image

Microsoft: VS moet balans tussen privacy en veiligheid vinden

dinsdag 3 mei 2016, 14:00 door Redactie, 13 reacties

De Amerikaanse overheid moet de juiste balans tussen openbare veiligheid en privacy vinden, zo heeft Microsoft-ceo Satya Nadella tijdens een evenement van de Technology Alliance laten weten. Nadella reageerde op het feit dat Microsoft de Amerikaanse overheid onlangs heeft aangeklaagd.

Op dit moment kan een Amerikaanse rechter bedrijven dwingen om te zwijgen als de overheid data over hun gebruikers opvraagt. Volgens Microsoft is dit in strijd met de Amerikaanse grondwet. "We begrijpen de behoefte van de overheid om de veiligheid van burgers te beschermen. We vinden dat overheden hierin een rol hebben. Als het echter te ver gaat en de privacyprincipes in gevaar brengt, dan vechten we terug en klagen de overheid aan. Dat is wat we nu doen."

Nadella pleitte voor een nieuw juridisch raamwerk waarin de Amerikaanse overheid de juiste balans tussen openbare veiligheid en privacy kan vinden. De VS moet hier volgens de Microsoft-ceo een voortrekkersrol in spelen, omdat andere democratieën naar de Verenigde Staten als voorbeeld kijken. "Als wij het voor elkaar krijgen zullen ook andere democratieën dit model erkennen. Als de VS, Groot-Brittannië, Duitsland en andere landen bij elkaar komen en deze balans weten te vinden, dan zal de wereld een betere plek worden."

Image

Reacties (13)
03-05-2016, 14:12 door Anoniem
Er is geen belans tussen veiligheid en privacy. Dat uitgangspunt is uitsluitend bedacht om de privacy nóg verder uit te hollen. Minder privacy zorgt namelijk niet voor meer veiligheid.
03-05-2016, 15:00 door Erik van Straten
Nadella moet de hand in eigen boezem steken en ophouden op ondoorgrondelijke wijze en opt-out grote hoeveelheden "telemetry"/"user experience" data te verzamelen - waarmee het doen en laten van gebruikers van Microsoft producten (Windows 10 voorop, maar ook met alle beschikbare updates bijgewerkte Windows 7 en 8.1 installaties) tot op de seconde wordt geregistreerd op servers van Microsoft (mogelijk gebruikmakend van third-party systemen zoals CDN's).

Dan hebben, in elk geval de niet-MS-cloud gebruikers, niets te vrezen van het (anders dan Nadella, met de hete adem van Apple in de nek, om marketingredenen roept) weggeven van die data aan welke overheid dan ook.

Of het mogelijk verkopen (evt. door medewerkers, al dan niet met medeweten van de Microsoft top) van die data, al dan niet "geanonymiseerd" (voor wat dat waard is) aan de hoogste bieder - dat kunnen ook overheden zijn.

Of het mogelijk lekken van die, al dan niet "geanonymiseerde" (voor wat dat waard is) informatie als gevolg van security bugs (want ook Microsoft maakt nog steeds geen cybersecuritybugvrije code, zie bijv. [1]).

[1] https://www.security.nl/posting/469209/Lek+maakte+kapen+zakelijke+Office+365-accounts+mogelijk
03-05-2016, 18:02 door Anoniem
Door Anoniem: Er is geen belans tussen veiligheid en privacy. Dat uitgangspunt is uitsluitend bedacht om de privacy nóg verder uit te hollen. Minder privacy zorgt namelijk niet voor meer veiligheid.

Ik ben het hier mee eens. Maar laten we die discussie even door bevoegdheden' vervangen om ze kwijt te raken. En dan ben ik het in dit geval eens met zowel het statement als de richting. Om de juiste balans in een rechtsstaat (het onmisbare fundament onder een vrije en democratische samenleving) te bereiken, moeten we beseffen dat we - zeker in de VS - veel te ver richting bevoegdheden zijn doorgeschoten. Er is meer en onafhankelijker toezicht op de inlichtingen- en opsporingsorganisaties nodig, meer aansprakelijkheid, meer openheid, meer mogelijkheden voor onschuldigen om verhaal te halen en gelijk te krijgen, meer steun voor onschuldigen, en in sommige, mogelijk veel, gevallen zullen bevoegdheden misschien in zijn geheel ingetrokken moeten worden om tot een juiste balans tussen 'veiligheid' (althans, wat de genoemde organisaties daaronder verstaan) en privacy te kunnen bereiken.
03-05-2016, 20:12 door karma4
Door Anoniem: Er is geen belans tussen veiligheid en privacy.
Ja? laten we die eens uitwerken. Bedenk dat privacy waaran jij denkt voor 1950 zo niet eens bestond. Er was niets voor zorg of wat dan ook. Je moest je zelf maar zien te redden waarbij de sociale gemeenschap de enige optie voor wat zekerheid was. Leef je eens in wat dat betekende.
a/ Absolute privacy betekent geen enkele bescherming tegen potentiele kwaad. Het leger van de heer. el shabaab, Isis beroepen zich allemaal op de vrijheid van hun doen en laten. Het groeit allemaal naar totalitaire dictatorisme.
b/ Het negerenen van de uitzonderingen voor absolute privacy door de uitzonderingen als regel te hanteren (eg Plasterk koers). Het brengt je naar de grote leiders waar alles van buiten een bedreiging is. ofwel totalitair dictatorisme.
Uiterst links en rechts komen bij een hoefijzer heel dicht bij elkaar. Welk uitieind je ook kiest ik wens geen van beide.

Blijft over het proberen te balanceren tussen die uitersten. Dat heeft een naam en heet democratie.
Heb je daar problemen mee?
03-05-2016, 20:34 door karma4
Door Erik van Straten: Nadella moet de hand in eigen boezem steken en ophouden op ondoorgrondelijke wijze en opt-out grote hoeveelheden "telemetry"/"user experience" data te verzamelen - waarmee het doen en laten van gebruikers van Microsoft producten (Windows 10 voorop, maar ook met alle beschikbare updates bijgewerkte Windows 7 en 8.1 installaties) tot op de seconde wordt geregistreerd op servers van Microsoft (mogelijk gebruikmakend van third-party systemen zoals CDN's).
Kies dan google cloud, Apple Amazon (die van de mexicanen mongo) IBM of wat dan ook. Denk je echt dat het daar anders gaat. Om datacenters te laten draaien moet je toch wat aan loadvoorspelling en incident preventie van je producten doen. Je weet overigens best dat een geode securityomgeving van telemetry (SOC Siem etc) af hangt. Het is een ondergewaardeerd iets voor big-data toepassingen.

Als grootste gevaar zie ik niet de tech-bedrijven meer de financials retailers Telco's. De eenvoudige redden: ze weten van alles van je en willen meer geld van je op wat voor manier dan ook. Heel wonderlijk dat zo'n onbeveiligde USB per post sturen zo maar kan gebeuren. Ligt dat aan Microsoft, dacht het niet. Het is gebrek aan algemene security awareness....
Helpt OSS tegen zoiets, dacht het niet. Ik zier her en der lokale initiatieven ontstaan door falen van het centrale geheel. Dan worden redenen gevoerd als omdat we klein zijn zal het wel loslopen.

Je had laatst de vraag of zoiets in Nederland zou spelen.. (massaal lekken data). Een vervolg:
http://www.databreaches.net/movimiento-ciudadanos-continues-to-claim-it-was-hacked-despite-evidence-of-leak/ Heel Nederlands de booschapper aanklagen voor het Eigen falen. Of wou je beweren dat die methode hier niet gewoon is.
03-05-2016, 23:04 door Erik van Straten - Bijgewerkt: 03-05-2016, 23:08
03-05-2016, 20:05 door karma4:
Door Erik van Straten: Nadella moet de hand in eigen boezem steken en ophouden op ondoorgrondelijke wijze en opt-out grote hoeveelheden "telemetry"/"user experience" data te verzamelen - waarmee het doen en laten van gebruikers van Microsoft producten (Windows 10 voorop, maar ook met alle beschikbare updates bijgewerkte Windows 7 en 8.1 installaties) tot op de seconde wordt geregistreerd op servers van Microsoft (mogelijk gebruikmakend van third-party systemen zoals CDN's).
Kies dan google cloud, Apple Amazon (die van de mexicanen mongo) IBM of wat dan ook. Denk je echt dat het daar anders gaat.

Ik schreef:
03-05-2016, 15:00 door Erik van Straten: Nadella moet de hand in eigen boezem steken en ophouden op ondoorgrondelijke wijze en opt-out grote hoeveelheden "telemetry"/"user experience" data te verzamelen - waarmee het doen en laten van gebruikers van Microsoft producten (Windows 10 voorop, maar ook met alle beschikbare updates bijgewerkte Windows 7 en 8.1 installaties) tot op de seconde wordt geregistreerd op servers van Microsoft (mogelijk gebruikmakend van third-party systemen zoals CDN's).

Dan hebben, in elk geval de niet-MS-cloud gebruikers, niets te vrezen van het (anders dan Nadella, met de hete adem van Apple in de nek, om marketingredenen roept) weggeven van die data aan welke overheid dan ook.

Of het mogelijk verkopen (evt. door medewerkers, al dan niet met medeweten van de Microsoft top) van die data, al dan niet "geanonymiseerd" (voor wat dat waard is) aan de hoogste bieder - dat kunnen ook overheden zijn.

Of het mogelijk lekken van die, al dan niet "geanonymiseerde" (voor wat dat waard is) informatie als gevolg van security bugs (want ook Microsoft maakt nog steeds geen cybersecuritybugvrije code, zie bijv. [1]).

[1] https://www.security.nl/posting/469209/Lek+maakte+kapen+zakelijke+Office+365-accounts+mogelijk

Ik vermoed dat Microsoft zich totaal niet aan de Europese wetgeving houd sinds Safe Harbor is afgeschoten en er geen nieuwe, geratificeerde, overeenkomst bestaat.
04-05-2016, 07:51 door karma4
Erik je haalt nu thuisgebruik desktops en professionele service overeenkomsten door elkaar.
Met safe harbor heb je het over Datacenter en aparte serviceovereenkomsten. Microsoft Azure is dat laatste. MS bouwt aparte data centers in de eu waarbij ze het beheer ook proberen lokaal te houden dus geen VS binding. Daarmee hebben ze een verkoop positie die aan safe harbor voldoet.
Ze hebben geleerd van die Ierse mailzaak.
Heel wat anders dan die uitbesteding door de Engelse overheid die zich verscholen achter safe harbor en de service dat alles zo bij VS bedrijven stalden.

Als je denkt dat de grote commerciële jongens dom zijn. Draai het een om. Juist de commotie er om heen biedt een uitstekend vrrkoopverhaal. Of krijg het besef dat als de weldorpel uiteen valt je kansen verminderen. China en buitenlandse data centers is geen goede combinatie.
Lokale rechters handhavers die zich wereldwijde rechten toedekken is niet best.

Ik vraag me trouwens af waar managers niet blij zijn als ze van de lastige ict af zijn. Uitbesteden de deur uit zetten maakt niet uit hoe.
04-05-2016, 11:13 door [Account Verwijderd] - Bijgewerkt: 04-05-2016, 11:16
Door Erik van Straten: Ik vermoed dat Microsoft zich totaal niet aan de Europese wetgeving houd sinds Safe Harbor is afgeschoten en er geen nieuwe, geratificeerde, overeenkomst bestaat.

Feitelijk gezien is het niet Microsoft dat zich niet aan de EU-wetging houdt sinds Safe Harbor ongeldig is verklaard. Maar alle EU-bedrijven die op basis van die Safe Harbor Agreement zaken doen met Microsoft op het gebied van Azure, Office 365 en andere Cloud diensten.
04-05-2016, 17:21 door Erik van Straten - Bijgewerkt: 04-05-2016, 17:23
Bijgewerkt: 04-05-2016, 11:16 door [Account Verwijderd]:
Door Erik van Straten: Ik vermoed dat Microsoft zich totaal niet aan de Europese wetgeving houd sinds Safe Harbor is afgeschoten en er geen nieuwe, geratificeerde, overeenkomst bestaat.

Feitelijk gezien is het niet Microsoft dat zich niet aan de EU-wetging houdt sinds Safe Harbor ongeldig is verklaard. Maar alle EU-bedrijven die op basis van die Safe Harbor Agreement zaken doen met Microsoft op het gebied van Azure, Office 365 en andere Cloud diensten.
Ja en nee.

Als je zelf, op eigen beweging dus, gegevens (in elk geval die gegevens die onder de meldplicht datalekken vallen) via netwerken en/of op systemen verplaatst/plaatst waarvan de eigenaar ten minste 1 vestiging in de Verenigde Staten heeft, geldt -voor zover ik weet- het volgende:

1) De geheime diensten van de USA kunnen dat bedrijf dan dwingen om die gegevens af te staan. Daarbij moet dat bedrijf die opdracht strikt geheim houden en kan niet naar de rechter stappen. Daar staat tegenover dat de staat het bedrijf vrijwaardt van eventuele aanklachten van klanten.

2) De niet- geheime diensten van de USA kunnen dat bedrijf verzoeken om die gegevens af te staan. Daarbij kan dat bedrijf naar de rechter stappen, zoals Microsoft in de Dublin-e-mail-casus heeft gedaan. Duidelijk is dat rechters onderling het er in deze zaak niet over eens zijn of dit mag. Voor zover ik weet is er nog geen definiitieve uitspraak in deze zaak, en als die er al komt, is het de vraag of en hoeveel precedent die definitieve uitspraak schept. Met Donald Trump als mogelijke president zou ik mij zeker niet rijk willen rekenen op dit vlak.

Maar dit is niet wat ik hier bedoel, dat gaat namelijk over bedrijven en individuen (zakelijk en privé) die meerdere jaren geleden een legale Windows 7 licentie hebben aangeschaft, en die telkens netjes alle updates hebben geïnstalleerd zodra deze, door Microsoft, werden aangeboden.

Gaandeweg heeft Microsoft, ongevraagd, de functionaliteit van Windows 7 veranderd (middels updates): het is een besturingssysteem met spyware geworden. Microsoft liegt daar niet over, integendeel; zij stelt dat het versturen van zoveel mogelijk gebruikershandelingen door Windows 7 naar Microsoft in het belang van de klanten is. Microsoft kan met die kennis, zo claimt zij, in elk geval klanten zo probleemloos mogelijk laten upgraden naar Windows 10 [1] [2].

Doorsnee gebruikers die ik hierover spreek hebben vaak geen idee dat informatie over o.a. hun gedrag en alle geïnstalleerde software op de PC naar Microsoft wordt gestuurd. En als ze dat al hebben, weten ze vaak niet om welke informatie het exact gaat (sterker, ik weet dat ook niet). Laat staan dat ze weten hoe zij dit "lekken" kunnen uitschakelen (Microsoft stelt dat het om een opt-out systeem gaat, maar informatie over hoe je die datastroom in Windows 7 permanent kunt uitschakelen kan ik nergens vinden op microsoft.com).

Kortom, het gaat hier niet om push maar om pull: Microsoft veegt haar derrière af met onze privacywetgeving en verwijst in haar ellenlange privacy-statement (https://privacy.microsoft.com/nl-nl/privacystatement, vergeet niet rechtsboven op "alles uitvouwen" te klikken), met bovendien nog verwijzingen naar andere pagina's, ook nog naar de -ongeldige- Safe Harbor overeenkomst.

Het gaat mij hier in het bijzonder om het verzamelen van "Telemetrie & foutrapportage" (https://privacy.microsoft.com/nl-nl/privacystatement#maintelemetryerrorreportingmodule). Ik haal een stukje aan:
Uit Microsoft-privacyverklaring, laatst bijgewerkt: Januari 2016:
Als u tijdens het uitvoeren van Windows Setup kiest voor het verzenden van volledige diagnose- en foutgegevens naar Microsoft, wordt de instelling Diagnose- en gebruiksgegevens op Volledig gezet. Als u ervoor kiest geen volledige diagnostische en foutgegevens naar Microsoft te sturen, wordt de instelling Diagnose- en gebruiksgegevens op Uitgebreid gezet. U kunt het niveau waarop diagnose- en gebruiksgegevens worden verzameld op elk gewenst moment wijzigen in Instellingen. Onze aanbeveling is om Volledig te selecteren, voor de beste Windows-ervaring en de meest effectieve probleemoplossing.

A) In Windows 7 setup komt die vraag niet voor en zo'n instelling heb ik nog nooit gezien (ik verwacht dat Microsoft vandaag of morgen een blog schrijft waarin staat dat je, om die instelling überhaupt te zien te krijgen en te kunnen wijzigen, moet updaten naar Windows 10).

B) Zelfs bij de minimaal instelbare mogelijkheid, gaat mij al veel te veel informatie naar Microsoft:

Uit Microsoft-privacyverklaring, laatst bijgewerkt: Januari 2016:
Basisgegevens (Normaal) zijn gegevens die essentieel zijn voor het uitvoeren van Windows. Met deze gegevens kunnen we ervoor zorgen dat Windows en de apps veilig en up-to-date blijven en goed blijven werken, doordat u Microsoft laat weten welke mogelijkheden uw apparaat heeft, wat erop is geïnstalleerd en of Windows correct functioneert. Bij deze optie wordt er ook beperkte informatie over fouten aan Microsoft gerapporteerd. Deze beperkte gegevens omvatten:
- Configuratiegegevens, met inbegrip van de fabrikant van het apparaat, het model, het aantal processoren, schermgrootte en -resolutie, datum-, regio- en taalinstellingen en andere gegevens over de mogelijkheden van het apparaat.
- De software (met inbegrip van door fabrikanten van het apparaat geleverde drivers en firmware) die op het apparaat is geïnstalleerd.
- Gegevens over prestaties en betrouwbaarheid, zoals hoe snel programma's reageren op invoer, hoeveel problemen u ondervindt met een app of apparaat, of hoe snel informatie via een netwerkverbinding wordt verzonden of ontvangen.
- Netwerk- en verbindingsgegevens, zoals het IP-adres van het apparaat, het aantal netwerkverbindingen dat in gebruik is en gegevens over de netwerken waarmee u verbinding maakt, zoals mobiele netwerken, over Bluetooth en over ID’s (BSSID en SSID), verbindingsvereisten en de snelheid van Wi-Fi-netwerken waarmee u verbinding maakt.
- Andere op het apparaat aangesloten hardware-apparaten.
Ik heb omvatten onderstreept omdat in dit soort teksten daarmee bedoeld wordt: "kunnen onder meer bestaan uit".

Kortom, Microsoft zamelt massaal informatie in van haar gebruikers. We hebben geen idee wat daarmee gebeurt, in hoeverre deze informatie is geanonymiseerd (voor zover dat kan met zoveel gegevens) en wie daar, zowel geautoriseerd als ongeautoriseerd, bij kunnen.

Dit stinkt aan alle kanten.

[1] Off-topic, maar wel gerelateerd: gaandeweg is daarbij ook, herhaaldelijk (meerdere updates) en nauwelijks uit het besturingssysteem te verwijderen, adware aan toegevoegd. Bovendien worden mensen die ongewenst updates niet installeren, gestraft door het saboteren van het update mechanisme - ook voor beveiligingsupdates.

[2] Off-topic, maar eveneens gerelateerd: hoewel Microsoft dat niet lijkt te willen begrijpen, bestaan er mensen die nu niet willen upgraden naar Windows 10, en er bestaan zelfs mensen die, zoals het er nu voorstaat, nooit willen upgraden naar Windows 10.
04-05-2016, 18:54 door karma4
Erik, Je verwijst naar een consumenten overeenkomst voor consumenten applicaties met ondersteuning naar consumenten. De meeste thuisgebruikers zijn geen ICT-ers. Zijn gek op Apple (icloud) want het werkt, total geen interresse of er tracking plaatsvind. Lees de service overeenkomst van Apple eens, erger dan van MS. Google Facebook berucht. Retailers Banken etc. berucht. Het meeste van de bedreigingen komt uit hoeken die niets met MS van doen heeft. Het lijkt er op dat je persoonlijk niet je zin gekregen hebt ... ergens... en dat af moet reageren.

Ik zie de grootste bedreigingen bij big-data gebruik met Linux. Mongo-db maar 1 voorbeeld maar ook R. Men heeft in die hoek nauwelijks benul van het goed /veilig omgaan met data. Dat blijft doorwoekeren, een makkelijke uitvlucht voor ze is de FUD zoals jij uitdraagt richting een enkele commerciële partij.

Overigens heb je je ooit verdiept in:https://logging.apache.org/ waar denk je dat die basis van telemetry overal in zit? Siem - monitoring is een voorwaarde voor een professionele security aanpak. Heet ook telemetry.
04-05-2016, 20:33 door Erik van Straten
04-05-2016 18:54 door karma4: Erik, Je verwijst naar een consumenten overeenkomst voor consumenten applicaties met ondersteuning naar consumenten. De meeste thuisgebruikers zijn geen ICT-ers. Zijn gek op Apple (icloud) want het werkt, total geen interresse of er tracking plaatsvind. Lees de service overeenkomst van Apple eens, erger dan van MS. Google Facebook berucht. Retailers Banken etc. berucht. Het meeste van de bedreigingen komt uit hoeken die niets met MS van doen heeft. Het lijkt er op dat je persoonlijk niet je zin gekregen hebt ... ergens... en dat af moet reageren.

Ik zie de grootste bedreigingen bij big-data gebruik met Linux. Mongo-db maar 1 voorbeeld maar ook R. Men heeft in die hoek nauwelijks benul van het goed /veilig omgaan met data. Dat blijft doorwoekeren, een makkelijke uitvlucht voor ze is de FUD zoals jij uitdraagt richting een enkele commerciële partij.

Overigens heb je je ooit verdiept in:https://logging.apache.org/ waar denk je dat die basis van telemetry overal in zit? Siem - monitoring is een voorwaarde voor een professionele security aanpak. Heet ook telemetry.
Beste Microsoft fan of medewerker, ik onderbouw mijn "FUD" met feiten. Het enige dat jij doet, in jouw "verweer", is op onbenullige wijze naar de concurrentie wijzen - zonder deze met concrete argumenten, c.q. verwijzingen daarnaar, te onderbouwen.

Leg mij maar eens uit waarom dit geen adware is: http://nos.nl/artikel/2101918-zelfs-weervrouw-heeft-last-van-opdringerige-windows-10-meldingen.html?
06-05-2016, 15:33 door [Account Verwijderd]
@Erik van Straaten: Dank voor je toelichting, want ik had je inderdaad verkeerd begrepen. De issues die jij aanstipt waren volgens mij ook al relevant toen de Safe Harbor nog wel actief was. Je mag immers niet zomaar zonder expliciet (en derhalve dus niet weggestopt) akkoord privacy gevoelige gegevens verzamelen.

Ik weet zelf alleen niet over er ook een verschil is tussen een commerciële en een corporate licentie m.b.t. Windows 10. Want hoe verhoudt een corporate-licentie zich tot de Wbp, wetende dat deze alleen geldt voor gegevens over natuurlijke personen die door een bedrijf, instelling, stichting, et cetera verwerkt worden. En zijn die gegevens in de ogen van de wet wel gevoelig?

Het is in ieder geval een punt wat wel eens goed uitgezocht mag worden. Nu ligt de focus wel op Google met Android en verplichte apps, maar dit issues als nu rondom Windows 10 vind ik net zo goed, zo niet belangrijker, dan dat.
09-05-2016, 19:22 door Erik van Straten
06-05-2016, 15:33 door [Account Verwijderd]: De issues die jij aanstipt waren volgens mij ook al relevant toen de Safe Harbor nog wel actief was.
Ja en nee.

1) Voorbeeld: toen ik eind 2014 een nieuwe notebook kocht met een licentie voor zowel Windows 8.1 Pro als Windows 7 Pro, en (bewuste keuze) Windows 7 geïnstalleerd heb, was nog geen sprake van het massaal door Microsoft inzamelen van telemeteriegegevens. Dat gebeurde pas in 2015, in toenemende mate, na het installeren van meerdere (security) updates. Google: "Windows 7" KB telemetry of zie, bijvoorbeeld, meteen [1] (en check ook de laatste pagina uit die thread).

2) Toen Safe Harbor nog niet was "afgeschoten" [2] had Microsoft wellicht nog enige juridische basis om dit "te mogen" doen. Sindsdien ontbreekt die juridische basis, zo vermoed ik.

06-05-2016, 15:33 door [Account Verwijderd]: Je mag immers niet zomaar zonder expliciet (en derhalve dus niet weggestopt) akkoord privacy gevoelige gegevens verzamelen.
Ik ben geen jurist, ik heb geen idee wat wel en wat niet mag. Ik weet ook niet of Microsoft, eenzijdig, zomaar een privacy overeenkomst mag wijzigen (c.q. dat de privacy overeenkomst geldt op het moment van aanschaffen of evt. in gebruiknemen) van software. Wie het wel weet mag het zeggen!

06-05-2016, 15:33 door [Account Verwijderd]: Ik weet zelf alleen niet over er ook een verschil is tussen een commerciële en een corporate licentie m.b.t. Windows 10. Want hoe verhoudt een corporate-licentie zich tot de Wbp, wetende dat deze alleen geldt voor gegevens over natuurlijke personen die door een bedrijf, instelling, stichting, et cetera verwerkt worden. En zijn die gegevens in de ogen van de wet wel gevoelig?
De nieuwe wet "meldplicht datalekken" [3], ingegaan 1 januari dit jaar, verplicht organisaties (zowel bedrijven als overheden) om ernstige datalekken te melden. Ik maak daaruit op dat als bijv. het adresboek van een bedrijf, of van 1 of meer medewerkers van dat bedrijf, wordt "gelekt" (zodanig dat ongeautoriseerde toegang plaatsvindt), dit -in potentie- strafbaar is.

Dit geldt, voor zover ik weet, niet voor particulieren. Zij lijken adresboeken ongestraft te kunnen delen met Microsoft, Facebook, WhatsApp, Google etc.

06-05-2016, 15:33 door [Account Verwijderd]: Het is in ieder geval een punt wat wel eens goed uitgezocht mag worden. Nu ligt de focus wel op Google met Android en verplichte apps, maar dit issues als nu rondom Windows 10 vind ik net zo goed, zo niet belangrijker, dan dat.
Jazeker, en dit beeld wordt bevestigd door het feit dat Microsoft nog steeds "prutst" aan een pagina ([X]) die al heel vaak gewijzigd is, en zelfs al meerdere titels en verschillende URL's gekend heeft. Hoe je die pagina [X] zou kunnen vinden beschrijf ik onderaan deze bijdrage (er bestaat geen Nederlandse vertaling van, als je in de URL "en-us" vervangt door "nl-nl" krijg je dezelfde -Engelstalige- pagina te zien).

Recente geschiedenis van die pagina:

20160225: van de pagina genoemd onder 20160329 heeft archive.is eerder 1 snapshot gemaakt, zie [P]. De pagina is, naar verluidt, Last updated: February 23, 2016. De titel luidt: "Configure telemetry and other settings in your organization".

20160316: van direct hieronder genoemde pagina heeft archive.org 1 snapshot: zie [Q]. De pagina is, naar verluidt, Last updated: March 10, 2016 (de titel is ongewijzigd).

20160329: via [R] (meer details in [S]) vind ik een Microsoft pagina. Ik heb er toen zelf een kopie van gemaakt. De pagina is, naar verluidt, Last updated: March 10, 2016 (de titel is ongewijzigd). Deze pagina lijkt dezelfde als nu nog te vinden onder [Q].

20160405: ik bezoek [T] opnieuw en maak er een kopien van. De pagina is, naar verluidt, Last updated: March 31, 2016 (de titel is ongewijzigd).

20160412: ik bezoek [T] opnieuw. Deze URL doet nu een redirect naar [V], is nu geschreven door Brian Lich en is "Last Updated" op 4/6/2016 (dus 5 april 2016) (de titel is ongewijzigd).

20160413: [W] bevat snapshot van [V] (die er ondertussen anders uitziet). De pagina is nog steeds geschreven door Brian Lich, nog steeds getiteld "Configure telemetry and other settings in your organization" en naar verluidt, Last updated op 4/12/2016 (dus 12 april 2016).

20160422: [X] laatste snapshot van [V] (die er ondertussen anders uitziet) op archive.org (ongewijzigd sinds [W], dus Last updated op 4/12/2016 = 12 april 2016).

20160509 (vandaag): zowel [D], [T] als [V] redirecten nu naar [X] met als titel: "Configure Windows 10 devices to stop data flow to Microsoft", geschreven door Brian Lich en "Last Updated": 5/6/2016 (dus 5 juni 2016). Uit de inhoud van de pagina lijkt een nieuwe pagina te zijn afgesplitst: [Y] (ik kan geen aanwijzingen vinden dat die pagina bestond vóór 6 mei ([X] verwijst er nog niet naar en bevat een plaatje [Z] dat eerst in [P], daarna in [Q] en vervolgens in [W] - en nu in [Y] te vinden is).

Enkele stukjes uit die pagina [X] (underline/italics/bold van sommige stukken tekst door mij toegevoegd):
Configure Windows 10 devices to stop data flow to Microsoft
Brian Lich | Last Updated: 5/6/2016
Applies to: Windows 10
If you're looking for content on what each telemetry level means and how to configure it in your organization, see Configure Windows telemetry in your organization [Y].
[...]
In Windows 10 Enterprise, version 1511 or Windows 10 Education, version 1511, you can configure telemetry at the Security level, turn off Windows Defender telemetry and MSRT reporting, and turn off all other connections to Microsoft services as described in this article to prevent Windows from sending any data to Microsoft. We strongly recommend against this, as this data helps us deliver a secure, reliable, and more delightful personalized experience.
[...]

Enkele stukjes uit [Y] (underline/italics/bold van sommige stukken tekst door mij toegevoegd):
Configure Windows telemetry in your organization
Brian Lich | Last Updated: 5/6/2016
Applies to
- Windows 10
- Windows 10 Mobile
- Windows Server 2016 Technical Preview
[...]
Telemetry levels
[...]
Security level

The Security level gathers only the telemetry info that is required to keep Windows devices, Windows Server, and guests secure with the latest security updates. This level is only available on Windows Server 2016, Windows 10 Enterprise, Windows 10 Education, Windows 10 Mobile Enterprise, and IoT Core editions.

Note
If your organization relies on Windows Update for updates, you shouldn’t use the Security level. Because no Windows Update information is gathered at this level, important information about update failures is not sent. Microsoft uses this information to fix the causes of those failures and improve the quality of our updates.

Windows Server Update Services (WSUS) and System Center Configuration Manager functionality is not affected at this level, nor is telemetry data about Windows Server features or System Center gathered.

The data gathered at this level includes:

- Connected User Experience and Telemetry component settings. If data has been gathered and is queued to be sent, the Connected User Experience and Telemetry component downloads its settings file from Microsoft’s servers. The data gathered by the client for this request includes OS information, device id (used to identify what specific device is requesting settings) and device class (for example, whether the device is server or desktop).

- Malicious Software Removal Tool (MSRT) The MSRT infection report contains information, including device info and IP address.

Note
You can turn off the MSRT infection report. No MSRT information is included if MSRT is not used. If Windows Update is turned off, MSRT will not be offered to users. For more info, see Microsoft KB article 891716.

- Windows Defender/Endpoint Protection. Windows Defender and System Center Endpoint Protection requires some information to function, including: anti-malware signatures, diagnostic information, User Account Control settings, Unified Extensible Firmware Interface (UEFI) settings, and IP address.

Note
This reporting can be turned off and no information is included if a customer is using third party antimalware software, or if Windows Defender is turned off. For more info, see Windows Defender.

Microsoft recommends that Windows Update, Windows Defender, and MSRT remain enabled unless the enterprise uses alternative solutions such as Windows Server Update Services, System Center Configuration Manager, or a third party antimalware solution. Windows Update, Windows Defender, and MSRT provide core Windows functionality such as driver and OS updates, including security updates.

For servers with default telemetry settings and no Internet connectivity, you should set the telemetry level to Security. This stops data gathering for events that would not be uploaded due to the lack of Internet connectivity.

No user content, such as user files or communications, is gathered at the Security telemetry level, and we take steps to avoid gathering any information that directly identifies a company or user, such as name, email address, or account ID. However, in rare circumstances, MSRT information may unintentionally contain personal information. For instance, some malware may create entries in a computer’s registry that include information such as a username, causing it to be gathered. MSRT reporting is optional and can be turned off at any time.
[...]

Met andere woorden, zelfs als je voor het telemetry-level "Security" kiest (dat uitsluitend beschikbaar lijkt in enterprise-achtige versies, dus niet in de professional versie) en reporting door MSRT en Windows Defender geheel uitschakelt, kan Microsoft nog steeds informatie naar keuze opvragen door een aangepaste Telemetry settings file naar je PC te sturen - die onder meer informatie zoals OS information, device id en device class terug kan melden naar Microsoft.

CONCLUSIE

De pagina's waarin staat hoe je de stroom met potentieel privacygevoelige informatie vanuit Windows 10 naar Microsoft kunt inperken, wijzigen nog regelmatig. Ik kan me niet aan de indruk onttrekken dat Microsoft, wellicht onder druk van grote klanten en (Amerikaanse?) privacyorganisaties, nog aan de bijbehorende instellingen aan het sleutelen is.

Zowel gebruikers van Windows 7 en Windows 8.x, als gebruikers van non-enterprise versies van Windows 10, lijken, volgens Microsoft, geen recht te hebben op privacy.

Door de door Microsoft gebruikte term includes heb je, zelfs in het maximale privacyniveau "Security level", nog steeds geen idee welke informatie Microsoft van jouw device (notebook, tablet, PC, server etc) kan opvragen en onder welke omstandigheden dat gebeurt.

Het zou mij niets verbazen als de rechtzaak van Microsoft tegen de Verenigde Staten geheel doorgestoken kaart is en Microsoft in werkelijkheid onder een hoedje speelt met de Amerikaanse geheime diensten. Dit vind ik een zeer verontrustende ontwikkeling, alleen al omdat hiermee een trend lijkt door te zetten.

Met Windows 10 kies je voor de cloud (en andere keuzes maakt Microsoft steeds lastiger) dus all your data are belong to US.


(US naar keuze te interpreteren als woord of als afkorting van United States).

--------------------------------------------------------------------------
Hoe je pagina [X] kunt vinden

Open Microsoft's privacystatement [4], onder de sectie "Windows" staat momenteel:
Windows
Windows 10 ("Windows") is een aan uw persoonlijke voorkeuren aangepaste computeromgeving waarmee u naadloos kunt roamen en toegang heeft tot services, voorkeuren en inhoud met al uw computerapparatuur: van telefoons tot tablets tot de Surface Hub. In plaats van als een statisch softwareprogramma op uw apparaat te staan, zijn belangrijke onderdelen van Windows op de cloud gebaseerd en worden zowel cloud-elementen als lokale elementen van Windows regelmatig bijgewerkt, waarmee u wordt voorzien van de nieuwste verbeteringen en functies. Om deze computerervaring te bieden, verzamelen we gegevens over u, uw apparaat en de manier waarop u Windows gebruikt. En omdat Windows persoonlijk voor u is, bieden we u keuzes over de persoonsgegevens die wij verzamelen en hoe we deze gebruiken. Let op: als uw Windows-apparaat wordt beheerd door uw organisatie (zoals uw werkgever of school), kan uw organisatie centrale beheerinstrumenten van Microsoft of anderen gebruiken voor het beheer van apparaatinstellingen, apparaatbeleid, software-updates, het verzamelen van gegevens door ons of door de organisatie, of andere aspecten van uw apparaat. Voor meer informatie over het verzamelen van gegevens en privacy in Windows gaat u naar http://go.microsoft.com/fwlink/?LinkId=529552 ([5]).

Zoals je kunt zien gaat deze sectie er (gemakshalve?) vanuit dat elke Windows gebruiker ondertussen wel over is op Windows 10 (van andere versies is in dit privacy statement geen sprake meer, een vergelijkbare pagina voor Windows 7 kan ik niet vinden en ook bijv. via [6] vind je daar ook niets over). Affijn, als ik op die laatste link uit het bovenstaande (aangehaalde) stuk klik, kom ik nu uit op [7], maar die kun je natuurlijk wijzigen in [8]. Die laatste pagina ([8]) bevat nu:
Windows 10 en privacy

Van toepassing op Windows 10 en Windows 10 Mobile

Het beschermen van uw privacy is belangrijk voor ons en we willen graag leren begrijpen hoe we uw privacy-instellingen het beste voor u kunnen instellen.

Om te werken op het basisniveau verzamelt en gebruikt Windows 10 een beperkte gegevensset.

Als u uw apparaat persoonlijker en prettiger wilt maken, hebt u de mogelijk om extra functies te gebruiken. Deze functies zijn optioneel en ze werken beter als Windows 10 uw interesses en voorkeuren begrijpt.

Om de blog van Terry Myerson over onze inzet om uw privacy te beschermen te lezen, gaat u naar Privacy en Windows 10 [9]

Voor concrete voorbeelden over waarom en hoe gegevens in Windows 10 worden gebruikt, gaat u naar Windows 10 en uw online services [A]

Voor praktische instructies voor persoonlijke instellingen gaat u naar Uw voorkeuren voor Windows 10-services instellen [C]

Als u voor een organisatie werkt en wilt weten hoe u instellingen op veel Windows 10 apparaten tegelijk kunt beheren, gaat u naar Telemetrie en andere instellingen in uw organisatie configureren [D]

In de Privacyverklaring van Microsoft [E] vindt u per product een overzicht van onze inzet op het gebied van privacy.

Als u meer wilt weten over een bepaald onderdeel, kiest u uit: Cortana [F], Camera [G], Feedback en diagnose [H], Locatie [J], Microsoft Edge [K], Spraak, handschrift en typen [L], Windows Hello [M], Wi-Fi Sense [N], en Windows Update-bezorgingsoptimalisatie [O].

--------------------------------------------------------------------------

Verwijzingen (Nb. {b}, {i} en {u} met bakhaken bestaan niet omdat security.nl die "interpreteert" als codes)
[1] http://www.wilderssecurity.com/threads/list-of-windows-7-telemetry-updates-to-avoid.379151/
[2] https://www.security.nl/posting/446055/Europees+Hof+verklaart+Safe+Harbor-verdrag+met+VS+ongeldig
[3] https://autoriteitpersoonsgegevens.nl/nl/melden/meldplicht-datalekken
[4] https://privacy.microsoft.com/nl-nl/privacystatement#mainwindowsmodule_ShortDescription
[5] http://go.microsoft.com/fwlink/?LinkId=529552
[6] http://windows.microsoft.com/nl-nl/windows/windows-help#windows=windows-7
[7] http://windows.microsoft.com/en-US/windows-10/windows-privacy-faq
[8] http://windows.microsoft.com/nl-NL/windows-10/windows-privacy-faq
[9] http://go.microsoft.com/fwlink/p/?LinkId=627127
[A] http://windows.microsoft.com/nl-nl/windows-10/online-services
[C] http://windows.microsoft.com/nl-nl/windows-10/services-setting-preferences
[D] http://go.microsoft.com/fwlink/p/?LinkId=627097
[E] http://go.microsoft.com/fwlink/p/?LinkId=521839
[F] http://windows.microsoft.com/nl-nl/windows-10/cortana-privacy-faq
[G] http://windows.microsoft.com/nl-nl/windows-10/camera-privacy-faq
[H] http://windows.microsoft.com/nl-nl/windows-10/feedback-diagnostics-privacy-faq
[J] http://windows.microsoft.com/nl-nl/windows-10/location-service-privacy
[K] http://windows.microsoft.com/nl-nl/windows-10/edge-privacy-faq
[L] http://windows.microsoft.com/nl-nl/windows-10/speech-inking-typing-privacy-faq
[M] http://windows.microsoft.com/nl-nl/windows-10/windows-hello-privacy-faq
[N] http://windows.microsoft.com/nl-nl/windows-10/wi-fi-sense-faq
[O] http://windows.microsoft.com/nl-nl/windows-10/windows-update-delivery-optimization-faq
[P] http://archive.is/NIO9D (snapshot 20160225 van [T])
[Q] https://web.archive.org/web/20160316135752/https://technet.microsoft.com/en-us/library/mt577208.aspx
[R] http://www.theregister.co.uk/2016/02/24/windows_10_telemetry/
[S] https://www.security.nl/posting/466034/Microsoft+geeft+advies+tegen+cyberspionage#posting466170
[T] https://technet.microsoft.com/en-us/library/mt577208.aspx (deze URL doet nu, 20160509, een redirect naar [X])
[V] https://technet.microsoft.com/itpro/windows/manage/disconnect-your-organization-from-microsoft
[W] https://web.archive.org/web/20160414074904/https://technet.microsoft.com/itpro/windows/manage/disconnect-your-organization-from-microsoft (snapshot 20160414 van [V], pagina laatst gewijzigd 20160412)
[X] https://technet.microsoft.com/en-us/itpro/windows/manage/configure-windows-10-devices-to-stop-data-flow-to-microsoft
[Y] https://technet.microsoft.com/en-us/itpro/windows/manage/configure-windows-telemetry-in-your-organization
[Z] https://i-technet.sec.s-msft.com/en-us/itpro/windows/manage/images/priv-telemetry-levels.png

(@karma4: de "FUD" in dit artikel is afkomstig van *.microsoft.com).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.