fbpx

DPIA Microsoft Teams, OneDrive en SharePoint Online én de mitigerende maatregelen

SLM Rijk heeft een Data Protection Impact Assessement  (DPIA) laten uitvoeren op de gegevensverwerking via Microsoft Teams, OneDrive en SharePoint Online. Denk hierbij aan Microsoft Teams (samenwerken en videobellen) in combinatie met OneDrive (cloudopslag) en SharePoint (documentenbeheer). Uit deze DPIA is gebleken dat er één hoog privacyrisico en zes lage privacyrisicos bestaan voor de verwerking van persoonsgegevens bij het gebruik deze diensten. Organisaties kunnen mitigerende maatregelen nemen om deze risico’s te beperken.

Hoog risico Microsoft Teams, OneDrive en SharePoint Online

Het hoge risico gaat over de verwerking van zeer gevoelige en bijzondere persoonsgegevens via Microsoft Teams, OneDrive en SharePoint Online. Dit vanwege de mogelijke toegang door opsporings- en inlichtingendiensten in de Verenigde Staten. Via de Amerikaanse wetgeving kan er toegang tot gevoelige en bijzondere persoonsgegevens gevorderd worden, omdat Microsoft een Amerikaans bedrijf is.

Welke mitigerende maatregelen kunnen organisaties nemen tegen dit hoge risico?

  • Wissel geen gevoelige en bijzondere persoonsgegevens uit via Teams-gesprekken die niet en-to-end versleuteld zijn.
  • Het gebruik van Double Key Encryption wordt aangeraden voor bestanden met gevoelige of bijzondere persoonsgegevens die zijn opgeslagen in OneDrive/SharePoint, opnamen van Teams-gesprekken.
  • Maak gebruik van Customer Lockbox om andere opgeslagen persoonsgegevens te beschermen.
  • Schakel E2EE standaard in voor een-op-een gesprekken in Teams en instrueer eindgebruikers om ook zelf E2EE in te schakelen.
  • Maak privacybeleid voor Teams en OneDrive voor interne en gastgebruikers. Stel regels op voor het delen van bestanden en beeldmateriaal. Informeer medewerkers en gastgebruikers goed en laat ze deze regels accepteren door middel van de voorwaarden die door Azure AD worden opgelegd.

Lage privacyrisico’s Microsoft Teams, OneDrive en SharePoint Online

In de onderstaande tabel staan zes lage privacyrisico’s die zijn geïdentificeerd én de mitigerende maatregelen die worden geadviseerd op basis van de uitkomsten van de DPIA.

Lage privacyrisico’sMitigerende maatregelen
Structurele doorgifte van telemetriegegevens naar de VS (tot december 2022).Microsoft bezig is met de ontwikkeling van de EU Data Boundar. Advies is om tot die tijd het tijdelijke risico van de doorgifte van deze pseudoniem gegevens te accepteren.
Mogelijke toegang vanuit de VS tot auditlogbestanden en accountgegevens in de Azure AD en telemetriegegevens die nu al, of na 2022, in de EU worden verwerkt en opgeslagen.Advies is om het risico van toegang tot namen en e-mailadressen in de Azure AD te accepteren of het gebruik van pseudoniemen in de Azure AD te overwegen.
Incidentele doorgifte van pseudonieme gegevens aan de VS voor security doeleinden.Maak geen gebruik van SMS voor authenticatie om de doorgifte van niet-versleutelde mobiele telefoonnummers naar derde landen te voorkomen. Gebruik in plaats daarvan de Authenticator app of een hardware token.

Maak gebruik van pseudoniemen wanneer de Azure AD wordt gebruikt voor Single Sign On met externe leveranciers voor medewerkers wiens functie/werkidentiteit vertrouwelijk moet blijven.

Het advies is om bij het gebruik van OneDrive en SharePoint beleidsregels op te stellen om te voorkomen dat bestandsnamen en bestandspaden persoonsgegevens bevatten.
Voortdurende incidentele doorgifte van gebruikersnamen, e-mailadressen, padnamen op OneDrive naar de VS.Overweeg het gebruik van pseudonieme accounts voor medewerkers van wie de functie/werkidentiteit vertrouwelijk moet blijven.

Het advies is om bij het gebruik van OneDrive en SharePoint beleidsregels op te stellen om te voorkomen dat bestandsnamen en -paden persoonsgegevens bevatten.
Gebrek aan transparantie telemetriegegevens.Maak regelmatig gebruik van de Data Viewer Tool (indien beschikbaar) om de resultaten met de openbare documentatie van Microsoft te vergelijken.

Maak gebruik van de Microsofts inzagetool voor beheerders om toegang te krijgen tot Diagnostische gegevens. Vergelijk deze gegevens met een incidentele analyse van het netwerkverkeer.

Informeer medewerkers over hun toegangsmogelijkheden via het hulpprogramma Data Viewer of door een DSAR in te dienen bij de admin van de organisatie.
Beperkingen op het recht van inzage voor betrokkenen in de Required Service Data.Er wordt geadviseerd om Microsofts DSAR-tool te gebruiken om toegang te krijgen tot de Diagnostische Gegevens. Ook is het raadzaam om die af en toe te vergelijken met een analyse van het netwerkverkeer.

Ondersteun een specifieke audit door SLM Rijk op Microsoft's verzameling en gebruik van de Required Service Data.
Gebrek aan controle op verstrekking van persoonsgegevens aan Microsoft en andere derde partijen.Aanvullende Optionele Verbonden Ervaringen uitschakelen.

De toegang tot apps van derde partijen in de Teams appstore uitschakelen.
Spreek met eindgebruikers af om geen gebruik te maken van Bing zoekopdrachten voor afbeeldingen in SharePoint Online (totdat functionaliteit is verwijderd).
Personeelsvolgsysteem: chilling effectDe functionaliteit Teams Analytics & rapporten uitschakelen.

Maak gebruik van pseudonimisering.

Schakel Viva Insights niet in.

Voer een DPIA uit voorafgaand aan het gebruik van deze analytische tools, zeker in combinatie met andere Microsoft Windows & Office analytische diensten.

Stel beleidsregels op om te voorkomen dat Teams Analytics & reports wordt gebruikt als tool om medewerkers te monitoren.

Implementatieadvies

Om organisaties te helpen, geeft het team Strategisch Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services Rij, aanvullend op de adviezen in de DPIA, de volgende implementatieadviezen:

  1. Gebruik een pop-up met spelregels die nieuwe of externe deelnemers moeten accepteren, over de omgang met bijzondere persoonsgegevens. Bijvoorbeeld: deel geen bijzondere persoonsgegevens in de chat en bestanden. Zo’n pop-up kan getoond worden via de Azure AD. Dat is de laatste tip bij het hoge risico in de DPIA.
  2. Informeer deelnemers voor de meeting (tenzij het absoluut nodig is dat deelnemers in beeld zijn) op de mogelijkheid om hun camera uit te zetten als zij het vervelend vinden om zichtbaar in beeld te komen.
  3. Maak beleid over cloudopnames van vergaderingen en bepaal een bewaartermijn. Hoe korter de bewaartermijn, hoe kleiner de kans dat gegevens kunnen worden opgevraagd door Amerikaanse opsporings- en inlichtingendiensten. Microsoft schrijft op https://docs.microsoft.com/en-us/microsoftteams/cloud-recording dat het volgens haar klanten bijna nooit gebeurt dat opnames ouder dan 60 dagen worden teruggekeken.
  4. Neem bij een opname niet de galerij met deelnemers en de chats op.

 

Bronnen

Rijksoverheid

Ministerie van Justitie en Veiligheid