Vervolg vraagje erbij:

als je MS Teams gebruikt ben je dan ook niet onderhevig ook aan de Cloud-Act:

https://en.wikipedia.org/wiki/CLOUD_Act?

Ben je daarmee niet meteen weer in overtreding met de AVG in NL?

Je hebt namelijk niet 100% controle over de data zelf als cloud gebruiker (MS Teams gebruiker) want een buitelandse overheids orgaan kan toegang op eisen (onder voorwaarden).

Lees hem, die cloud act even beter, er staat letterlijk in dat de lokale wetgeving ofwel GDPR voor gaat. Blijft over als grootste gevaren de nitwits die niets van regelgeving snappen en de slimme nerds oss etc die alles maar lastig vinden,

Precies deze vraag stelde ik mijzelf ook toen medewerkers spontaan MS Teams gingen gebruiken, zonder eerst met ICT of security te bespreken. Ik heb toen wel de privacy statement van MS doorgelezen (versie Maart 2020) en kwam toch wat verontrustende zaken tegen.

Zo is het uit de privacy statement niet duidelijk waar je gegevens worden opgeslagen.
"Door Microsoft verzamelde persoonsgegevens kunnen worden opgeslagen en verwerkt in uw regio, in de Verenigde Staten en in een ander land/andere regio waarin Microsoft of de aan haar gelieerde ondernemingen, dochterondernemingen of serviceproviders over faciliteiten beschikken…
…We geven persoonsgegevens door van de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland naar andere landen, waarvoor in sommige gevallen nog niet door de Europese Commissie is vastgesteld of het geboden niveau van gegevensbescherming adequaat is. Hun wetgeving garandeert u bijvoorbeeld niet dezelfde rechten of er is geen toezichthoudende instantie voor privacy beschikbaar die in staat is uw klachten te behandelen. Bij dergelijke doorgiftes van gegevens gebruiken we diverse wettelijke mechanismen, waaronder overeenkomsten, om er zeker van te zijn dat uw rechten en beschermingen onderweg gewaarborgd zijn."

Maar ook geeft MS aan dat zij gesprekken kunnen terug luisteren.
"We bekijken bijvoorbeeld handmatig korte fragmenten van een kleine steekproef van spraakgegevens om onze spraakservices te verbeteren, zoals herkenning en vertaling. We hebben stappen genomen om deze gegevens niet-identificeerbaar te maken."
Welke gegevens zij niet-identificeerbaar maken staat er niet bij. Kan mij voorstellen dat als je (bedrijfs/persoons)gevoelige informatie bespreek met iemand in Teams, dat MS dit dus gewoon kan mee luisteren...

Ik heb daarom binnen ons bedrijf aangegeven dat er in Teams geen documenten gedeeld mogen worden en dat gesprekken over gevoelige onderwerpen beter telefonisch gedaan kunnen worden...

PS: Ik weet dat er contractuele afspraken met MS gemaakt kunnen worden waarin de genoemde items aangepast kunnen worden. Dit is echter niet het geval met de gratis versie waar nu veel mensen gebruik van maken.

Klopt als een bus. Je moet het zelf ook nog eens aangeven dat je alleen op EU server locaties in de cloud wil. Ik zou dit als EU bedrijf altijd aanraden. De VS is gebleken niet echt een betrouwbare partner te zijn, met wat "verborgen" wetjes.

(Disclaimer: Ik heb geen ervaring met Office365 of het afsluiten van een verwerkersovereenkomst daar mee. Ik merk ook in mijn eigen stuk dat het niet helemaal helder is over wat die persoonsgegevens nu precies zijn. Er zijn verschillende categorieën en het is mij niet helemaal duidelijk welke nu precies waar over gaan. Helemaal als je bedenkt dat er ook nog een onderscheid is tussen de persoonsgegevens van de mensen die Teams gebruiken of de persoonsgegevens in documenten/chatgesprekken die gedeeld worden.)

Het probleem is dat Microsoft, tot op zekere hoogte, zijn eigen gang mag gaan met de persoonsgegevens die jij ze geeft. Dat is van toepassing op de huidige voorwaarden van Office365, dus ook Teams.

In normale omstandigheden sluit je een verwerkersovereenkomst af met Microsoft. Daar leg je in vast dat een bepaalde set persoonsgegevens gebruikt mag worden voor een bepaalde set doelen. Daar heeft een (sub)verwerker zich dan aan te houden. Microsoft daarin tegen stelt dat het daarnaast deze persoonsgegevens ook mag gebruiken voor doelen die ze zelf stelt, Microsoft als onafhankelijke verantwoordelijke dus. Daarbij gaat het om bijvoorbeeld de telemetrie/diagnostische gegevens die je noemt. Dit staat in de Microsoft Online Services Data Protection Addendum (January 2020).

Destijds is onderzoek door Privacy Company, in opracht voor de Rijksoverheid, over of dit toegestaan is. Op basis van dat rapport besloot de Rijksoverheid dat de voorwaarden van Microsoft niet acceptabel zijn, hiermee zouden namelijk de persoonsgegevens van ambtenaren (gebruiksgegevens, niet de inhoud van documenten) door Microsoft gebruikt kunnen worden voor doelen die ze zichzelf stellen. Dit fundamentele punt is ook in de DPA van 2020 nog steeds aanwezig, de Rijksoverheid heeft daarom een eigen, andere overeenkomst met Microsoft afgesloten waarin dit wel goed geregeld is. Let wel, Microsoft's doelen gaan niet over profiling of advertenties maar vooral product verbeteringen in tegenstelling tot wat je van bijvoorbeeld Google kunt verwachten (Zie Microsoft DPA 2020). Zoals hier eerder geschreven kan dat dus ook betekenen dat spraakberichten worden afgeluisterd om spraakherkenning te verbeteren.

Daar komt nog bij dat er enkele mooie teksten in staan die duidelijk maken dat je al je rechten/plichten weggeeft. Normaal moet een verwerker (Microsoft) toestemming vragen als het een nieuwe subverwerker gebruikt. Je geeft met deze DPA een blanco akkoord op alle subverwerkers die ze contracteren, als het je niet zint moet je maar opzeggen achteraf. Op vergelijkbare manier is het ook Microsoft die de bewaartermijn van de gegevens bepaalt, terwijl dat eigenlijk door de verantwoordelijke opgegeven dient te worden.

De vraag is dus of deze voorwaarden acceptabel en toegestaan zijn onder de AVG, het rijk lijkt te stellen dat dat niet het geval is. Echter is je enige optie dan om niet akkoord kunt gaan met de voorwaarden zoals die nu op de Microsoft site te vinden zijn, deze opnieuw te onderhandelen en/of zorgen dat je technische maatregelen neemt die dergelijk gebruik voorkomt (lees: de opt-out toggles kunt vinden, als dat al mogelijk is).

Daarom is er een initiatief in de publieke sector om gezamenlijk in te kopen, om zo betere voorwaarden af te dwingen wat als kleine individuele partij niet lukt (zie [0] met een samenvatting van de problematiek). PrivacyCompany zelf heeft destijds nog een lijst met maatregelen geschreven onder hun blogpost op [1], maar het kan goed zijn dat dat niet helemaal up-to-date meer is.

Over de CLOUD act zou ik mij geen zorgen maken. De privacywet stelt dat je moet zorgen voor waarborgen voor de transfer, wat gedaan is met SCC's in de DPA. Dat die SCC mogelijk in strijd zijn met wetgeving daar is een vraag voor de toezichthouder, niet voor jou. Bovendien hebben dan alle Microsoft gebruikers een probleem, de kans dat jij daar als individuele organisatie op aangesproken gaat worden is nihil.

[0] https://thehagueforumforcloudcontracting.eu/wp-content/uploads/2020/02/Article-on-EU-Software-and-Cloud-Suppliers-Customer-Council.pdf
[1] https://www.privacycompany.eu/blogpost-nl/nieuwe-dpias-zakelijke-microsoft-office-en-windows-software-nog-steeds-privacyrisicos-korte-blog

EDIT: Mijn vorige tekst was iets tekort door te bocht, als je met Microsoft Ierland een overeenkomst hebt en gebruik maakt van de transfer opt-out (of geo insteld op Europa?) dan zal het ook goed zitten wat dat betreft.

Behalve of de technologie zich aan al die wetten houdt, geldt dit natuurlijk ook voor de gebruikers ervan zelf.
Je kan alsnog data/gegevens/content in plaatsen die niet conform deze wetgeving is... die collega's kunnen zien.
Bv. een foto van een collega mag je niet zomaar zonder toestemming delen in deze tooling.

Dit geldt niet alleen voor MS Teams...

niet constructief. ik negeer je vanaf nu in deze draad.

en wat als je je aan de wet wilt houden, maar je wordt door je collegea of werkgever toch gedwongen? om hier een antwoord op te hebben zul je op zijn mist eerst een moeten weten wanneer je de wet overtreed. dat is afh van de legalese van MS weer.

fake aannames zijn niet constructief: https://en.wikipedia.org/wiki/CLOUD_Act
"but provides mechanisms for the companies or the courts to reject or challenge these if they believe the request violates the privacy rights of the foreign country the data is stored in. "

Als je zelfs als bedrijf niet wat welke gegevens je verwerkt en wat je verantwoordelijkheden zijn als verwerker heb je niets aan een aanname dat een ander voor jou het wel oplost.

Gedwongen door je werkgever of collega's ... oeps ... maar dat is misschien een beslissing uit nood geboren, omdat zij geen werkbare alternatieven kennen? Die zijn er wel degelijk.
https://en.wikipedia.org/wiki/Comparison_of_web_conferencing_software

De "non-proprietary" alternatieven zoals JitsiMeet en BigBlueButton zijn per definitie controleerbaar op (afwezigheid van) telemetrie, want de code is open source.

Voor 1:1 (beeld)bellen met leden van je team is Signal de gouden standaard; zelfs Edward Snowdon gebruikt het.
https://en.wikipedia.org/wiki/Comparison_of_VoIP_software

En je hoeft dit forum maar te checken op items over "Zoom" om te weten dat dit geen veilig alternatief is. Bijvoorbeeld:
https://www.security.nl/posting/650617/Onderzoek%3A+Zoom+ongeschikt+om+geheimen+mee+te+bespreken
https://www.security.nl/posting/650780/New+York+verbiedt+gebruik+van+Zoom+door+scholen

het gaat om het " Blijft over als grootste gevaren de nitwits die niets van regelgeving snappen en de slimme nerds oss etc die alles maar lastig vinden," gedeelte wat je gehele post te niet doet want het voegt niets toe en is duidelijk trollend bedoeld.

deze mechanisme gelden aan de US kant dus als MS bezwaar wilt maken ten gunste van NL, dan zal het via een US rechtspraak gaan en kan dat bezwaar door de US teniet gedaan worden.

https://epic.org/privacy/cloud-act/

"... However, U.S. court can require production of that data despite the objection, even where the laws of another nation would be violated ..."

Mijnsinziens is dat in tegenspraak met AVG in NL:

https://nl.wikipedia.org/wiki/Algemene_verordening_gegevensbescherming#Verantwoordelijkheid_en_verantwoordingsplicht

Persoonlijk vind ik Teams en hele fijne applicatie met veel functionaliteiten. Echter is in deze discussie wel naar voren gekomen dat het niet 100% secure is. Ik geloof met veel omwerk dat het mogelijk is om Ms Teams ook AVG compliant te gebruiken, maar dat brengt de nodige aanpassingen en manuren met zich mee.

Naast Teams gebruik ik voor communicatie met een hogere sensitiviteit Wire. Ik heb even een artikel gezocht wat de verschillende samenwerkingsapplicaties vergelijkt op basis van GDPR.

https://wire.com/en/blog/video-conferencing-gdpr-compliance/

Ik ben benieuwd wat jullie er van vinden. Kunnen we hier vanuit gaan? Is the Berlin Data Protection Office een betrouwbaar orgaan?

MS <whatever> is AVG-compliant: broehahahahaha!
Oracle <Whatever> is AVG-compliant: Proesthahaha!
Cloud <whatevah> is AVG-compliant: Denk je?!? Welke leverancier dan?
"Onze data staat ibinnen de EU, en is dus AVG compliant": patriot act, cloud-act (is al genoemd); zodra een firma (ook) een US vestiging heeft, is de data op te vragen door de US regering.
Punt. Uit. En ga nou maar kijken of je dat kunt verenigen met de AVG

De AVG gaat over de gegevens, de registratie, beschermen en/of gebruiken en niet zozeer over de applicatie an sich. Dus veel softwarebedrijven kunnen stellen dat ze AVG-compliant zijn, of met kleine aanpassingen.

Het inzichtelijk maken van de software(lijst) is wel onderdeel van een goede registratie, maar dan ook wat je hiermee registreert en hoe deze wordt gebruikt in het bedrijfsproces.

De US vestiging is inderdaad wel een puntje, echter als de data exclusief op EU servers staan (wat je dus kunt aangeven met een contract), heb je meer kans vanuit het juridisch perspectief. Natuurlijk zal de VS de VS niet zijn, als ze via een achterdeur wet alsnog e.a. voor elkaar krijgen.

Het maakt niet uit of je data in Europa of in de VS staan: zolang de data in beheer zijn van een Amerikaans bedrijf (Google, Microsoft, Twitter, Facebook, Amazon, ...) kan de Amerikaanse overheid deze gegevens opvragen (PATRIOT-act). Als niet-VS burger kun je geen rechten uitoefenen over je gegeven (bv. correctie).
Dus met het 'afschieten' van Privacy Shield door het Europese Hof van Justitie is er geen enkele wettelijk basis om je persoonsgegevens bij een Amerikaanse firma onder te brengen (ofwel: niet AVG-compliant)