Welt von Palantir und Alex Karp

Kop in het zand

Dat Amerika het werk van het Internationaal Strafhof onmogelijk maakt, daar ligt de Nederlandse overheid niet wakker van. Amerika is onze bondgenoot.

• new sanctions from the US administration against ICC Officials

Investeer in Nederland

Nu de clown in Nederland heeft laten zien dat hij in het circus thuis hoort, moeten we er alles aan doen dat de clown in Amerika ook weer naar het circus gaat. Net als de Vikingen een boycot op Amerikaanse cloud.

• Waarom de Amerika boycot wel aanslaat in Denemarken

je had toch gelijk

• Dat de Amerikaanse techgiganten een gevaar voor democratieën vormen

Amerika bondgenoot?

Een agrument om gebruik te maken van Amerikaanse clouddiensten is het begrip bondgenoot. Is het Amerika onder Trump nog een bondgenoot? (militair mischien nog wel maar juridisch en economisch zeker niet.) Het is nu zeker geen sterk argument meer om daarom maar te kiezen voor Amerikaanse clouddiensten.

• Zonder tegenmacht verandert Amerika in een autocratie

Als burgers moeten oppassen omdat hun kritiek of verzet door de autoriteiten kan worden afgestraft, leven ze niet langer in een volwaardige democratie. Volgens dat criterium heeft Amerika de stap naar autocratie al gezet.

• Trump’s sanctions on ICC prosecutor have halted tribunal’s work

Microsoft, for example, cancelled Khan’s email address, forcing the prosecutor to move to Proton Mail, a Swiss email provider, ICC staffers said. His bank accounts in his home country of the U.K. have been blocked.

Microsoft did not respond to a request for comment.

• Microsoft: ‘Geen diensten aan ICC-organisatie gestopt’

Dit heeft uiteindelijk geleid tot het loskoppelen van een gesanctioneerde functionaris van Microsoft-diensten

Microsoft gaat niet direct in op de vraag of de blokkade alleen het privé-emailadres van Khan betreft.

En de Nederlandse overheid staat stil te kijken aan de zijkant. Niets aan de hand gewoon doorgaan. We hebben immers een "juridisch/politiek" waterdicht EU - VS privacy raamwerk (adequaatheidsbesluit om persoonsgegevens te laten verwerken door Amerikaanse bedrijven).

• Kabinetsreactie over de houdbaarheid van de EU-VS afspraken over privacy en mogelijke gevolgen voor migraties van gevoelige persoonsgegevens naar Amerikaanse diensten

• Conceptverslag Digitaliserende overheid

waarom kiest het kabinet er niet voor, in afwachting van juridische duidelijkheid, een duidelijke stop in te stellen voor nieuwe migraties van gevoelige gegevens naar Amerikaanse diensten? Zoals beschreven in de kabinetsreactie naar aanleiding van de vraag over de houdbaarheid van de afspraken van de EU met de VS over privacy, is het juridisch construct van het raamwerk nog in stand. Er is geen juridische onduidelijkheid die een eventuele algemene stop noodzakelijk maakt. Overheidsorganisaties kunnen zelf het risico afwegen en de actuele situatie meenemen in hun besluitvorming over nieuwe migraties. Ook zet het kabinet in op het verminderen van ongewenste afhankelijkheid van enkele grote spelers. Het zal hiervoor met aanvullende beleidskaders komen. Het streven is om dit voor de zomer naar de Kamer toe te sturen.

Assured political agreements are promised while not guaranteed

Om even het begrip sovereign cloud in het juiste perspectief te plaatsen. Van Amerika krijg je geen enkele garantie.

• Ukraine, Nuclear Weapons, and Security Assurances
• U.S. State Department officials insisted on using the term “assurances” instead of “guarantees” to describe the security commitments.
• to respect the independence and sovereignty

En nu zitten we ook nog met een clown als POTUS.

• Trump blames Ukraine over war with Russia
• Trump gibt Ukraine die Schuld
• Trump geeft Oekraïne de schuld van de oorlog

Reactie van het kabinet op Initiatiefnota 'Wolken aan de horizon'

De reactie van het kabinet op de Initiatiefnota 'Wolken aan de horizon' mist de nodige zelfreflectie. Het begint bij het onderwijs waarbij het kabinet aangeeft dat het eigenlijk komt door de aanbotkant. Dit doet geen recht aan het feit dat de vendor lock-in hier al begint door gebruik van het drugsdealer model door met name Microsoft. Stel in het onderwijs het gebruik van open standaarden verplicht en verbied het drugsdealermodel (gratis beschikbaar stellen van software/diensten). De vendor lock-in gaat door in het aanbestedingsbeleid. Ze hebben het hier over softwarelicenties, we hebben Microsoft en willen dit ook in de cloud. Hierbij geeft men dan simpel aan dat een clouddienst hetzelfde is als een softwarelicentie. En omdat we aan de gewenste Microsoft vendor lock-in willen vasthouden waarderen we de inzet van SLM Microsoft Rijk zeer. Ze doen o.a. dubbel werk door soms al een DPIA uit te voeren, die door het departement dan ook nog een keer uitgevoerd moet worden. Ook moet er ergens een verwerkersovereenkomst zijn die niemand kan vinden (zie WOO NZa).

Verder wel positief dat er nu eindelijk een debat gaat plaatsvinden over het gebruik van publieke clouddiensten door de Rijksoverheid.

• Reactie op de initiatiefnota van de leden Six Dijkstra en Kathmann over “Wolken aan de horizon”

Het artikel over de overheid als Microsoft drugsdealer in het onderwijs in de Trouw van 2 oktober 2007!

• Overheid, stop met dealen van Microsoft-spullen en kies echt voor open ICT

rapport van AR over Rijk in de cloud

En weer een rapport waaruit blijkt dat de regering niet regeert. En ook hier weer het probleem van 'verplicht' maar geen handhaving.

• Het Rijk in de cloud

Richt de handhaving van het Rijksbreed cloudbeleid beter in. Het voldoen aan het Rijksbreed cloudbeleid is nu te vrijblijvend

En de rondedans ‘VS-wetgeving – EU-verdragen’ voor opvragen data is ook wel aardig weergegeven.

De einduitkomst is dat de VS formeel toegang tot de data hebben, ook als de servers in Europa staan.

• Nieuws 2024
• Nieuws 2023
• Nieuws 2022
• Nieuws 2021
• Nieuws 2020
• Nieuws 2019
• Nieuws 2018
• Nieuws 2017
• Nieuws 2016

• Nieuws
  • Nieuws 2024
  • Nieuws 2023
  • Nieuws 2022
  • Nieuws 2021
  • Nieuws 2020
  • Nieuws 2019
  • Nieuws 2018
  • Nieuws 2017
  • Nieuws 2016