Er is geen belans tussen veiligheid en privacy. Dat uitgangspunt is uitsluitend bedacht om de privacy nóg verder uit te hollen. Minder privacy zorgt namelijk niet voor meer veiligheid.

Nadella moet de hand in eigen boezem steken en ophouden op ondoorgrondelijke wijze en opt-out grote hoeveelheden "telemetry"/"user experience" data te verzamelen - waarmee het doen en laten van gebruikers van Microsoft producten (Windows 10 voorop, maar ook met alle beschikbare updates bijgewerkte Windows 7 en 8.1 installaties) tot op de seconde wordt geregistreerd op servers van Microsoft (mogelijk gebruikmakend van third-party systemen zoals CDN's).

Dan hebben, in elk geval de niet-MS-cloud gebruikers, niets te vrezen van het (anders dan Nadella, met de hete adem van Apple in de nek, om marketingredenen roept) weggeven van die data aan welke overheid dan ook.

Of het mogelijk verkopen (evt. door medewerkers, al dan niet met medeweten van de Microsoft top) van die data, al dan niet "geanonymiseerd" (voor wat dat waard is) aan de hoogste bieder - dat kunnen ook overheden zijn.

Of het mogelijk lekken van die, al dan niet "geanonymiseerde" (voor wat dat waard is) informatie als gevolg van security bugs (want ook Microsoft maakt nog steeds geen cybersecuritybugvrije code, zie bijv. [1]).

[1] https://www.security.nl/posting/469209/Lek+maakte+kapen+zakelijke+Office+365-accounts+mogelijk

Ik ben het hier mee eens. Maar laten we die discussie even door bevoegdheden' vervangen om ze kwijt te raken. En dan ben ik het in dit geval eens met zowel het statement als de richting. Om de juiste balans in een rechtsstaat (het onmisbare fundament onder een vrije en democratische samenleving) te bereiken, moeten we beseffen dat we - zeker in de VS - veel te ver richting bevoegdheden zijn doorgeschoten. Er is meer en onafhankelijker toezicht op de inlichtingen- en opsporingsorganisaties nodig, meer aansprakelijkheid, meer openheid, meer mogelijkheden voor onschuldigen om verhaal te halen en gelijk te krijgen, meer steun voor onschuldigen, en in sommige, mogelijk veel, gevallen zullen bevoegdheden misschien in zijn geheel ingetrokken moeten worden om tot een juiste balans tussen 'veiligheid' (althans, wat de genoemde organisaties daaronder verstaan) en privacy te kunnen bereiken.

Ja? laten we die eens uitwerken. Bedenk dat privacy waaran jij denkt voor 1950 zo niet eens bestond. Er was niets voor zorg of wat dan ook. Je moest je zelf maar zien te redden waarbij de sociale gemeenschap de enige optie voor wat zekerheid was. Leef je eens in wat dat betekende.
a/ Absolute privacy betekent geen enkele bescherming tegen potentiele kwaad. Het leger van de heer. el shabaab, Isis beroepen zich allemaal op de vrijheid van hun doen en laten. Het groeit allemaal naar totalitaire dictatorisme.
b/ Het negerenen van de uitzonderingen voor absolute privacy door de uitzonderingen als regel te hanteren (eg Plasterk koers). Het brengt je naar de grote leiders waar alles van buiten een bedreiging is. ofwel totalitair dictatorisme.
Uiterst links en rechts komen bij een hoefijzer heel dicht bij elkaar. Welk uitieind je ook kiest ik wens geen van beide.

Blijft over het proberen te balanceren tussen die uitersten. Dat heeft een naam en heet democratie.
Heb je daar problemen mee?

Kies dan google cloud, Apple Amazon (die van de mexicanen mongo) IBM of wat dan ook. Denk je echt dat het daar anders gaat. Om datacenters te laten draaien moet je toch wat aan loadvoorspelling en incident preventie van je producten doen. Je weet overigens best dat een geode securityomgeving van telemetry (SOC Siem etc) af hangt. Het is een ondergewaardeerd iets voor big-data toepassingen.

Als grootste gevaar zie ik niet de tech-bedrijven meer de financials retailers Telco's. De eenvoudige redden: ze weten van alles van je en willen meer geld van je op wat voor manier dan ook. Heel wonderlijk dat zo'n onbeveiligde USB per post sturen zo maar kan gebeuren. Ligt dat aan Microsoft, dacht het niet. Het is gebrek aan algemene security awareness....
Helpt OSS tegen zoiets, dacht het niet. Ik zier her en der lokale initiatieven ontstaan door falen van het centrale geheel. Dan worden redenen gevoerd als omdat we klein zijn zal het wel loslopen.

Je had laatst de vraag of zoiets in Nederland zou spelen.. (massaal lekken data). Een vervolg:
http://www.databreaches.net/movimiento-ciudadanos-continues-to-claim-it-was-hacked-despite-evidence-of-leak/ Heel Nederlands de booschapper aanklagen voor het Eigen falen. Of wou je beweren dat die methode hier niet gewoon is.

Ik schreef:
Ik vermoed dat Microsoft zich totaal niet aan de Europese wetgeving houd sinds Safe Harbor is afgeschoten en er geen nieuwe, geratificeerde, overeenkomst bestaat.

Erik je haalt nu thuisgebruik desktops en professionele service overeenkomsten door elkaar.
Met safe harbor heb je het over Datacenter en aparte serviceovereenkomsten. Microsoft Azure is dat laatste. MS bouwt aparte data centers in de eu waarbij ze het beheer ook proberen lokaal te houden dus geen VS binding. Daarmee hebben ze een verkoop positie die aan safe harbor voldoet.
Ze hebben geleerd van die Ierse mailzaak.
Heel wat anders dan die uitbesteding door de Engelse overheid die zich verscholen achter safe harbor en de service dat alles zo bij VS bedrijven stalden.

Als je denkt dat de grote commerciële jongens dom zijn. Draai het een om. Juist de commotie er om heen biedt een uitstekend vrrkoopverhaal. Of krijg het besef dat als de weldorpel uiteen valt je kansen verminderen. China en buitenlandse data centers is geen goede combinatie.
Lokale rechters handhavers die zich wereldwijde rechten toedekken is niet best.

Ik vraag me trouwens af waar managers niet blij zijn als ze van de lastige ict af zijn. Uitbesteden de deur uit zetten maakt niet uit hoe.

Feitelijk gezien is het niet Microsoft dat zich niet aan de EU-wetging houdt sinds Safe Harbor ongeldig is verklaard. Maar alle EU-bedrijven die op basis van die Safe Harbor Agreement zaken doen met Microsoft op het gebied van Azure, Office 365 en andere Cloud diensten.

Ja en nee.

Als je zelf, op eigen beweging dus, gegevens (in elk geval die gegevens die onder de meldplicht datalekken vallen) via netwerken en/of op systemen verplaatst/plaatst waarvan de eigenaar ten minste 1 vestiging in de Verenigde Staten heeft, geldt -voor zover ik weet- het volgende:

1) De geheime diensten van de USA kunnen dat bedrijf dan dwingen om die gegevens af te staan. Daarbij moet dat bedrijf die opdracht strikt geheim houden en kan niet naar de rechter stappen. Daar staat tegenover dat de staat het bedrijf vrijwaardt van eventuele aanklachten van klanten.

2) De niet- geheime diensten van de USA kunnen dat bedrijf verzoeken om die gegevens af te staan. Daarbij kan dat bedrijf naar de rechter stappen, zoals Microsoft in de Dublin-e-mail-casus heeft gedaan. Duidelijk is dat rechters onderling het er in deze zaak niet over eens zijn of dit mag. Voor zover ik weet is er nog geen definiitieve uitspraak in deze zaak, en als die er al komt, is het de vraag of en hoeveel precedent die definitieve uitspraak schept. Met Donald Trump als mogelijke president zou ik mij zeker niet rijk willen rekenen op dit vlak.

Maar dit is niet wat ik hier bedoel, dat gaat namelijk over bedrijven en individuen (zakelijk en privé) die meerdere jaren geleden een legale Windows 7 licentie hebben aangeschaft, en die telkens netjes alle updates hebben geïnstalleerd zodra deze, door Microsoft, werden aangeboden.

Gaandeweg heeft Microsoft, ongevraagd, de functionaliteit van Windows 7 veranderd (middels updates): het is een besturingssysteem met spyware geworden. Microsoft liegt daar niet over, integendeel; zij stelt dat het versturen van zoveel mogelijk gebruikershandelingen door Windows 7 naar Microsoft in het belang van de klanten is. Microsoft kan met die kennis, zo claimt zij, in elk geval klanten zo probleemloos mogelijk laten upgraden naar Windows 10 [1] [2].

Doorsnee gebruikers die ik hierover spreek hebben vaak geen idee dat informatie over o.a. hun gedrag en alle geïnstalleerde software op de PC naar Microsoft wordt gestuurd. En als ze dat al hebben, weten ze vaak niet om welke informatie het exact gaat (sterker, ik weet dat ook niet). Laat staan dat ze weten hoe zij dit "lekken" kunnen uitschakelen (Microsoft stelt dat het om een opt-out systeem gaat, maar informatie over hoe je die datastroom in Windows 7 permanent kunt uitschakelen kan ik nergens vinden op microsoft.com).

Kortom, het gaat hier niet om push maar om pull: Microsoft veegt haar derrière af met onze privacywetgeving en verwijst in haar ellenlange privacy-statement (https://privacy.microsoft.com/nl-nl/privacystatement, vergeet niet rechtsboven op "alles uitvouwen" te klikken), met bovendien nog verwijzingen naar andere pagina's, ook nog naar de -ongeldige- Safe Harbor overeenkomst.

Het gaat mij hier in het bijzonder om het verzamelen van "Telemetrie & foutrapportage" (https://privacy.microsoft.com/nl-nl/privacystatement#maintelemetryerrorreportingmodule). Ik haal een stukje aan:
A) In Windows 7 setup komt die vraag niet voor en zo'n instelling heb ik nog nooit gezien (ik verwacht dat Microsoft vandaag of morgen een blog schrijft waarin staat dat je, om die instelling überhaupt te zien te krijgen en te kunnen wijzigen, moet updaten naar Windows 10).

B) Zelfs bij de minimaal instelbare mogelijkheid, gaat mij al veel te veel informatie naar Microsoft:

Ik heb omvatten onderstreept omdat in dit soort teksten daarmee bedoeld wordt: "kunnen onder meer bestaan uit".

Kortom, Microsoft zamelt massaal informatie in van haar gebruikers. We hebben geen idee wat daarmee gebeurt, in hoeverre deze informatie is geanonymiseerd (voor zover dat kan met zoveel gegevens) en wie daar, zowel geautoriseerd als ongeautoriseerd, bij kunnen.

Dit stinkt aan alle kanten.

[1] Off-topic, maar wel gerelateerd: gaandeweg is daarbij ook, herhaaldelijk (meerdere updates) en nauwelijks uit het besturingssysteem te verwijderen, adware aan toegevoegd. Bovendien worden mensen die ongewenst updates niet installeren, gestraft door het saboteren van het update mechanisme - ook voor beveiligingsupdates.

[2] Off-topic, maar eveneens gerelateerd: hoewel Microsoft dat niet lijkt te willen begrijpen, bestaan er mensen die nu niet willen upgraden naar Windows 10, en er bestaan zelfs mensen die, zoals het er nu voorstaat, nooit willen upgraden naar Windows 10.

Erik, Je verwijst naar een consumenten overeenkomst voor consumenten applicaties met ondersteuning naar consumenten. De meeste thuisgebruikers zijn geen ICT-ers. Zijn gek op Apple (icloud) want het werkt, total geen interresse of er tracking plaatsvind. Lees de service overeenkomst van Apple eens, erger dan van MS. Google Facebook berucht. Retailers Banken etc. berucht. Het meeste van de bedreigingen komt uit hoeken die niets met MS van doen heeft. Het lijkt er op dat je persoonlijk niet je zin gekregen hebt ... ergens... en dat af moet reageren.

Ik zie de grootste bedreigingen bij big-data gebruik met Linux. Mongo-db maar 1 voorbeeld maar ook R. Men heeft in die hoek nauwelijks benul van het goed /veilig omgaan met data. Dat blijft doorwoekeren, een makkelijke uitvlucht voor ze is de FUD zoals jij uitdraagt richting een enkele commerciële partij.

Overigens heb je je ooit verdiept in:https://logging.apache.org/ waar denk je dat die basis van telemetry overal in zit? Siem - monitoring is een voorwaarde voor een professionele security aanpak. Heet ook telemetry.

Beste Microsoft fan of medewerker, ik onderbouw mijn "FUD" met feiten. Het enige dat jij doet, in jouw "verweer", is op onbenullige wijze naar de concurrentie wijzen - zonder deze met concrete argumenten, c.q. verwijzingen daarnaar, te onderbouwen.

Leg mij maar eens uit waarom dit geen adware is: http://nos.nl/artikel/2101918-zelfs-weervrouw-heeft-last-van-opdringerige-windows-10-meldingen.html?

@Erik van Straaten: Dank voor je toelichting, want ik had je inderdaad verkeerd begrepen. De issues die jij aanstipt waren volgens mij ook al relevant toen de Safe Harbor nog wel actief was. Je mag immers niet zomaar zonder expliciet (en derhalve dus niet weggestopt) akkoord privacy gevoelige gegevens verzamelen.

Ik weet zelf alleen niet over er ook een verschil is tussen een commerciële en een corporate licentie m.b.t. Windows 10. Want hoe verhoudt een corporate-licentie zich tot de Wbp, wetende dat deze alleen geldt voor gegevens over natuurlijke personen die door een bedrijf, instelling, stichting, et cetera verwerkt worden. En zijn die gegevens in de ogen van de wet wel gevoelig?

Het is in ieder geval een punt wat wel eens goed uitgezocht mag worden. Nu ligt de focus wel op Google met Android en verplichte apps, maar dit issues als nu rondom Windows 10 vind ik net zo goed, zo niet belangrijker, dan dat.

Ja en nee.

1) Voorbeeld: toen ik eind 2014 een nieuwe notebook kocht met een licentie voor zowel Windows 8.1 Pro als Windows 7 Pro, en (bewuste keuze) Windows 7 geïnstalleerd heb, was nog geen sprake van het massaal door Microsoft inzamelen van telemeteriegegevens. Dat gebeurde pas in 2015, in toenemende mate, na het installeren van meerdere (security) updates. Google: "Windows 7" KB telemetry of zie, bijvoorbeeld, meteen [1] (en check ook de laatste pagina uit die thread).

2) Toen Safe Harbor nog niet was "afgeschoten" [2] had Microsoft wellicht nog enige juridische basis om dit "te mogen" doen. Sindsdien ontbreekt die juridische basis, zo vermoed ik.

Ik ben geen jurist, ik heb geen idee wat wel en wat niet mag. Ik weet ook niet of Microsoft, eenzijdig, zomaar een privacy overeenkomst mag wijzigen (c.q. dat de privacy overeenkomst geldt op het moment van aanschaffen of evt. in gebruiknemen) van software. Wie het wel weet mag het zeggen!

De nieuwe wet "meldplicht datalekken" [3], ingegaan 1 januari dit jaar, verplicht organisaties (zowel bedrijven als overheden) om ernstige datalekken te melden. Ik maak daaruit op dat als bijv. het adresboek van een bedrijf, of van 1 of meer medewerkers van dat bedrijf, wordt "gelekt" (zodanig dat ongeautoriseerde toegang plaatsvindt), dit -in potentie- strafbaar is.

Dit geldt, voor zover ik weet, niet voor particulieren. Zij lijken adresboeken ongestraft te kunnen delen met Microsoft, Facebook, WhatsApp, Google etc.

Jazeker, en dit beeld wordt bevestigd door het feit dat Microsoft nog steeds "prutst" aan een pagina ([X]) die al heel vaak gewijzigd is, en zelfs al meerdere titels en verschillende URL's gekend heeft. Hoe je die pagina [X] zou kunnen vinden beschrijf ik onderaan deze bijdrage (er bestaat geen Nederlandse vertaling van, als je in de URL "en-us" vervangt door "nl-nl" krijg je dezelfde -Engelstalige- pagina te zien).

Recente geschiedenis van die pagina:

20160225: van de pagina genoemd onder 20160329 heeft archive.is eerder 1 snapshot gemaakt, zie [P]. De pagina is, naar verluidt, Last updated: February 23, 2016. De titel luidt: "Configure telemetry and other settings in your organization".

20160316: van direct hieronder genoemde pagina heeft archive.org 1 snapshot: zie [Q]. De pagina is, naar verluidt, Last updated: March 10, 2016 (de titel is ongewijzigd).

20160329: via [R] (meer details in [S]) vind ik een Microsoft pagina. Ik heb er toen zelf een kopie van gemaakt. De pagina is, naar verluidt, Last updated: March 10, 2016 (de titel is ongewijzigd). Deze pagina lijkt dezelfde als nu nog te vinden onder [Q].

20160405: ik bezoek [T] opnieuw en maak er een kopien van. De pagina is, naar verluidt, Last updated: March 31, 2016 (de titel is ongewijzigd).

20160412: ik bezoek [T] opnieuw. Deze URL doet nu een redirect naar [V], is nu geschreven door Brian Lich en is "Last Updated" op 4/6/2016 (dus 5 april 2016) (de titel is ongewijzigd).

20160413: [W] bevat snapshot van [V] (die er ondertussen anders uitziet). De pagina is nog steeds geschreven door Brian Lich, nog steeds getiteld "Configure telemetry and other settings in your organization" en naar verluidt, Last updated op 4/12/2016 (dus 12 april 2016).

20160422: [X] laatste snapshot van [V] (die er ondertussen anders uitziet) op archive.org (ongewijzigd sinds [W], dus Last updated op 4/12/2016 = 12 april 2016).

20160509 (vandaag): zowel [D], [T] als [V] redirecten nu naar [X] met als titel: "Configure Windows 10 devices to stop data flow to Microsoft", geschreven door Brian Lich en "Last Updated": 5/6/2016 (dus 5 juni 2016). Uit de inhoud van de pagina lijkt een nieuwe pagina te zijn afgesplitst: [Y] (ik kan geen aanwijzingen vinden dat die pagina bestond vóór 6 mei ([X] verwijst er nog niet naar en bevat een plaatje [Z] dat eerst in [P], daarna in [Q] en vervolgens in [W] - en nu in [Y] te vinden is).

Enkele stukjes uit die pagina [X] (underline/italics/bold van sommige stukken tekst door mij toegevoegd):

Enkele stukjes uit [Y] (underline/italics/bold van sommige stukken tekst door mij toegevoegd):

Met andere woorden, zelfs als je voor het telemetry-level "Security" kiest (dat uitsluitend beschikbaar lijkt in enterprise-achtige versies, dus niet in de professional versie) en reporting door MSRT en Windows Defender geheel uitschakelt, kan Microsoft nog steeds informatie naar keuze opvragen door een aangepaste Telemetry settings file naar je PC te sturen - die onder meer informatie zoals OS information, device id en device class terug kan melden naar Microsoft.

CONCLUSIE

De pagina's waarin staat hoe je de stroom met potentieel privacygevoelige informatie vanuit Windows 10 naar Microsoft kunt inperken, wijzigen nog regelmatig. Ik kan me niet aan de indruk onttrekken dat Microsoft, wellicht onder druk van grote klanten en (Amerikaanse?) privacyorganisaties, nog aan de bijbehorende instellingen aan het sleutelen is.

Zowel gebruikers van Windows 7 en Windows 8.x, als gebruikers van non-enterprise versies van Windows 10, lijken, volgens Microsoft, geen recht te hebben op privacy.

Door de door Microsoft gebruikte term includes heb je, zelfs in het maximale privacyniveau "Security level", nog steeds geen idee welke informatie Microsoft van jouw device (notebook, tablet, PC, server etc) kan opvragen en onder welke omstandigheden dat gebeurt.

Het zou mij niets verbazen als de rechtzaak van Microsoft tegen de Verenigde Staten geheel doorgestoken kaart is en Microsoft in werkelijkheid onder een hoedje speelt met de Amerikaanse geheime diensten. Dit vind ik een zeer verontrustende ontwikkeling, alleen al omdat hiermee een trend lijkt door te zetten.

Met Windows 10 kies je voor de cloud (en andere keuzes maakt Microsoft steeds lastiger) dus all your data are belong to US.


(US naar keuze te interpreteren als woord of als afkorting van United States).

Hoe je pagina [X] kunt vinden

Open Microsoft's privacystatement [4], onder de sectie "Windows" staat momenteel:
Zoals je kunt zien gaat deze sectie er (gemakshalve?) vanuit dat elke Windows gebruiker ondertussen wel over is op Windows 10 (van andere versies is in dit privacy statement geen sprake meer, een vergelijkbare pagina voor Windows 7 kan ik niet vinden en ook bijv. via [6] vind je daar ook niets over). Affijn, als ik op die laatste link uit het bovenstaande (aangehaalde) stuk klik, kom ik nu uit op [7], maar die kun je natuurlijk wijzigen in [8]. Die laatste pagina ([8]) bevat nu:


Verwijzingen (Nb. {b}, {i} en {u} met bakhaken bestaan niet omdat security.nl die "interpreteert" als codes)
[1] http://www.wilderssecurity.com/threads/list-of-windows-7-telemetry-updates-to-avoid.379151/
[2] https://www.security.nl/posting/446055/Europees+Hof+verklaart+Safe+Harbor-verdrag+met+VS+ongeldig
[3] https://autoriteitpersoonsgegevens.nl/nl/melden/meldplicht-datalekken
[4] https://privacy.microsoft.com/nl-nl/privacystatement#mainwindowsmodule_ShortDescription
[5] http://go.microsoft.com/fwlink/?LinkId=529552
[6] http://windows.microsoft.com/nl-nl/windows/windows-help#windows=windows-7
[7] http://windows.microsoft.com/en-US/windows-10/windows-privacy-faq
[8] http://windows.microsoft.com/nl-NL/windows-10/windows-privacy-faq
[9] http://go.microsoft.com/fwlink/p/?LinkId=627127
[A] http://windows.microsoft.com/nl-nl/windows-10/online-services
[C] http://windows.microsoft.com/nl-nl/windows-10/services-setting-preferences
[D] http://go.microsoft.com/fwlink/p/?LinkId=627097
[E] http://go.microsoft.com/fwlink/p/?LinkId=521839
[F] http://windows.microsoft.com/nl-nl/windows-10/cortana-privacy-faq
[G] http://windows.microsoft.com/nl-nl/windows-10/camera-privacy-faq
[H] http://windows.microsoft.com/nl-nl/windows-10/feedback-diagnostics-privacy-faq
[J] http://windows.microsoft.com/nl-nl/windows-10/location-service-privacy
[K] http://windows.microsoft.com/nl-nl/windows-10/edge-privacy-faq
[L] http://windows.microsoft.com/nl-nl/windows-10/speech-inking-typing-privacy-faq
[M] http://windows.microsoft.com/nl-nl/windows-10/windows-hello-privacy-faq
[N] http://windows.microsoft.com/nl-nl/windows-10/wi-fi-sense-faq
[O] http://windows.microsoft.com/nl-nl/windows-10/windows-update-delivery-optimization-faq
[P] http://archive.is/NIO9D (snapshot 20160225 van [T])
[Q] https://web.archive.org/web/20160316135752/https://technet.microsoft.com/en-us/library/mt577208.aspx
[R] http://www.theregister.co.uk/2016/02/24/windows_10_telemetry/
[S] https://www.security.nl/posting/466034/Microsoft+geeft+advies+tegen+cyberspionage#posting466170
[T] https://technet.microsoft.com/en-us/library/mt577208.aspx (deze URL doet nu, 20160509, een redirect naar [X])
[V] https://technet.microsoft.com/itpro/windows/manage/disconnect-your-organization-from-microsoft
[W] https://web.archive.org/web/20160414074904/https://technet.microsoft.com/itpro/windows/manage/disconnect-your-organization-from-microsoft (snapshot 20160414 van [V], pagina laatst gewijzigd 20160412)
[X] https://technet.microsoft.com/en-us/itpro/windows/manage/configure-windows-10-devices-to-stop-data-flow-to-microsoft
[Y] https://technet.microsoft.com/en-us/itpro/windows/manage/configure-windows-telemetry-in-your-organization
[Z] https://i-technet.sec.s-msft.com/en-us/itpro/windows/manage/images/priv-telemetry-levels.png

(@karma4: de "FUD" in dit artikel is afkomstig van *.microsoft.com).