De Duitse regering heeft de resultaten bekendgemaakt van een strategisch marktonderzoek van PwC om de ‘afhankelijkheid van unieke softwareleveranciers’ in te dijken. Alternatieven om die afhankelijkheid af te bouwen, kunnen echter op weinig animo rekenen.
In het document van 34 pagina’s concluderen de onderzoekers van PwC dat vooral de greep van Microsoft op de Duitse overheid groot is. Niet alleen wordt de software van de reus uit Redmond op ongeveer alle overheidsniveaus ingezet, de programmatuur is onderling ook sterk verstrengeld (bijvoorbeeld Outlook, Exchange en Windows Server). PwC schat dat ongeveer 96 procent van het computerpark van de Duitse overheid met Office en Windows is uitgerust.
Daarmee gaat Duitsland in tegen zijn eigen strategische it-doelstellingen, menen de onderzoekers. Meer nog, zij zien Microsoft als een ‘bedreiging voor de Duitse digitale soevereiniteit’. Er komt ook meer en meer kritiek op het Duitse softwarebeleid, zoals afgelopen zomer nog, toen de regering besloot zijn contracten met Microsoft te verlengen tot 2022. Vorig jaar spendeerde de Duitse federale overheid zowat 73 miljoen euro aan Microsoft-licenties, zo schrijft ZDNet. Dat is 25 miljoen meer dan het voorziene budget. In dit bedrag zitten de uitgaven van de deelstaten niet bij.
Politieke agenda
Naast vragen over het kostenplaatje komt de kwestie ook steeds prominenter op de politieke agenda. Zo slaagt de Duitse DSK (Datenschutzkonferenz) er niet in om exact uit te vissen welke diagnostische data Microsoft precies verzamelt in Duitsland en doorstuurt naar zijn servers. Die DSK bestaat uit data protection officers van de overheid die moesten nagaan of Windows 10 wel aan alle overheidsregels voldoet.
Microsoft zelf reageert in de Duitse media door te stellen dat het bedrijf enkel de Duitse overheid wil steunen en de ‘dienstverlening voor burgers wil verbeteren’. Microsoft wijst er ook op dat zelfs in de PwC-studie ‘geen enkele realistisch’ alternatief naar voren wordt geschoven om Microsoft op korte termijn te vervangen.
PwC meent wel dat opensource-software een mogelijk alternatief kan bieden, maar plaatst daar meteen kanttekeningen bij. Er moeten dan realistische doelstellingen gezet worden, de acceptatie bij de gebruikers moet worden aangemoedigd en er moet voor gezorgd worden dat iedereen de nodige kennis heeft om deze programma’s ook te kunnen gebruiken. Er zal ook beroep moeten gedaan worden op de kennis van de opensource-gemeenschap om iedereen mee in bad te trekken. Alleen zo kan de digitale onafhankelijkheid van Microsoft kritieke massa krijgen.
München
PwC haalt ook een voorbeeld aan van hoe het niet moet: in het begin van deze eeuw besliste de stad München om op Linux en LibreOffice over te schakelen, zowel voor veiligheidsredenen als om geld te besparen. Voor sommige gebruikersgroepen was de migratie een succes, maar toch bleef ongeveer een op de drie Beierse ambtenaren met Microsoft-software werken. Dit leidde tot een tweesporenbeleid, waardoor de efficiëntie een duik nam en de kosten net stegen. In 2017 besliste München om terug op één systeem over te schakelen, dat van Microsoft.
@Rob, vorige week nog een W10-home geïnstalleerd op een HP laptop.
Dit gedaan m.b.v. een ISO die ik bij Microsoft heb opgehaald, en dus geen software “van derden” bevat.
Tijdens de installatie en daarna bij de configuratie heb ik alle opties die ik kon vinden uitgezet.
Hierna alle updates opgehaald en geïnstalleerd, waarna het dus niet meer nodig is, om data te versturen, of op te halen.
Nogmaals alle privacy opties gecontroleerd, maar die waren (nog?) niet veranderd.
Er blijft echter toch datacommunicatie lopen, zonder mijn toestemming en zonder dat ik weet wat er verzonden, of ontvangen wordt.
Let wel, het gaat om een kaal systeem, zonder extra software, dus de verantwoordelijke is Microsoft.
Kan het zijn, dat de blokkering in de home versie niet (volledig) werkt?
Hele leuke discussie over Microsoft. Tot zo’n 10-15 jaar geleden zou dit heel relevant zijn geweest, toen had Microsoft een monopolie. Alleen, die tijden zijn voorbij. Wat er op de client (PC, Mac, Android, iPhone, iPad, ChromeOS, …) staat boeit niet zoveel. Ja, we hebben nog lokaal geïnstalleerde besturingssystemen en software, maar het gaat niet meer om wat we geïnstalleerd hebben. Het gaat om wat we doen. En wat we doen, gebeurt voor 99% online.
Wat we online doen, op het internet, in de cloud, wordt gedomineerd door Google. Je kunt zoeken met DuckDuckGo of Bing, navigeren met TomTom of Apple, je software draaien in AWS of Azure, surfen met Firefox of Safari, dan nog registreert Google jouw IP adres (plus nog veel meer info) vele keren per dag door Google Ads of vele andere Google diensten die diep verweven in allerlei sites zitten.
Duitsland is 15 jaar te laat met hun “Microsoft onafhankelijkheidsverklaring”. Misschien moeten ze proberen om wat minder afhankelijk te worden van Google?
Van Microsoft afstappen is simpel: gebruik Linux en LibreOffice. Het is een keuze, meer niet.
Van Google afstappen is onmogelijk.
Rob,
De AVG stelt dat organisaties passende technische en organisatorische maatregelen moeten nemen om het lekken van gevoelige persoonsgegevens te voorkomen. Advies om Windows 10 Enterprise vanaf versie 1903 te gebruiken is naar mijn mening één van de passende technische maatregelen waarover de AVG het heeft. En ik denk dat Ron het wel weet, de home & pro versies van Windows 10 zijn niet bedoeld voor serieus zakelijk gebruik. Verder gaat het up-to-date houden van platformen om passende organisatorische maatregelen en er liggen m.i. dan ook kansen in het patchmanagement.
Zinnetje in EULA over het verbeteren van de dienstverlening op basis van telemetrie gaat dus om het leveren van snellere paarden als dat de vraag is, denken het verschil te kunnen maken met features van Windows waar klanten geen behoefte aan hebben is precies de waarde van AIOPS want het verkopen van aspirine is het meest succesvol als er sprake is van hoofdpijn.
Het belangrijkste is in mijn ogen dat je door AVG en eerdere regulering ook genoodzaakt bent aan document life cycle/records-management e.d. te doen. Tenzij alles wat gevoelig naar een document management systeem gaat of is gegaan (en je als netwerkbeheerder regulier desktop gebruik nagenoeg geheel hebt uitgesloten) heb je FSRM nodig om een gebruiker bijvoorbeeld niet zomaar een gevoelig document als aanhangsel in een e-mail te laten versturen.
Rob,
Volgens de definitie van NIST is Persoonlijk Identificeerbare Informatie (PII) alle informatie over een persoon die door een organisatie wordt onderhouden, waaronder (1) informatie die kan worden gebruikt om de identiteit van een persoon te onderscheiden of te achterhalen, zoals naam, burgerservicenummer, geboortedatum, -plaats of allerlei biometrische gegevens en (2) informatie die aan een persoon is gekoppeld of kan worden gekoppeld zoals bijvoorbeeld medische, educatieve, financiële en werkgelegenheidsinformatie.
Betreffende de discussie over de telemetrie gaat het vooral om informatie (2) die aan de persoon is gekoppeld of kan worden gekoppeld. Profileren gaat om de puntjes met elkaar te verbinden waarna je het plaatje kleurt en het verhaaltje afmaakt op basis van het patroon dat je hieruit verkrijgt. Aangaande Tipp-ex mogelijkheid van art. 17 EU-AVG zit het probleem in de onwetendheid van dataverzamelingen en is wetswijzing voor de dataretentie telecomgegevens naar opdracht van Europese hof hierdoor één van de controversiële onderwerpen.
Nieuwe wetgeving, zoals AVG heeft er voor gezorgd dat er bijzondere aandacht voor de term dataretentie is omdat onder bewaren ook het bijbehorende beleid valt en de procedures om data op te slaan. Bij het ontwerp van nieuwe ict-systemen dient dan ook rekening gehouden te worden met het ad-hoc oproepen, wijzigen en verwijderen van de data. Dit naar aanleiding van het recht op inzage, correctie en verwijdering van met name dus de informatie die gekoppeld is aan een persoon. En misschien probeer je een legacy systeem te verkopen als ik overweeg dat opslag meer is dan een online filesysteem.
Ewoud, heipalen slaan is in jouw ogen wellicht ook een ‘legacy’-systeem. Dat heb je nu eenmaal met goede en solide fundamenten. Ieder goed opgezet project wordt erop gebaseerd. Voor gestructureerde data is voldoen aan de AVG iets minder moeilijk. Als je je ongestructureerde data (documenten) ook aan wilt ad-hoc oproepen, wijzigingen, verwijderingen, inzage-, correctie-, en verwijderingsrecht enz in aanmerking wilt laten komen, moet je workflow ten behoeve van onderhoud/aanmaak metadata/document-properties e.d. kunnen uitoefenen. Het Windows platform levert hier zeer hoogwaardige, ingebedde functionaliteit voor.
Allerlei aan de overheid gelieerde instanties en organen zijn met de meest pietluttige zaken bezig, maar geen hond evangeliseert dit soort standaard aanwezige functionaliteit. Hiermee zouden ze ‘opdrachtgevers’ binnen de overheid volgens mij nou juist een goede dienst kunnen bewijzen. Dat geneuzel dat via het mac-adres in diagnostische data toch weer een tijdelijk intern IP-adres via een Exchange-PID waarmee onder bepaalde voorwaarden en omstandigheden het mac-adres geassocieerd kan worden met een email-adres (en daarmee een persoon) gaat in mijn ogen helemaal nergens over. Doe dat s.v.p. als je ooit enigerlei rol in iets belangrijker zaken hebt gespeeld, zou ik ze willen aanbevelen.
Rob,
Wederom NEE, jij hebt het niet over heipalen maar piketpaaltjes want de basis van je oplossing is namelijk niet zo stevig als je denkt. Zo werkt FSRM/FCI alleen met NTFS en Microsoft lijkt steeds meer in te zetten op ReFS als onderliggend fundament. En verder is ook je opmerking over voldoen aan AVG met gestructureerde data onjuist als de processen niet ingericht zijn op inzage, correctie en verwijdering. Controversiële dossier aangaande de aanpassing wet telecomgegevens is linea recta terug te leiden op de telemetrie problematiek van Windows 10 wat om gestructureerde data zonder inzage gaat.
Het koppelen van mac-adress aan Exchange PID gaat om het zoeken naar memo’s van Opstelten over beïnvloeding in het proces van Wilders, het bonnetje van Teeven werd op dezelfde manier gevonden. Je hebt dus de discussie niet begrepen en de rapporten niet gelezen want het koppelen van de persoon aan het residu van een proces in de vorm van data gaat om digitaal rechercheren. Dat het in jouw ogen nergens om gaat is enkel een mening, ik heb echter een andere mening op basis van kennis. En vanuit die optiek ben ik heel benieuwd naar je rol in belangrijkere zaken, je suggereert namelijk iets.
Ewout, documenten zitten het best op (virtuele) partities van virtuele machines. Zeker als er nog lifecycle managent op zit en nog niet gearchiveerd zijn. Zal tot nog lengte van jaren NTFS blijven. Uiteindelijk zal ReFS wel een keer alles ondersteunen maar zeer waarschijnlijk gebaseerd op weer nieuwere concepten. Geen enkele reden voor overheden om geen rights managent en workflow van je belangrijkste document storage platform niet in te zetten.
Deze discussie eindigt helaas een beetje met technisch geneuzel (wel interessant op zich, hoor!) over NTFS en ReFS en rechten op bestandsniveau van een op propriety technologie gebaseerd Windows platform dat met Azure, O365 e.d. nu geloof ik als “digitaal ecosysteem” Windows365 wordt genoemd door de fabrikant. De vendor lock-in breidt zich nu dus weer verder uit en een AVG/GDPR compliant werkplek wordt steeds onwaarschijnlijker in de praktijk. Die vendor lock-in en alles wat dat aan onnodige of juist noodzakelijke kosten en risico’s met zich meebrengt was m.i. ook een beetje de strekking van dit artikel over de Duitse overheid en de afhankelijkheid van Microsoft.
Het enige dat SLM-Rijk in Nederland tot nu bereikt heeft bij Microsoft is dat er voor 2 producten nu “slechts 5” wezenlijke bezwaren over zijn waar verder over onderhandeld wordt en vooral voor naar Europa wordt verwezen om echt goed te regelen. Voor onze minister voldoende om de Tweede Kamer te informeren dat de rijksambtenaren door kunnen gaan met (tientallen miljoenen per jaar uitgeven aan licenties voor) Office365 en Windows, maar zonder de extra services (zoals Teams) of mobiele apps te gebruiken, terwijl nu juist mobiel/plaatsonafhankelijk kunnen werken (een snel groter wordende) realiteit en belofte is. Ook voor ambtenaren en nodig nu de werkgever nog maar voor maximaal 70% van de werknemers (of FTE??) een werkplekken inricht (dat bezuinigt dan weer lekker). Maar in praktijk en in toenemende mate is een dergelijke publieke cloud oplossing onveilig en overstappen naar de Google cloud of andere Amerikaanse techgigant lost de problemen ook niet op.
Die problemen betreffen ook echt niet alleen privacy gevoelige gegevens van ambtenaren voor wie het onmogelijk wordt een bewaartermijn van in te zien, laat staan te wijzigen als werkgever en eigenaar van de data. Er stromen ook contentfragmenten van staatsgeheimen economisch gevoelige gegevens en hun metadata (alleen al in namen van mappen, aantal en omvang van de inhoud, etc. kun je mooi zien waar wie wanneer en waarmee mee bezig is) ongecontroleerd naar servers van Microsoft en de NSA en andere US-overheidsdiensten kunnen er vanwege “national security” bij, zonder dat dit openbaar gemaakt mag worden. De Duitse (en Nederlandse en Europese) digitale soevereiniteit wordt wel degelijk bedreigt. Dat je na 30 jaar nog een revisie van een document dat ergens in een backup staat en je toevallig dan met NTFS als filesysteem terugzet (meestal worden de beveiligingsattributen juist uitgezet bij restoren vanwege alle ellende die het dan oplevert) aan een persoon kunt koppelen en zo beter aan de transparantie-eisen van de NORA voldoet (herleiding tot persoon) is compliancy van een andere orde. Wat Rob hierboven noemt: transparency, governance en data-leakage en denkt dat AVG-compliancy zich beperkt tot document life cycle en records-management en Ewout toch wat breder ziet, gelukkig. Security & Privacy by design is ook zo’n eis in de AVG (voor nieuwe dataverwerkende systemen), naast subsidiariteit. Hoe los je dat op in een propriety ecosysteem waar juist onnodige (en daarmee ook meestal onveilige) toeters en bellen verkopen, die zijn gekoppeld aan extra licenties, de norm is? En telemetriedata niet alleen gebruikt wordt om “het product veiliger en beter te naken”, maar ook om ervoor te zorgen dat gebruikers niet zullen overstappen naar concurrerende producten.
@Fred, Ik denk niet dat compliancy zich beperkt tot life cycle- en records-management. Ik vind het alleen belangrijk om ook te kijken wat een platform voor je kan betekenen inzake AVG-compliance alvorens het eventueel af te wijzen vanwege vermoedens inzake wat het zelf aan compliance-problematiek toevoegt. Van een eventueel alternatief platform kan ik beide aspecten niet beoordelen maar heb wel zo mijn vermoedens. Mijn aanbeveling is dan ook om het Windows platform eerst maar eens optimaal in te (leren) inzetten voor wat betreft het eerste aspect. Je bent bij partijen als belastingdienst, UWV e.d. met de grote problematiek bezig en niet meer met wat daarmee vergeleken geneuzel in de marge is.