Duitsland wil minder afhankelijk worden van Microsoft

Dit artikel delen:
Het Albeda College migreert snel naar Windows 10

De Duitse regering heeft de resultaten bekendgemaakt van een strategisch marktonderzoek van PwC om de ‘afhankelijkheid van unieke softwareleveranciers’ in te dijken. Alternatieven om die afhankelijkheid af te bouwen, kunnen echter op weinig animo rekenen.

In het document van 34 pagina’s concluderen de onderzoekers van PwC dat vooral de greep van Microsoft op de Duitse overheid groot is. Niet alleen wordt de software van de reus uit Redmond op ongeveer alle overheidsniveaus ingezet, de programmatuur is onderling ook sterk verstrengeld (bijvoorbeeld Outlook, Exchange en Windows Server). PwC schat dat ongeveer 96 procent van het computerpark van de Duitse overheid met Office en Windows is uitgerust.

Daarmee gaat Duitsland in tegen zijn eigen strategische it-doelstellingen, menen de onderzoekers. Meer nog, zij zien Microsoft als een ‘bedreiging voor de Duitse digitale soevereiniteit’. Er komt ook meer en meer kritiek op het Duitse softwarebeleid, zoals afgelopen zomer nog, toen de regering besloot zijn contracten met Microsoft te verlengen tot 2022. Vorig jaar spendeerde de Duitse federale overheid zowat 73 miljoen euro aan Microsoft-licenties, zo schrijft ZDNet. Dat is 25 miljoen meer dan het voorziene budget. In dit bedrag zitten de uitgaven van de deelstaten niet bij.

Politieke agenda

"De Duitse DSK (Datenschutzkonferenz) slaagt er niet in om exact uit te vissen welke diagnostische data Microsoft precies verzamelt in Duitsland"

Naast vragen over het kostenplaatje komt de kwestie ook steeds prominenter op de politieke agenda. Zo slaagt de Duitse DSK (Datenschutzkonferenz) er niet in om exact uit te vissen welke diagnostische data Microsoft precies verzamelt in Duitsland en doorstuurt naar zijn servers. Die DSK bestaat uit data protection officers van de overheid die moesten nagaan of Windows 10 wel aan alle overheidsregels voldoet.

Microsoft zelf reageert in de Duitse media door te stellen dat het bedrijf enkel de Duitse overheid wil steunen en de ‘dienstverlening voor burgers wil verbeteren’. Microsoft wijst er ook op dat zelfs in de PwC-studie ‘geen enkele realistisch’ alternatief naar voren wordt geschoven om Microsoft op korte termijn te vervangen.

PwC meent wel dat opensource-software een mogelijk alternatief kan bieden, maar plaatst daar meteen kanttekeningen bij. Er moeten dan realistische doelstellingen gezet worden, de acceptatie bij de gebruikers moet worden aangemoedigd en er moet voor gezorgd worden dat iedereen de nodige kennis heeft om deze programma’s ook te kunnen gebruiken. Er zal ook beroep moeten gedaan worden op de kennis van de opensource-gemeenschap om iedereen mee in bad te trekken. Alleen zo kan de digitale onafhankelijkheid van Microsoft kritieke massa krijgen.

München

PwC haalt ook een voorbeeld aan van hoe het niet moet: in het begin van deze eeuw besliste de stad München om op Linux en LibreOffice over te schakelen, zowel voor veiligheidsredenen als om geld te besparen. Voor sommige gebruikersgroepen was de migratie een succes, maar toch bleef ongeveer een op de drie Beierse ambtenaren met Microsoft-software werken. Dit leidde tot een tweesporenbeleid, waardoor de efficiëntie een duik nam en de kosten net stegen. In 2017 besliste München om terug op één systeem over te schakelen, dat van Microsoft.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Wat Munchen betreft, mijn ervaring: 'Tegen onwil kun je niets beginnen'
Tenzij je natuurlijk gewoon helder maakt, "graag of oprotten"
Zelf pas ik het beleid toe "Dit is wat je moet opleveren, en wel onder de volgende condities,
Hoe je dat doet zal me een zorg wezen maar val me vooral niet lastig"
Heerlijk, Mac Windows, Linux, Solaris, OpenBSD werkt allemaal prima hoor.

München heeft een vestiging van Microsoft gekregen, bekokstoofd door burgemeester Reiter.

Dat had met het funktioneren van Linux weinig te maken.

Exact 5 jaar geleden schreef ik hetzelfde in een opinie, een land verliest langzaam zijn souvereiniteit als deze te afhankelijk wordt van één (software)leverancier. Dit geldt niet alleen Microsoft want de jaarlijks €75 miljoen aan licenties die Duitse federale overheid betaald aan Microsoft is nog maar het topje van de spreekwoordelijke ijsberg. In Nederland maken we jaarlijks grotere bedragen over voor licenties voor met name Amerikaanse software leverancier die ook nog eens een belastingontwijkende constructie hebben en dan heb ik het nog niet eens over de miljoenen die door de overheid zijn betaald om Windows XP in de lucht te houden hebben.

Wat betreft kanttekeningen van PwC over een acceptatie van alternatieven, als één op de drie Beierse ambtenaren het beleid frustreert dan dienen daarin gepaste organisatorische maatregelen genomen te worden. Handhaven van een bepaalde 'status quo' levert op termijn problemen in beveiligingsaspecten op want spionage is spionage ook al gebruik je hiervoor semantische termen zoals het verzamelen van diagnostische data.

Ewout, ik ben het volkomen met je eens en heb precies jouw stelling altijd gepromoot.
Uiteraard kreeg ik keer op keer weer reacties waar incompetentie, onkunde maar vooral onwil van af dropen.
Lui die de boel structureel saboteren eruit flikkeren schijnt geen optie te zijn, het bedrijf door mismanagement onderuit laten gaan schijnt geen probleem te zijn...
Ik heb mijn carriere op een andere koers gegooid. minder stress, meer plezier, meer gewaardeerd.

De Duitse DSK (Datenschutzkonferenz) "SLAAGT" er niet in om exact uit te vissen welke diagnostische data Microsoft precies verzamelt? Wat een complete onzin. Dat is exact gedocumenteerd, kun je eenvoudig verifiëren en kun je bovendien volledig sturen. Als ze daar op het Windows platform niet in slagen gaan ze daar op een bonte verzameling van Open Source producten al helemaal niet in slagen.

Weer typisch zo'n tendentieus anti-Microsoft flutbericht waar we nou al jaren op getrakteerd worden. "Slaagt er niet in om uit te vissen". Volslagen belachelijk. Vroeger was het 'open standaards', nou is het dan Duitse soevereiniteit.

Rob Koelmans,
Als je even de moeite had genomen om te lezen wat ons Strategische Leveranciers Management Rijk over Microsoft schrijft aangaande de diagnostische verzameling dan had je mogelijk iets anders gereageerd, je reageert zelf dan ook nogal tendentieus. Betreffende je verwijt aangaande open source zou ik graag een onderscheid willen maken tussen je genoemde bonte verzameling en een weloverwogen strategie aangaande onderhoudbaarheid van de code van een specifieke stack.

Ewout, ik heb het aangaande Windows 10 gelezen. Waarom had ik eventueel anders gereageerd?

Rob,
Natuurlijk ben ik door de achtergrond van mijn bedrijf 'gekleurd' in de discussies maar ik denk dat hetzelfde verwijt jouw treft als ik kijk naar je profiel, uiteindelijk ben je één van de dertien in een dozijn als je een maatschappelijke beweging als een tendentieus anti-Microsoft bericht afserveert.

Dat ik abuis ben in mijn aanname door jouw vooringenomenheid is dus niet mijn fout, het punt van discussie gaat gaat om een keuzevrijheid en elke inkoper weet dat er geen onderhandelingsruimte meer is als je vast zit aan de keuzerichting. Het gaat dus om de vendor lock-in en verder speelt daarin ook het sentiment mee van spionage omdat 5 jaar geleden niet alleen de Duitse (bonds & federale) regering verrast werd hierdoor maar ook het industriële apparaat. En er is nogal wat industrie rond München die een belang heeft bij grotere souvereiniteit in de digitale agenda, drang naar het oosten is bij sommigen dus groter dan de gehoorzaamheid naar het westen.

Ewout, ze kunnen beter kijken welke platformen sterk zijn op digital rights management. De grote lekken zitten bij het gedrag van gebruikers, echt niet bij welke diagnostische informatie eventueel naar Microsoft lekt.

We zijn van af 2008 al bezig geweest met File Server Resource Manager en met name om projecten met File Classification Infrastructure van de grond te krijgen. Maar als het om daadwerkelijk betere bescherming van data door contextafhankelijke inperking van handelen gaat, zijn de dames en heren van de ambtelijke stand helaas een stuk minder geïnteresseerd. Een netwerk van Windows Server met Windows 10 werkplekken steekt met kop en schouders overal bovenuit als het gaat om ondersteuning van bescherming van gegevens gaat. Laten ze daar maar eens onderzoek naar doen.

En naar de mate van effectief gebruik vooral ook. Ik heb nog nooit meegemaakt dat een CIO of hoe je zo iemand tegenwoordig maar noemt, überhaupt er van gehoord had als je het had over FSRM en FCI in de SOX en Tabaksblat periode. Ik durf te wedden dat dat nu nog steeds een even groot drama is. Tot op het belachelijke af zelfs. Bij de UWV mag niemand meer mailen. Er gaat zoals altijd weer een enorm kennis-gat bij de overheid inzake hun belangrijkste systemen. Al jarenlang. Ik laat me graag van het tegendeel overtuigen.

Rob,
Digital Right Management (DRM) is een jurdische doolhof waarin Digital Millennium Copyright Act vooral om het beschermen van Amerikaanse commerciële belangen gaat zoals de case MegaUpload liet zien. Lees in dat kader ook de nieuwe Europese regels aangaande modernisering van de auteursrechten. Als je aangaande File Server Resource Manager doelt op een 'upload-filter' dan kun je niet ontkennen dat de achterdeur open gezet wordt voor diagnostische applicaties op basis van verkeerde aannames.

De Sarbanes-Oxley act gaat net als Code Tabaksblat om de corporate governance waarin zeggen wat je doet, doen wat je zegt en dat bewijzen steeds vaker om de data gaat. Binnen de interne controle heeft IT een grote rol en mede hierom staat dan ook de macht van Amerikaanse tech-reuzen ter discussie. De impact van Edward Snowden is groter dan menigeen denkt, het rapport over US surveillance programma is openbaar en de opmerking hierin over koppelen van een MAC-adres aan Office documenten geeft aan waarom de Duitse DSK er niet in slaagt om exact uit te vissen welke diagnostische data Microsoft nu precies verzamelt en op welke manier.

Ik zeg niet dat Microsoft shadow profiles heeft maar er zijn wel degelijke bepaalde digitale fingerprints welke middels 'phone home' verzameld worden en uiteindelijk met derden gedeeld Hierin is sommige open source niet anders maar in het kader van Code Tabaksblat is er wel een verschil in transparantie aangaande de goverance van de code zoals ik al eens in een opinie stelde. De zes vragen van Rudyard Kipling honest serving men vormen uiteindelijk ook de basis van de Sarbannes-Oxley wet want niet elke verandering is een verbetering.

Ewout, FSRM en FCI zijn platformen die Microsoft geïmplementeerd heeft op het Windows platform voor transparency, governance en data-leakage. Het zijn de aangewezen producten om je voor te bereiden op AVG. In plaats van wat nuttigs te doen met dit soort platformen, zit men liever te neuzelen over een hypothetisch lekje in een lasnaad van een demper in een uitlaadmond van een meter of zo. Het is stug het Nederlandse vingertje in de dijk houden terwijl het over honderden meters doorgebroken is. Zolang ik in Nederland sinds 2012 nog nooit iemand tegengekomen ben die van FSRM en FCI op Windows domeinen gehoord had, kan ik het allemaal niet serieus nemen. Liever kopen ze peperdure producten en laten ze zich daarvoor peperdure migraties aansmeren. Ga wat doen met waarvan je zegt dat het overgrote deel van je gebruikers erop werkt. Nogmaals, ik laat me graag van het tegendeel overtuigen.

Rob,
Nee, FSRM/FCI zijn op NTFS (en DAC)gebaseerde services welke je dus afhankelijk van een legacy bestandssysteem maken. Je verkooppraatje van het platform vergeet dat de discussie om de telemetrie van Microsoft ging want je sluit wel de ramen maar laat de achterdeur nog wagenwijd open staan. De telemetrie verstuurt afhankelijk van de instellingen ook informatie over welke website je bezocht hebt en de optie Timeline gaat nog een stapje verder.

Hoewel SLM Rijk adviseert om Timeline functie uit te zetten en indien mogelijk het telemetrie verkeer compleet te blokkeren zal net als in München dit beveiligingsadvies door 1/3 van de ambtenaren niet opgevolgd worden omdat interne controles hierop beperkt blijven zoals minister Grapperhaus van J&V recentelijk heeft moeten ondervinden aangaande de adviezen van NCSC.

Ewout, dat 'afhankelijk maken' valt wel mee hoor. Alle workflows en alle overige functionaliteit bouw je platform-onafhankelijk. Dat doen we al jaren. Je kunt het even makkelijk vanaf OneDrive en bijvoorbeeld Exchange Online gebruiken. Alleen de OnCreate/Modify/Delete-hooks zijn platform-specifiek. Uiteraard ook vanaf NFS e.d. Het maakt voor vanwaar je het kunt of moet kunnen gebruiken al jaren niet meer uit waarop we het bouwen.
mvg rk

Rob,
Volgens mij gaan we een andere discussie in met 'OnCreate/Modify/Delete-hooks' waarbij het argument dat je dit al jaren doet kwalitatief niets zegt over het juist opslaan van data. Want veranderende wetgeving - zoals AVG - dwingt organisaties om nog eens naar de workflows te kijken en één van de acties is dus de audit op Persoonlijk Identificeerbare Informatie om zodoende data te classificeren naar sensitiviteit. Daar kun je een service zoals FSRM voor gebruiken maar zoals met veel Microsoft producten die 'gratis' meekomen met het platform zul je dan nog wat werk hebben om dit werkend te krijgen. Als MetaMicro Automatisering daarin een toegevoegde waarde heeft met bijvoorbeeld templates voor regular expressies dan ben ik nieuwsgierig naar een opinie/blog hierover.

Ik heb ooit eens een opinie/blog geschreven voor Computable over Persoonlijk Identificeerbare Informatie omdat de 65+ (IRMA?) attributen hierin wat complexer zijn dan NAW-gegevens. Middels regular expressies van FRMS data classificeren zal naar mijn opinie geen succes worden maar zoals gezegd sta ik open voor nieuwe inzichten. Want de AI van algoritmen gaat uiteindelijk om de inzichtelijkheden die je kunt krijgen middels het analyseren van data. En aangaande NAW-gegevens, 1/3 hiervan is onveranderlijk om te wijzen op de aanname in sommige analyses aangaande de locatie gegevens.

Ewout,
FSRM en FCI niet gebruiken is zoiets als vrijwel al je kantoren betrokken hebben bij één projectontwikkelaar en de ingebouwde archiefkasten niet of maar half gebruiken omdat je geen vendor lock-in wilt. Enerzijds wil de overheid zoveel mogelijk alles uniform hebben en worden aanbestedingen zo ver mogelijk opgeblazen. Anderzijds wil met geen lock-in. Argumentatie is geheel gelegenheidsafhankelijk.

Beslissers die vanuit hun eigen portemonnee redeneren komen tot de conclusie dat datalekkage werkelijk kunnen voorkomen een onbegonnen zaak is en calculeren het risico dat ze lopen zolang de belastingdiensten e.d. nog roepen dat ze binnen 6 jaar niet AVG-compliant zullen zijn. Bestuurders van overheids- en andere organisaties willen alleen het risico dat ze ergens op aangesproken kunnen worden zoveel mogelijk vermijden. Ze gaan het liefst 'alles' outsourcen bij een partij waarvan de keuze achteraf kunnen verdedigen met argumenten als: "Ik heb gewoon gevolgd wat de meesten in mijn branche gedaan hebben, ook nog eens op basis van een uiterst kostbaar rapport van het mij aanbevolen advieskantoor". Kosten en resultaat spelen dan alleen een secundaire rol. Althans, dat is mijn beeld van een en ander.

Inzake dataveiligheid is er voor ons daardoor weinig handel. Wij gebruiken deze platform-onderdelen vrijwel uitsluitend voor document processing en lifecycle management. FCI is bij ons onontbeerlijk voor workflow.

Rob,
Wederom nee, ik wees namelijk op een kasteelbouwer die de geheime gangetjes naar de ingebouwde archiefkasten op de bouwtekeningen achterwege laat. Maar misschien is een betere beeldspraak het verkopen van een lek schip, dat is wat jij doet door voorbij te gaan aan simpele maatregelen aangaande de telemetrie. En veel hoeft dat niet te kosten als ik overweeg dat je templates hiervoor kunt maken. Daarmee garandeer je nog geen 100% veiligheid maar je bewijst wel dat je wat gedaan hebt, een essentieel punt als we kijken naar de code Tabaksblat.

Oja, betreffende je workflows zie ik steeds vaker andere devices hierin zoals Apple iPads. Maar ik zie ook dat de data flows hierdoor veranderen omdat videobestanden steeds vaker als bewijslast gebruikt worden. Hetzelfde geldt voor audiobestanden vanuit de telefonische verkoopprocessen, de wijze waarop we communiceren veranderd maar juridisch blijft de bewijslast onveranderlijk. Dat levert uiteindelijk problemen op, oplossing hierin is RunMyProcess waarmee je het NextGen digitale business platform kunt bouwen. En hierbij is onderliggende opslag uiteindelijk afhankelijk van de karakteristiek van de data en de lifecycle.

Ik weet niet of je in het proces gebruik maakt van een checksum bij inname van data, binnen de chain of custody is de onweerlegbaarheid van data belangrijk. En als ik volledige data governance plaatje over 7 jaar bereken op basis van je code Tabaksblat principes dan ben ik al snel 40% goedkoper uit dan het Microsoft platform met een oplossing zoals bijvoorbeeld StorNext van Quantum. Ik wil niet vervelend over de workflow doen maar zeker 90% van alle data die we moeten bewaren is koud, deze is eenmalig aangemaakt en wordt nooit meer gewijzigd en nog sporadisch geraadpleegd. Verplaatsing hiervan naar tape, uiteraard met behoud van de checksum bij een eerdere inname op disk middels HSM levert een groot aantal voordelen op.

Ewald,
Instellingen over telemetrie zijn in Windows 10 volledig transparant en stuurbaar. Als klanten van ons zich een eventuele AVG-zaak voorstellen, verwachten ze dan ontstaan zullen zijn doordat bijvoorbeeld een consultant/medewerker waarvan het dienstverband is beëindigd gevoelige informatie op het internet heeft gegooid. Dat soort scenario's vormt in hun ogen het grootste risico.

Het is altijd verwijtbaar. Het zou bij voorbaat niet hebben mogen kunnen (je hebt dan je processen per definitie niet goed ingericht) en je weet ook dat je het in de praktijk niet zult kunnen voorkomen. Daarbij voldoet alleen een mogelijke kans op lekkage al aan meldingsplicht. Ze weten ook dat ze alle schijnwerpers zich richten als ze alle vermoedelijk meldenswaardige gevallen daadwerkelijk gingen melden. Althans dit is wat anderen en wij bij bestudering van de wet hebben geconcludeerd. Ook hier laat ik beeld hierop eventueel graag weer bijstellen.

Het enige waarmee wij op dit vlak nog enigszins een verschil kunnen maken voor klanten, is effectief gebruik van FSRM, FCI en AVG gerelateerde voorzieningen in Office365/Azure. Maar vrijwel niemand is geïnteresseerd: de risico's verminderen onvoldoende substantieel.

Klanten vragen ons momenteel heel andere dingen. Voor zover onze klanten ermee te maken, hopen ze met grote stappen zoals 'algehele' outsourcing het snelst thuis te zijn. Ze hopen dan in ieder geval verwijten van grove ondeskundigheid of onachtzaamheid jegens henzelf te kunnen voorkomen.

@Rob Koelmans, de instellingen voor telemetrie in W10 zijn niet transparant en niet stuurbaar, zonder heel diep in het systeem te graven.
Het kan namelijk niet (simpel) 100% uitgezet worden door de gebruiker en er is ook geen (simpele) controle mogelijk over de data die verzonden wordt.
Een kaal systeem in rust hoort niet uit zichzelf spontaan te communiceren, zonder dat er controle (of ingrijpen) mogelijk is.
De enige uitzondering is een controle op updates, maar wanneer je tijdelijk een dure internet verbinding hebt, dan wil je op elk bitje kunnen bezuinigingen en ook de controle kunnen uitstellen, nu kan dat alleen (tijdelijk) met het ophalen/installeren van de updates, maar niet voor de controle.

@Ron, laten we het s.v.p. zo concreet mogelijk houden. Wanneer heb je voor het laatst een Windows 10 machine ingericht en een profiel op aangemaakt? Als het niet om alle weigeringsmogelijkheden gaat die je daarbij tegenkwam, om welke gaat het dan precies?

@Rob, vorige week nog een W10-home geïnstalleerd op een HP laptop.
Dit gedaan m.b.v. een ISO die ik bij Microsoft heb opgehaald, en dus geen software "van derden" bevat.
Tijdens de installatie en daarna bij de configuratie heb ik alle opties die ik kon vinden uitgezet.
Hierna alle updates opgehaald en geïnstalleerd, waarna het dus niet meer nodig is, om data te versturen, of op te halen.
Nogmaals alle privacy opties gecontroleerd, maar die waren (nog?) niet veranderd.
Er blijft echter toch datacommunicatie lopen, zonder mijn toestemming en zonder dat ik weet wat er verzonden, of ontvangen wordt.
Let wel, het gaat om een kaal systeem, zonder extra software, dus de verantwoordelijke is Microsoft.

Kan het zijn, dat de blokkering in de home versie niet (volledig) werkt?

Hele leuke discussie over Microsoft. Tot zo'n 10-15 jaar geleden zou dit heel relevant zijn geweest, toen had Microsoft een monopolie. Alleen, die tijden zijn voorbij. Wat er op de client (PC, Mac, Android, iPhone, iPad, ChromeOS, ...) staat boeit niet zoveel. Ja, we hebben nog lokaal geïnstalleerde besturingssystemen en software, maar het gaat niet meer om wat we geïnstalleerd hebben. Het gaat om wat we doen. En wat we doen, gebeurt voor 99% online.

Wat we online doen, op het internet, in de cloud, wordt gedomineerd door Google. Je kunt zoeken met DuckDuckGo of Bing, navigeren met TomTom of Apple, je software draaien in AWS of Azure, surfen met Firefox of Safari, dan nog registreert Google jouw IP adres (plus nog veel meer info) vele keren per dag door Google Ads of vele andere Google diensten die diep verweven in allerlei sites zitten.

Duitsland is 15 jaar te laat met hun "Microsoft onafhankelijkheidsverklaring". Misschien moeten ze proberen om wat minder afhankelijk te worden van Google?

Van Microsoft afstappen is simpel: gebruik Linux en LibreOffice. Het is een keuze, meer niet.
Van Google afstappen is onmogelijk.

Rob,
De AVG stelt dat organisaties passende technische en organisatorische maatregelen moeten nemen om het lekken van gevoelige persoonsgegevens te voorkomen. Advies om Windows 10 Enterprise vanaf versie 1903 te gebruiken is naar mijn mening één van de passende technische maatregelen waarover de AVG het heeft. En ik denk dat Ron het wel weet, de home & pro versies van Windows 10 zijn niet bedoeld voor serieus zakelijk gebruik. Verder gaat het up-to-date houden van platformen om passende organisatorische maatregelen en er liggen m.i. dan ook kansen in het patchmanagement.

Zinnetje in EULA over het verbeteren van de dienstverlening op basis van telemetrie gaat dus om het leveren van snellere paarden als dat de vraag is, denken het verschil te kunnen maken met features van Windows waar klanten geen behoefte aan hebben is precies de waarde van AIOPS want het verkopen van aspirine is het meest succesvol als er sprake is van hoofdpijn.

Het belangrijkste is in mijn ogen dat je door AVG en eerdere regulering ook genoodzaakt bent aan document life cycle/records-management e.d. te doen. Tenzij alles wat gevoelig naar een document management systeem gaat of is gegaan (en je als netwerkbeheerder regulier desktop gebruik nagenoeg geheel hebt uitgesloten) heb je FSRM nodig om een gebruiker bijvoorbeeld niet zomaar een gevoelig document als aanhangsel in een e-mail te laten versturen.

Rob,
Volgens de definitie van NIST is Persoonlijk Identificeerbare Informatie (PII) alle informatie over een persoon die door een organisatie wordt onderhouden, waaronder (1) informatie die kan worden gebruikt om de identiteit van een persoon te onderscheiden of te achterhalen, zoals naam, burgerservicenummer, geboortedatum, -plaats of allerlei biometrische gegevens en (2) informatie die aan een persoon is gekoppeld of kan worden gekoppeld zoals bijvoorbeeld medische, educatieve, financiële en werkgelegenheidsinformatie.

Betreffende de discussie over de telemetrie gaat het vooral om informatie (2) die aan de persoon is gekoppeld of kan worden gekoppeld. Profileren gaat om de puntjes met elkaar te verbinden waarna je het plaatje kleurt en het verhaaltje afmaakt op basis van het patroon dat je hieruit verkrijgt. Aangaande Tipp-ex mogelijkheid van art. 17 EU-AVG zit het probleem in de onwetendheid van dataverzamelingen en is wetswijzing voor de dataretentie telecomgegevens naar opdracht van Europese hof hierdoor één van de controversiële onderwerpen.

Nieuwe wetgeving, zoals AVG heeft er voor gezorgd dat er bijzondere aandacht voor de term dataretentie is omdat onder bewaren ook het bijbehorende beleid valt en de procedures om data op te slaan. Bij het ontwerp van nieuwe ict-systemen dient dan ook rekening gehouden te worden met het ad-hoc oproepen, wijzigen en verwijderen van de data. Dit naar aanleiding van het recht op inzage, correctie en verwijdering van met name dus de informatie die gekoppeld is aan een persoon. En misschien probeer je een legacy systeem te verkopen als ik overweeg dat opslag meer is dan een online filesysteem.

Ewoud, heipalen slaan is in jouw ogen wellicht ook een 'legacy'-systeem. Dat heb je nu eenmaal met goede en solide fundamenten. Ieder goed opgezet project wordt erop gebaseerd. Voor gestructureerde data is voldoen aan de AVG iets minder moeilijk. Als je je ongestructureerde data (documenten) ook aan wilt ad-hoc oproepen, wijzigingen, verwijderingen, inzage-, correctie-, en verwijderingsrecht enz in aanmerking wilt laten komen, moet je workflow ten behoeve van onderhoud/aanmaak metadata/document-properties e.d. kunnen uitoefenen. Het Windows platform levert hier zeer hoogwaardige, ingebedde functionaliteit voor.

Allerlei aan de overheid gelieerde instanties en organen zijn met de meest pietluttige zaken bezig, maar geen hond evangeliseert dit soort standaard aanwezige functionaliteit. Hiermee zouden ze 'opdrachtgevers' binnen de overheid volgens mij nou juist een goede dienst kunnen bewijzen. Dat geneuzel dat via het mac-adres in diagnostische data toch weer een tijdelijk intern IP-adres via een Exchange-PID waarmee onder bepaalde voorwaarden en omstandigheden het mac-adres geassocieerd kan worden met een email-adres (en daarmee een persoon) gaat in mijn ogen helemaal nergens over. Doe dat s.v.p. als je ooit enigerlei rol in iets belangrijker zaken hebt gespeeld, zou ik ze willen aanbevelen.

Rob,
Wederom NEE, jij hebt het niet over heipalen maar piketpaaltjes want de basis van je oplossing is namelijk niet zo stevig als je denkt. Zo werkt FSRM/FCI alleen met NTFS en Microsoft lijkt steeds meer in te zetten op ReFS als onderliggend fundament. En verder is ook je opmerking over voldoen aan AVG met gestructureerde data onjuist als de processen niet ingericht zijn op inzage, correctie en verwijdering. Controversiële dossier aangaande de aanpassing wet telecomgegevens is linea recta terug te leiden op de telemetrie problematiek van Windows 10 wat om gestructureerde data zonder inzage gaat.

Het koppelen van mac-adress aan Exchange PID gaat om het zoeken naar memo's van Opstelten over beïnvloeding in het proces van Wilders, het bonnetje van Teeven werd op dezelfde manier gevonden. Je hebt dus de discussie niet begrepen en de rapporten niet gelezen want het koppelen van de persoon aan het residu van een proces in de vorm van data gaat om digitaal rechercheren. Dat het in jouw ogen nergens om gaat is enkel een mening, ik heb echter een andere mening op basis van kennis. En vanuit die optiek ben ik heel benieuwd naar je rol in belangrijkere zaken, je suggereert namelijk iets.

Ewout, documenten zitten het best op (virtuele) partities van virtuele machines. Zeker als er nog lifecycle managent op zit en nog niet gearchiveerd zijn. Zal tot nog lengte van jaren NTFS blijven. Uiteindelijk zal ReFS wel een keer alles ondersteunen maar zeer waarschijnlijk gebaseerd op weer nieuwere concepten. Geen enkele reden voor overheden om geen rights managent en workflow van je belangrijkste document storage platform niet in te zetten.

Deze discussie eindigt helaas een beetje met technisch geneuzel (wel interessant op zich, hoor!) over NTFS en ReFS en rechten op bestandsniveau van een op propriety technologie gebaseerd Windows platform dat met Azure, O365 e.d. nu geloof ik als "digitaal ecosysteem" Windows365 wordt genoemd door de fabrikant. De vendor lock-in breidt zich nu dus weer verder uit en een AVG/GDPR compliant werkplek wordt steeds onwaarschijnlijker in de praktijk. Die vendor lock-in en alles wat dat aan onnodige of juist noodzakelijke kosten en risico's met zich meebrengt was m.i. ook een beetje de strekking van dit artikel over de Duitse overheid en de afhankelijkheid van Microsoft.

Het enige dat SLM-Rijk in Nederland tot nu bereikt heeft bij Microsoft is dat er voor 2 producten nu "slechts 5" wezenlijke bezwaren over zijn waar verder over onderhandeld wordt en vooral voor naar Europa wordt verwezen om echt goed te regelen. Voor onze minister voldoende om de Tweede Kamer te informeren dat de rijksambtenaren door kunnen gaan met (tientallen miljoenen per jaar uitgeven aan licenties voor) Office365 en Windows, maar zonder de extra services (zoals Teams) of mobiele apps te gebruiken, terwijl nu juist mobiel/plaatsonafhankelijk kunnen werken (een snel groter wordende) realiteit en belofte is. Ook voor ambtenaren en nodig nu de werkgever nog maar voor maximaal 70% van de werknemers (of FTE??) een werkplekken inricht (dat bezuinigt dan weer lekker). Maar in praktijk en in toenemende mate is een dergelijke publieke cloud oplossing onveilig en overstappen naar de Google cloud of andere Amerikaanse techgigant lost de problemen ook niet op.

Die problemen betreffen ook echt niet alleen privacy gevoelige gegevens van ambtenaren voor wie het onmogelijk wordt een bewaartermijn van in te zien, laat staan te wijzigen als werkgever en eigenaar van de data. Er stromen ook contentfragmenten van staatsgeheimen economisch gevoelige gegevens en hun metadata (alleen al in namen van mappen, aantal en omvang van de inhoud, etc. kun je mooi zien waar wie wanneer en waarmee mee bezig is) ongecontroleerd naar servers van Microsoft en de NSA en andere US-overheidsdiensten kunnen er vanwege "national security" bij, zonder dat dit openbaar gemaakt mag worden. De Duitse (en Nederlandse en Europese) digitale soevereiniteit wordt wel degelijk bedreigt. Dat je na 30 jaar nog een revisie van een document dat ergens in een backup staat en je toevallig dan met NTFS als filesysteem terugzet (meestal worden de beveiligingsattributen juist uitgezet bij restoren vanwege alle ellende die het dan oplevert) aan een persoon kunt koppelen en zo beter aan de transparantie-eisen van de NORA voldoet (herleiding tot persoon) is compliancy van een andere orde. Wat Rob hierboven noemt: transparency, governance en data-leakage en denkt dat AVG-compliancy zich beperkt tot document life cycle en records-management en Ewout toch wat breder ziet, gelukkig. Security & Privacy by design is ook zo'n eis in de AVG (voor nieuwe dataverwerkende systemen), naast subsidiariteit. Hoe los je dat op in een propriety ecosysteem waar juist onnodige (en daarmee ook meestal onveilige) toeters en bellen verkopen, die zijn gekoppeld aan extra licenties, de norm is? En telemetriedata niet alleen gebruikt wordt om "het product veiliger en beter te naken", maar ook om ervoor te zorgen dat gebruikers niet zullen overstappen naar concurrerende producten.

@Fred, Ik denk niet dat compliancy zich beperkt tot life cycle- en records-management. Ik vind het alleen belangrijk om ook te kijken wat een platform voor je kan betekenen inzake AVG-compliance alvorens het eventueel af te wijzen vanwege vermoedens inzake wat het zelf aan compliance-problematiek toevoegt. Van een eventueel alternatief platform kan ik beide aspecten niet beoordelen maar heb wel zo mijn vermoedens. Mijn aanbeveling is dan ook om het Windows platform eerst maar eens optimaal in te (leren) inzetten voor wat betreft het eerste aspect. Je bent bij partijen als belastingdienst, UWV e.d. met de grote problematiek bezig en niet meer met wat daarmee vergeleken geneuzel in de marge is.

@Rob, mijn aanbeveling is om eerst eens goed naar wat alternatieve platforms te kijken, voordat je vermoedens erover uitspreekt. De "vermoedens" over niet-AVG/GDPR-compliancy van publieke cloudplatformen als van Google en Microsoft zijn helemaal geen vermoedens, maar allang keihard aangetoond, o.a. door SLM-RIJK met z'n DPIA's maar ook in Zweden, Duitsland en andere landen in de EU. Ewout vraagt je ook keer op keer daar een keer kennis van te nemen, maar blijkbaar houd je het liever bij "vermoedens". Compliancy op het niveau waar jij je nu in eerste instantie op wilt richten is bij andere platformen en zeker bij de meest open source gebaseerde, ook prima geregeld over het algemeen. Soms moet je daar ook weten waarmee je bezig bent en niet klakkeloos een vinkje aanzetten, dat is waar. Maar met name Microsoft maakt daar grote slagen sinds je vaak zelfs bij voorkeur met Powershell de zaken opzet en beheert. Alleen kun je het nooit echt checken in de code zelf. Ook ik kan helemaal losgaan in Azure en O365, wat een mogelijkheden, wat goed en slim bedacht vaak, wat mooi allemaal. En je kunt nu zelfs scripts als programma-templates in Teams gaan gebruiken binnenkort, power to the users, handig! Andere, meer cloud-specifieke zaken lijken soms al beter en mooier dan bij AWS zelfs.

Maar de grote problematiek bij UWV en Belastingdienst weet collega Computable Expert René Veldwijk voldoende over te melden. Wat jij heel denigrerend "geneuzel in de marge" noemt is echt een stuk belangrijker dan de worsteling nu bij dit soort overheidsinstellingen als gevolgen van gebrek aan inzicht, onkunde en onvermogen op ICT-gebied (en bij de rechter bewezen gekonkel en zelfverrijking, als ik René mag geloven,) en de gevolgen van de verkeerde keuzes op ICT gebied die zijn gemaakt bij dat soort instellingen. UWV is op papier natuurlijk erg goed bezig, als het gaat om dat stukje private cloud gebaseerd op Linux en Windows, ze moeten alleen zien te voorkomen dat ze over 5-10 jaar weer aan dure legacy vastzitten, zoals nu na 10-20 jaar met VMS en Oracle. Een voorbeeld: In het informatieplan 2019-2023 van ons aller UWV staat: "Voor het WERKbedrijf is de continuïteit en de toekomst van SONAR, VERA en WBS een zorg. Medewerkers ondervinden tijdens het uitvoeren van hun dagelijkse werkzaamheden veel problemen met het ondersteunen van klanten. Daarnaast verandert de ondersteuning van SONAR door leverancier Oracle in 2024, doordat Oracle gebruik gaat maken van een ander licentiemodel. Dit model zal gebaseerd zijn op het leveren van standaard-functionaliteit vanuit de cloud. Onpremise ondersteuning en maatwerk, waarvan UWV nu gebruik maakt, zal een zeer grote kostenstijging tot gevolg hebben." Dat krijg je geheid over 5-10 jaar voor Microsoft producten wat betreft licenties: Sorry, we schrappen Azure Stack op onze roadmap en gaan alleen nog public cloud diensten leveren. Of andersom, omdat die privacy zeurpieten toch gelijk kregen. Daar kun je donder op zeggen en iedereen weet dat. Maar volgens jou is het niet nodig om over na te denken nu, om maar met belangrijkere zaken bezig te kunnen zijn?

Wat is jouw bijdrage of idee om ons belastinggeld wat zinniger te besteden aan ICT-projecten en de verdienmodellen erachter en het beleid om vendor lock-in te voorkomen ook eens uit te gaan voeren? Of wil je alleen bezig blijven met roepen hoeveel mooie nieuwe features Windows en Office365 nu weer hebben (ook op AVG-gebied) en zullen krijgen en proberen ermee 10, 20 of zelfs 50% AVG-compliant te worden en omdat iedereen weet dat 100% toch nooit haalbaar is en als het over privacy gaat dat dan maar afdoen als "geneuzel"?

Dit artikel en de eerdere commentaren was mede voor mij aanleiding voor de blog: https://www.computable.nl/artikel/expertverslag/digital-innovation/6822989/4573232/in-2020-een-o365-feestje-in-eindhoven.html in een poging de volgende generatie(, waaronder de ICT-dienstverleners) beter te gaan opvoeden en wat meer "cloudvaardig" te maken. Hard nodig, zo blijkt wel.

Wie de details noch eens lezen wil, kan ik volgend artikel in het duits aanraden
https://www.linux-magazin.de/ausgaben/2019/10/interview-2/

Wat Rob's "geneuzel" betreft moet hij eens kijken naar Spanje en Frankrijk, daar werken inmiddels meerdere grote overheidsdiensten waaronder de politie, met Linux.
En om Rob (deels) te citeren, als je "dat leert optimaal in te zetten" dan heb je geen windows meer nodig

Ben benieuwd naar de features van Linux inzake document life cycle-management, records management en verdere ondersteuning voor AVG-compliancy. Goede producten zijn op de markt alleen maar welkom en ik laat me graag overtuigen. Daarover lees ik in het artikel van de link overigens niets.

@Rob
Google is your friend . . . .

so now Jan recommends Google as friend ;-)

@Jan van Leeuwen
Goed idee van jou, de afhankelijkheid van Microsoft inruilen voor de afhankelijkheid van Google!

Helaas het cynisme niet opgepakt heren, speciaal voor Rob.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-09-23T10:49:00.000Z Frederic Petitjean
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.