Innovatie & Strategie
Microsoft 365 is onwettig, concludeert Duitsland
Werkgroep van Duitse toezichthouders komt er na 2 jaar praten niet uit met Microsoft.
Werkgroep van Duitse toezichthouders komt er na 2 jaar praten niet uit met Microsoft.
Organisaties kunnen niet gebruik maken van Microsoft 365 én voldoen aan de Europese databeschermingswet GDPR (AVG in het Nederlands). Dit is de harde conclusie die nu is getrokken in Duitsland. Recent is de Franse overheid al voorgegaan in het afkeuren van Microsofts cloudaanbod, voor gebruik door de onderwijswereld. Mogelijke datatoegang door de Amerikaanse overheid is slechts één van de struikelpunten.
Een werkgroep die bestaat uit federale en nationale privacytoezichthouders in Duitsland is met een vernietigende verklaring gekomen voor het 365-aanbod van cloudleverancier Microsoft. Gebruik van die diensten schendt de wettelijke voorschriften van de GDPR (General Data Protection Regulation, Algemene Verordening Gegevensbescherming in het Nederlands). Deels komt dit door de theoretische mogelijkheid dat de regering van de Verenigde Staten data zou kunnen opvragen van Europese gebruikers. Deels komt de Duitse afkeuring ook voort uit de bevinding dat Microsofts dataverwerkingsverklaring niet goed uitlegt hoe het bedrijf data zelf gebruikt voor zijn eigen doeleinden.
Telemetrie en meer
In de gebruiksovereenkomst voor Microsoft 365 staan namelijk bepalingen opgenomen die de aanbieder het recht geven om gegevens van eindgebruikers te benutten voor verschillende bedrijfsdoeleinden. Een voorbeeld daarvan is het generiek geformuleerde doel van 'het verbeteren van de diensten die worden geboden'. Dit kan naast telemetriedata (over werking en gebruik van software en configuratie van hardware) ook persoonlijke data omvatten. Telemetrie- en diagnostische data worden door Microsoft op grote schaal vergaard, weet de werkgroep.
De kritische verklaring waarin Microsoft 365 onwettig wordt verklaard, is formeel slechts een assessment en geen daadwerkelijk besluit dat direct tot handhaving leidt. Mogelijk kan dat wel volgen, maar de vraag is wanneer, hoe en door wie. Dit soort zaken kunnen veel tijd kosten, uitvoering van eventuele corrigerende maatregelen is complex en vanwege de EU-brede aard van de GDPR kan handhaving juist 'boven' landenniveaus komen te liggen.
Diep doorgedrongen
In de praktijk is gebruik van Microsofts clouddiensten - net zoals dat van andere Amerikaanse leveranciers - diep doorgedrongen in de overheidssector, het bedrijfsleven, de onderwijswereld en de maatschappij. Verbieden en er van afstappen zou moeilijk, of zelfs praktisch onmogelijk zijn. Het is hoe dan ook een kostbare zaak.
De harde conclusie die nu is getrokken door een speciale werkgroep van de Duitse privacytoezichthouders DSK (Datenschutzkonferenz) volgt op meer dan twee jaar onderzoek. Daarbij is ook uitgebreid overleg geweest met Microsoft. Het onderzoek naar Office 365 (zoals het cloudaanbod toen nog heette) is op 22 september 2020 begonnen. De ingestelde werkgroep heeft vanaf eind dat jaar contact gehad met Microsoft. Daarbij is niet alleen overlegd, maar ook actie ondernomen. Tussen toen en nu is de cloudaanbieder overgehaald om bepaalde aanpassingen door te voeren. Deze zijn echter onvoldoende gebleken om de harde afkeuring nu door de Duitse toezichthouders af te wenden.
Techjournalist, ICT-kenner en contentproducent bij AG Connect.
Over de Nederlands-Duitse Internet-Exchange Ndix van de Universiteit Twente draait een Intrusion Detection & Prevention Systeem gebaseerd op Quantum Techniek. Dit systeem detecteerd intrusions door Microsoft op emails welke bijvoorbeeld naar nederlandse universiteiten gestuurd worden. Dit is een bewijs dat de analyse van Duitsland correct is.
De Duitse overheid is prima in staat om soortgelijke zakelijke (SLM) afspraken met Microsoft te maken, zo ze die niet allang heeft. Echter, deze mitigeren niet alle geadresseerde dreigingen/risico's.
Duitsland heeft gegronde angst dat haar toekomstige handelingssoevereiniteit beperkt wordt, daarnaast zijn ze (door ervaring wijzer geworden) uitermate huiverig voor het onnodig (centraal) verwerken van persoonsgegevens.
APPELS EN PEREN
Voordat iemand nu concludeert dat het gebruik van M365 dus ook in Nederland onwettig is: SLM Rijk heeft voor de Staat der Nederlanden een Rijksbrede Microsoft Business and Services Agreement afgesloten met aanvullende/andere voorwaarden en afspraken dan de OST en DPA van Microsoft waarop de DSK haar uitspraak baseert. Lees de factsheet Verwerkersovereenkomst tussen de Rijksoverheid en Microsoft op slmmicrosoftrijk.nl (https://slmmicrosoftrijk.nl/?smd_process_download=1&download_id=2662)
"In de praktijk is gebruik van Microsofts clouddiensten - net zoals dat van andere Amerikaanse leveranciers - diep doorgedrongen in de overheidssector, het bedrijfsleven, de onderwijswereld en de maatschappij. Verbieden en er van afstappen zou moeilijk, of zelfs praktisch onmogelijk zijn. Het is hoe dan ook een kostbare zaak."
Even een gedachten experiment. Vervang "Amerikaanse leveranciers" eens door "Chinese leveranciers", of "Russische leveranciers". Dit maakt (hopelijk) direct duidelijk hoe kwetsbaar we in Nederland en EU zijn.
We lijken nog steeds te denken dat dit met de Amerikanen een minder groot probleem is. Gezien de politieke ontwikkelingen in Amerika durf ik dit te betwijfelen. Kortom, we moeten door de zure appel heen bijten en deze "vendor lock-in" doorbreken.
Gelukkig zijn er al alternatieven op de markt, zoals bijvoorbeeld Libre Office in combinatie met Nextcloud. Die zijn weliswaar nog niet helemaal gelijk aan wat Microsoft, Apple of Google kunnen aanbieden, maar ja dat zijn ook de marktleiders met budgetten die niet in verhouding staan tot Libre Office of Nextcloud.
Laten we in NL & EU nu eindelijk eens de keuze maken voor Free, Libre, Open Source software, waarbij er geen vendor lock-in mogelijk is. En waarbij het nodeloos vergaren van data makkelijk uit de software gesloopt kan worden. Je zo ook prima (blijven) samenwerken met de Amerikanen, Russen of Chinezen.
Bijkomend voordeel: je bouwt in NL & EU ook aan je eigen digitale ecosysteem & economie in plaats van licentie gelden naar de VS te sturen of in dure DPIA's & juridische constructies te steken die uiteindelijke geen stand houden voor de rechter (Schrems I & II en in de toekomst wellicht ook III?)
SURf en het ministerie van Justitie en Veiligheid trokken eerder al een soortgelijke conclusie in hun DPIA: https://www.surf.nl/uitkomsten-van-data-protection-impact-assessment-dp…
Er is Microsoft alles aan gelegen om dit probleem op te lossen. De Europese markt, en dan met name overheid inclusief onderwijs zijn gewoon té belangrijk voor hen. Er gaan zelfs geruchten rond dat Microsoft van plan is om een dedicated Europese MS-dochter op te richten waarbij de data ín Europa staat (doet het nu al overigens) én blijft en de VS overheid er gewoon onmogelijk bij kan.
Je kunt maar twee dingen doen vanuit EU of wellicht per lidstaat van de EU:
- stimuleer of investeer in een EU cloud ecosysteem (Eurosoft)
- bouw letterlijk zelf datacenters in EU, maar dan ook gelijk OpenStack en streven naar zo min mogelijk propriety
Ik zou nu al gaan starten, er komt een tijd dat we dit echt niet meer willen.
Denkvraag: vertrouwen onze eigen "overheid" dan wel?
https://eerlijkdigitaalonderwijs.petities.nl/
zie de "kritische verklaring" specifiek voor het onderwijs: "Beim Einsatz von Microsoft 365 lassen sich hierbei auf Grundlage des „Datenschutznachtrags“ weiterhin Schwierigkeiten erwarten, da Microsoft nicht vollumfänglich offenlegt, welche Verarbeitungen im Einzelnen stattfinden. Zudem legt Microsoft weder vollständig dar, welche Verarbeitungen im Auftrag des Kunden noch welche zu eigenen Zwecken stattfinden. Die Vertragsunterlagen sind in der Hinsicht nicht präzise und erlauben im Ergebnis nicht abschließend bewertbare, ggf. sogar umfangreiche Verarbeitungen auch zu eigenen Zwecken.
Eine Verwendung personenbezogener Daten der Nutzenden (z.B. Mitarbeitenden oder
Schüler:innen) zu eigenen Zwecken des Anbieters schließt den Einsatz eines Auftragsverarbeiters im öffentlichen Bereich (insbesondere an Schulen) aus."
Dat Google en Apple geen telemetriedata voor verbetering van hun dienstverlening verzamelen is erg onwaarschijnlijk, dus er zullen nog voor wat meer "digitale leeromgevingen in de cloud" van dit soort uitspraken komen.