Bij deze een kopie van een stuk uit de discussie onder Freedom leden in de Element-groep
Naar aanleiding van het artikel op NOS.nl
Deel uit Element discussie door forumleden
Reactie Forumlid
PO-raad:
“Dit zorgt voor een potentieel risico in de toekomst”
Dus dat geldt ook voor het nu, mogen we dan aannemen
Grapperhaus:
“Voorlopig zullen rijksambtenaren geen gebruikmaken van Google Workspace” [Te onveilig voor ambtenaren]
Nu dus ook voor Onderwijs, zeker onveilig voor kinderen die risico zelf al niet eens kennen
"Ook de producten van Microsoft werden onder de loep genomen, maar daarvoor zijn geen grote risico’s “mits de gebruiker een aantal maatregelen neemt” "
Verwezen wordt naar Kennisnet.nl pdf met aanbevelingen
“Zet de telemetrieverzameling in de mobiele Office apps op het laagste niveau”
“Gebruik als beheerder regelmatig de Data Viewer Tool om de telemetrie te bekijken die vanuit de mobiele Office-apps wordt verzonden”
In de praktijk? en dan?
“Informeer werknemers en leerlingen over hun recht op inzage van de diagnostischegegevens die Microsoft verzamelt via de DSR en de audit logbestanden.”
Daar doen de leerlingen niets mee: “als de meester/juf het zegt zal het wel goed zijn”. Ze krijgen Media-Wijsheid als leeronderdeel, maar je eigen privacy bewaken in je eigen leeromgeving maakt daar geen deel vanuit.
"Overweeg gebruik van Customer Lockbox en Customer Key, afhankelijk van degevoeligheid van de inhoudelijke gegevens.3 | "
Is dus niet standaard, kost geld, dus wordt niet doorgevoerd?
De aanbevelingen nadat Microsoft de gevraagde wijzigigen heeft doorgestuurd is WISHFUL THINKING
“Ook de Microsoft-leveranciers voor het primair en voortgezet onderwijshebben hun klanten in juli 2020 een handleiding gestuurd waarin wordt uitgelegd hoe een aantal van de bovenstaande technische maatregelen kunnen worden uitgevoerd”
“Let op bij geïntegreerde apps! Geïntegreerde apps (bijvoorbeeld in Teams) zijn meestal producten van een andere leverancier en vallen niet onder de Microsoftvoorwaarden. Controleer dus goed de voorwaarden van de betreffende app en leverancier voordat je met een dergelijke appgaat werken”
Kijk, daar gaat het dus direct fout: Microsoft heeft een overeenkomst met de school. Als ouders heb je een overeenkomst met de school.
Wanneer school echter afspraken en contracten maakt met ‘onderaannemers’ (derden dus zoals uitgeverijen, Zoom/Teams, etc. - als er al afspraken zijn -) die invloed hebben op het gebruik (en dus dataverzameling) die nooit onderdeel zijn geweest van het originele contract dan ontstaat een (potentieel) web van onderliggende privacy-schendende situaties die ook nog eens terug kunnen vloeien naar Microsoft omdat zij gelinkt zijn
Reactie Forumlid
Als ik de aanbevelingen volg dan gaat het al fout bij de eerste aanbeveling: Stel telemetrie in op het laagste niveau of zet het ui…, dat kan helemaal niet, er zal dus data gelekt gaan worden in de vorm zoals microsoft dat wil zonder zicht op welke data dat is. (Dat kunnen ook inhoudelijke documenten zijn).
De tweede gaat ook uit van centraal beheerde apparaten. Maar de systemen worden ook buiten de school gebruikt…
Office ProPlus is niet de “gratis” versie, de adoptie zal niet heel hoog zijn vrees ik. Als telemetrie serieus geblokeerd wordt zal een upgrade ook lastig worden.
Reactie Forumlid
"er zal dus data gelekt gaan worden in de vorm zoals microsoft dat wil zonder zicht op welke data dat is. "
Met als gevolg dat de doelgroep kinderen en jongeren - ook buiten schooltijd - een (micro)target op hun rug hebben zonder dat zij of hun ouders dat beseffen.
Ideaal voor de entertainment-, voedingsmiddelen- en mediasector. Daar waar men voorheen nauwelijks meetbare miljoenen moest besteden aan TV-reclames en winkelreclames kan men nu op de cent nauwkeurig adverteren op hun mobiele devices en dat alles achter de rug van de ouders om.
Door de gekozen ‘lesmethode’ van de scholen kan zij zelfs bijdragen aan ongewenste beinvloeding van de kinderen en bijbehorend gedrag, iets dat ongetwijfeld niet wordt meegenomen/besproken wanneer het aankomt op de ethiek en normen bij het selecteren van leveranciers voor het Onderwijs.
Reactie Forumlid
Google’s respons op de DPIA: Onze aandacht voor de privacy en veiligheid van klantgegevens in Google Workspace
De lange en verwarrende response van Google maakt duidelijk dat er in de kern en probleem is. Google kan ook eenvoudig aangeven dat klantgegevens nooit gebruikt worden met uitzondering voor het leveren van de dienst en dat die klantgegevens onmiddellijk gewist worden zodra die niet meer nodig zijn.
Reactie Forumlid
mmmm…zou toeval kunnen zijn dat Teams voor het Onderwijs nu E2EE gaat aanbieden
grote kans dat dit op de plank lag en nu versneld gaat komen.
De API die op de plank ligt om alle berichtjes uit te lezen zullen ze niet zo aankondigen of gewoon intern houden.
Reactie Forumlid
De Microsoft omgeving heeft meer probplemen, er is een richtlijn voor veilig gebruik nav. een soortgelijke DPIA… Dan moet je alleen telemetrie even uitzetten of blokkeren, Office 365Pro gebruiken in een bepaalde versie met bepaalde instellingen… Kortom dat zie ik ook niet snel gebeuren.
Het kost slechts USD 440,-- / PC.
Reactie Forumlid
Dan moet je alleen telemetrie even uitzetten of blokkeren
En dan ben je ervan gegarandeerd dat er niets wordt doorgegeven?
Uit de Double Key (DKE) encryption richtlijnen blijkt al hoe MS daarmee omgaat.
7. "Zet de telemetrie-verzameling voor Windows uit. Configureer de telemetrieverzameling bij Office 365 op het laagste niveau ‘Required’ en beoordeel of de gedocumenteerde telemetrieverzameling acceptabel is. Als een overheidsorganisatie twijfelt of de contractuele waarborgen van Microsoft over het gebruik van die we services in het privacy-amendement van Rijk voldoende garantie bieden, schakel de Connected Experiences dan volledig uit.
Reactie Forumlid
Punt is: privacy zou de basis moeten zijn! Niet zodat gebruikers alles op allerlei obscure manieren moeten instellen en controleren. En ook periodiek nakijken. Dat kan de standaard niet zijn.
Reactie Forumlid
Voor zover ik weet kunnen prive personen de telemetrie niet uitzetten.
En is dat zelfs niet volledig mogelijk in gemanagede AD omgevingen met policies. Je kan natuurlijk wel al het verkeer naar Microsoft Servers blokkeren in een firewall, maar dat zie ik mensen thuis nog niet doen.
(Het zou ook Windows Update etc. lam leggen).
Het is dus een wassen neus.
Dat is wat ik bedoelde met m’n eerdere opmerkingen, Ik vrees alleen dat het advies anders gelezen wordt… Meer in de context Google mag niet en Microsoft onder voorwaarden wel… laten we naar microsoft gaan gebruiken.
Reactie Forumlid
Wanneer Microsoft ‘wel mag’ vraag ik me af wanneer Microsoft haar ‘Kennis Management Systeem’ pakket Viva gaat integreren, daarmee direct invloed heeft op het aanbod van nieuws dat als een funnel de leerlingen bereikt doordat er voor hen wordt geselecteerd.