SLM Rijk heeft een Data Protection Impact Assessement (DPIA) laten uitvoeren op de gegevensverwerking via Microsoft Teams, OneDrive en SharePoint Online. Denk hierbij aan Microsoft Teams (samenwerken en videobellen) in combinatie met OneDrive (cloudopslag) en SharePoint (documentenbeheer). Uit deze DPIA is gebleken dat er één hoog privacyrisico en zes lage privacyrisicos bestaan voor de verwerking van persoonsgegevens bij het gebruik deze diensten. Organisaties kunnen mitigerende maatregelen nemen om deze risico’s te beperken.
Hoog risico Microsoft Teams, OneDrive en SharePoint Online
Het hoge risico gaat over de verwerking van zeer gevoelige en bijzondere persoonsgegevens via Microsoft Teams, OneDrive en SharePoint Online. Dit vanwege de mogelijke toegang door opsporings- en inlichtingendiensten in de Verenigde Staten. Via de Amerikaanse wetgeving kan er toegang tot gevoelige en bijzondere persoonsgegevens gevorderd worden, omdat Microsoft een Amerikaans bedrijf is.
Welke mitigerende maatregelen kunnen organisaties nemen tegen dit hoge risico?
- Wissel geen gevoelige en bijzondere persoonsgegevens uit via Teams-gesprekken die niet en-to-end versleuteld zijn.
- Het gebruik van Double Key Encryption wordt aangeraden voor bestanden met gevoelige of bijzondere persoonsgegevens die zijn opgeslagen in OneDrive/SharePoint, opnamen van Teams-gesprekken.
- Maak gebruik van Customer Lockbox om andere opgeslagen persoonsgegevens te beschermen.
- Schakel E2EE standaard in voor een-op-een gesprekken in Teams en instrueer eindgebruikers om ook zelf E2EE in te schakelen.
- Maak privacybeleid voor Teams en OneDrive voor interne en gastgebruikers. Stel regels op voor het delen van bestanden en beeldmateriaal. Informeer medewerkers en gastgebruikers goed en laat ze deze regels accepteren door middel van de voorwaarden die door Azure AD worden opgelegd.
Lage privacyrisico’s Microsoft Teams, OneDrive en SharePoint Online
In de onderstaande tabel staan zes lage privacyrisico’s die zijn geïdentificeerd én de mitigerende maatregelen die worden geadviseerd op basis van de uitkomsten van de DPIA.
[table id=1 /]
Implementatieadvies
Om organisaties te helpen, geeft het team Strategisch Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services Rij, aanvullend op de adviezen in de DPIA, de volgende implementatieadviezen:
- Gebruik een pop-up met spelregels die nieuwe of externe deelnemers moeten accepteren, over de omgang met bijzondere persoonsgegevens. Bijvoorbeeld: deel geen bijzondere persoonsgegevens in de chat en bestanden. Zo’n pop-up kan getoond worden via de Azure AD. Dat is de laatste tip bij het hoge risico in de DPIA.
- Informeer deelnemers voor de meeting (tenzij het absoluut nodig is dat deelnemers in beeld zijn) op de mogelijkheid om hun camera uit te zetten als zij het vervelend vinden om zichtbaar in beeld te komen.
- Maak beleid over cloudopnames van vergaderingen en bepaal een bewaartermijn. Hoe korter de bewaartermijn, hoe kleiner de kans dat gegevens kunnen worden opgevraagd door Amerikaanse opsporings- en inlichtingendiensten. Microsoft schrijft op https://docs.microsoft.com/en-us/microsoftteams/cloud-recording dat het volgens haar klanten bijna nooit gebeurt dat opnames ouder dan 60 dagen worden teruggekeken.
- Neem bij een opname niet de galerij met deelnemers en de chats op.
Bronnen
Rijksoverheid
Ministerie van Justitie en Veiligheid
