Voor het laatst geüpdatet: 8 april 2022. De laatste update is onderaan dit artikel te vinden.
In opdracht van het Ministerie van Justitie en Veiligheid (Ministere J&V) is er onder verantwoordelijkheid van SLM RIJK een Data Protection Impact Assessment (DPIA) uitgevoerd naar de privacyrisico’s van Microsoft Teams, OneDrive en SharePoint. Hier treft u de samenvatting van de DPIA aan. Mocht u online (dus niet lokaal) gebruik maken van de applicaties Teams, OneDrive en/of SharePoint dan is deze DPIA relevant voor uw organisatie. In dit artikel informeren wij u hierover verder en zetten we de maatregelen en stappen op een rijtje die u dient te nemen.
Wat blijkt uit de DPIA?
In de DPIA is het gegevensverkeer onderzocht van Teams, OneDrive en SharePoint vanuit geïnstalleerde applicaties op de meest gebruikte besturingssystemen, waaronder Windows en iOS. Deze DPIA is tweeledig: enerzijds ziet de DPIA op de risico’s van het verwerken van bijzondere/gevoelige persoonsgegevens via de applicaties, anderzijds ziet de DPIA op de risico’s van het verzamelen van diagnostische gegevens door Microsoft. Diagnostische gegevens zijn gegevens over het individuele gebruik van de applicaties. Voor beide verwerkingen zijn uit de DPIA privacyrisico’s naar voren gekomen.
Gevoelige en bijzondere gegevens: een hoog privacyrisico
De programma’s Teams, OneDrive en SharePoint kennen een hoog privacyrisico in het kader van opslag en uitwisseling van gevoelige en bijzondere persoonsgegevens van gebruikers. Het gaat dus niet om verwerking van gevoelige/bijzondere persoonsgegevens, zoals geloofs- of gezondheidsgegevens die via Teams in beeld komen (en dus zichtbaar zijn) als deze niet gebruikt worden om onderscheid te maken naar bijzondere kenmerken. Dan is er namelijk geen sprake van bijzondere persoonsgegevens.
Microsoft is een Amerikaans bedrijf, wat betekent dat zelfs wanneer gegevens binnen Europa worden verwerkt, toegang tot de gegevens van gebruikers kan worden gevorderd door Amerikaanse opsporings- en inlichtingendiensten op grond van Europese regelgeving. Het is namelijk problematisch dat Microsoft zelf gegevens versleutelt en ze opslaat in de programma’s en tegelijkertijd als sleutelhouder toegang heeft tot de gegevens.
Vanuit de AVG zijn verwerkingsverantwoordelijken verplicht om de controle te behouden over de gegevens die zij verwerken. Europese organisaties sluiten hierover verwerkersovereenkomsten met diensten die gegevens voor hun verwerken. Vanuit de Europese wetgeving mag een dergelijke dienst (als Microsoft) dus niet zomaar bepalen dat een derde (als de Amerikaanse inlichtingendienst) gegevens ontvangt. Wanneer dat wel gebeurt, bestaat er onvoldoende rechtsbescherming voor de betrokkene. Dat Microsoft op basis van de Amerikaanse wetgeving opereert, vormt daarmee een hoog privacyrisico wanneer organisaties via Microsoft bijzondere of gevoelige gegevens verwerken.
Voor de programma’s OneDrive en SharePoint heeft Microsoft ondertussen end-to-end encryptie (E2EE) voor het opslaan van veelvoorkomende bestandssoorten. Dit voorkomt dat een derde, mochten deze gegevens in handen van een derde komen, de gegevens kan inzien. Microsoft biedt dit daarnaast ook aan voor gegevens in ongeplande videogesprekken via Teams. Voor geplande gesprekken is vanuit Microsoft op dit moment nog geen beveiliging beschikbaar. Dit betekent dat organisaties in die situaties geen gevoelige of bijzondere persoonsgegevens zouden moeten delen via Teams.
Een oplossing die organisaties zelf kunnen nemen, om bijzondere of gevoelige persoonsgegevens via de applicaties toch veilig te kunnen versturen, is het zelf versleutelen van de gegevens. Hierbij is van groot belang dat niet de beveiliging van Microsoft wordt gebruikt: deze sleutels worden immers ook opgevraagd door de Amerikaanse inlichtingendienst. Wanneer een eigen, unieke sleutel gebruikt wordt die enkel de organisatie zelf kan ontcijferen, kunnen de gegevens niet worden ingezien door een derde en houdt de verwerkingsverantwoordelijke dus de controle over haar eigen gegevens. Op deze manier kunnen bijzondere of gevoelige gegevens veilig verstuurd worden via de applicaties van Microsoft.
Diagnostische gegevens: zes lage privacyrisico’s
Wat betreft het verzamelen van diagnostische gegevens over gebruikers door Microsoft zijn zes risico’s uit de DPIA voortgevloeid. Microsoft heeft deze risico’s reeds gemitigeerd. Om de overgebleven risico’s zo laag mogelijk te maken dienen organisaties een aantal maatregelen te nemen. Deze maatregelen hebben wij hieronder voor u op een rijtje gezet.
Hier kunt u meer lezen over de risico’s.
Advies Lumen Group rondom het gebruik van Teams, OneDrive en SharePoint
Hoewel de DPIA is verricht vanuit de Rijksoverheid en onderwijsbranche, is dit net zo relevant voor organisaties in andere sectoren. Wij kunnen ons voorstellen dat deze handelingen veel werk kunnen zijn voor uw organisatie. Om u hierbij zo goed mogelijk te begeleiden, informeren en adviseren wij u in dit bericht over de te nemen handelingen ten aanzien van Teams, SharePoint en OneDrive. Dit hebben wij hieronder nader uitgewerkt.
A. Breng de interne situatie in beeld
Wanneer u als organisatie gebruik maakt van Microsoft Teams, OneDrive en/of Sharepoint, breng dan eerst goed in kaart op welke manier deze applicaties gebruikt worden. Welke bijzondere en/of gevoelige gegevens worden door mijn organisatie verwerkt? Is dit noodzakelijk? Kunnen we dit vermijden? En zo niet, door wie worden deze gegevens verwerkt? Maken deze personen gebruik van (een van) de applicaties? Alleen voor die personen en in die situatie(s) hoeven extra maatregelen genomen te worden om de risico’s zo veel mogelijk te beheersen.
B. Neem maatregelen om de risico’s te beheersen
Aanbevolen wordt om de volgende maatregelen door te voeren:
- Gebruik E2EE in Teams voor één-op-één gesprekken;
- Schakel E2EE in voor alle vergaderingen zodra dit mogelijk is gemaakt door Microsoft;
- Stel spelregels op voor het delen van en de omgang met persoonsgegevens in Teams en OneDrive die gebruikers moeten accepteren;
- Stel beleid op met betrekking tot het opnemen van vergaderingen in Teams en bewaartermijnen van opnames (neem bij een opname niet de galerij en chat op);
- Gebruik Microsoft Double Key Encryption voor de opslag van bestanden met zeer gevoelige of bijzondere persoonsgegevens in OneDrive of SharePoint (Voor opnames van Teams gesprekken kan dit niet, tenzij de opnames op een eigen lokale server zijn gemaakt);
- Gebruik Customer Lockbox voor andere opgeslagen persoonsgegevens;
- Denk na over het gebruik van pseudoniemen voor werknemers waarvan de identiteit vertrouwelijk is, ook bij gebruik van de Azure AD als Single Sign On naar diensten van andere bedrijven;
- Gebruik een Authenticator-app of een hardware token voor de overdracht van onversleutelde mobiele telefoonnummers;
- Schakel de Additional Optional Connected Experiences uit in Office365;
- Verbiedt toegang tot applicaties van derde partijen in de app-winkel in Teams;
- Zet de telemetrieverzameling in de geïnstalleerde applicaties op het laagste niveau;
- Zet de telemetrieverzameling in Windows op het laagste ‘security’ niveau;
- Waarschuw eindgebruikers om het komende half jaar geen plaatjes in te voegen in SharePoint via de ingebouwde zoekmachine Bing;
- Maak geen gebruik van de nieuwe analytische dienst Teams Analytics & Reports en kies in ieder geval voor pseudonieme weergave;
- Stel beleid op om te voorkomen dat de analytische diensten van Microsoft’s worden gebruikt als personeelsvolgsysteem;
- Stel beleid op met betrekking tot bewaartermijnen en verwijder verouderde gegevens om de risico’s van toegang vanuit de V.S. te beperken;
- Stel beleid op om te voorkomen dat bestandsnamen en -paden persoonsgegevens bevatten;
- Informeer medewerkers over de inzagemogelijkheden via de Data Viewer tool;
- Gebruik Microsoft’s Data Viewer tool zelf ook voor inzage in de diagnostische gegevens en vergelijk de uitkomsten met een eigen analyse van het uitgaande netwerkverkeer uit een test-omgeving.
Inmiddels heeft SIVON (onderwijsbranchevereniging) voor de onderwijssector hiervoor een handleiding opgesteld. Deze is ook bruikbaar voor organisaties in andere sectoren dan het onderwijs.
C. Neem zo spoedig mogelijk een bestuursbesluit
Neem zo spoedig mogelijk een bestuursbesluit ten aanzien van het gebruik van Teams, OneDrive en SharePoint, waarin de risico’s worden afgewogen en u aangeeft hoe uw organisatie hiermee omgaat. Neem hier alle belangen in op die u meeweegt bij het besluit, zodat u goed gemotiveerd kunt aangeven.
D. Informeer de betrokkenen
Verder raden wij aan om de betrokkenen te informeren rondom het gebruik van Teams, OneDrive en SharePoint en uw keuzes daarin. Enerzijds zodat u transparant bent en verantwoording aflegt over uw keuzes rondom Teams, OneDrive en SharePoint, maar anderzijds ook om onduidelijkheden en vragen vanuit interne en/of externe stakeholders/betrokkenen te voorkomen.
E. Houd de ontwikkelingen in de gaten
Tot slot raden wij aan om de ontwikkelingen rondom de DPIA van Teams, OneDrive en SharePoint en de uitkomsten van bijbehorende onderhandelingen in de gaten te houden. Dit zodat u snel kunt schakelen indien dat nodig is. Lumen Group zal verdere ontwikkelingen rondom dit traject ook nauw volgen en hierover berichten indien dit noodzakelijk is. Verder willen wij uiteraard met u meedenken, ondersteunen en adviseren, indien dit gewenst is.
Voorbehoud
Het is tenslotte nog onzeker hoe de risico’s door de nationale privacyautoriteiten beoordeeld zullen worden in hun onderzoek naar het gebruik van clouddiensten. Afhankelijk hiervan volgt advies over het al dan niet gebruiken van diensten van Amerikaanse provider.
UPDATE D.D. 08-04-2022 – SIVON: veelgestelde vragen over de privacytoets op Microsoft Teams, OneDrive en SharePoint
Op 5 april 2022 heeft SIVON een een bericht gepubliceerd inhoudende de belangrijkste vragen omtrent Microsoft Teams, OneDrive en SharePoint. De vragen hebben betrekking op de privacytoets.
Meer weten?
Wij hopen u met deze informatie voldoende geïnformeerd te hebben rondom het gebruik van de Microsoft Teams, OneDrive en SharePoint. Heeft u vragen of wilt u meer weten over de DPIA en/of het verkleinen van de risico’s? Wij helpen u graag verder. Wij zijn bereikbaar per e-mail op fg@lumengroup.nl of via telefoonnummer 030 – 889 65 75.
