Gemeenten massaal naar de cloud; hoe staat het met de uit te voeren DPIA’s?

| Renco Schoemaker | ,

Thuiswerken is momenteel de norm. Om dit mogelijk te maken is digitaal samenwerken in de cloud versneld geïmplementeerd bij veel gemeenten. Diverse clouddiensten, zoals MS Teams, zien het gebruik flink toenemen. Werken in de cloud biedt viel mogelijkheden, maar organisaties moeten waken voor beveiligings- en privacyrisico’s doordat ze noodgedwongen en met beperkte voorbereiding deze diensten in gebruik hebben genomen. De Rijksoverheid heeft DPIA’s laten uitvoeren op verschillende Microsoft (cloud)diensten.

Data Protection Impact Assessment

Afgelopen jaren was er al een flinke toename te zien in organisaties die overgaan naar de cloud. Maar mede door corona is die groei enorm versneld. En nu we massaal zijn overgaan naar de cloud, en persoonsgegevens dus van een lokale server naar een clouddienst worden gemigreerd, is het belangrijk dat er ook een Data Protection Impact Assessment (DPIA) wordt uitgevoerd op deze diensten. Bestaande verwerkingen vinden nu immers online plaats (buiten de eigen controle) in plaats van binnen de eigen beveiligde omgeving. Dit brengt risico’s met zich mee die in kaart moeten worden gebracht. En, hoe zorg je dat je in control bent én blijft als het gaat om deze risico’s nu praktisch iedereen full-time op afstand werkt?

Onder de DPIA-paraplu?

Reden voor Strategisch Leveranciersmanagement Microsoft (SLM) Rijk, onderdeel van het Ministerie van Justitie en Veiligheid, om het consultancybedrijf Privacy Company afgelopen zomer opdracht te geven (opnieuw) onderzoek te laten doen naar de privacyrisico’s van de browserversie van Microsoft Office 365 inclusief de Office apps voor iOS en Android mobiele telefoons en de zakelijke Intune software. Door middel van DPIA’s zijn de risico’s en bevindingen in kaart gebracht. Ook is er een beknopte Nederlandse samenvatting te vinden. In de rapporten worden tevens resterende aanbevolen maatregelen gegeven voor overheidsorganisaties.

Deze DPIA’s kunnen gezien worden als ‘paraplu-DPIA’, bedoeld om andere organisaties te ondersteunen bij het uitvoeren van eigen DPIA’s. Het kan namelijk niet de specifieke risico-inschattingen vervangen die organisaties zelf moeten maken. Die risico-inschattingen zijn immers afhankelijk van de specifieke manier waarop organisaties de software aanbieden en inrichten, de mate van vertrouwelijkheid van het werk, en de soorten persoonsgegevens die er worden verwerkt. Aanvullend op deze DPIA’s is het dus belangrijk dat organisaties, waaronder gemeenten, ook zelf hun eigen DPIA’s uitvoeren om te kijken of de risico’s voldoende zijn gemitigeerd. Eerder schreef ik al een blog met tips voor het beveiligen van Office 365. In deze blog wil ik kort ingaan op de uitgevoerde DPIA’s op Rijksoverheidsniveau en wat dit voor gemeenten betekent.

DPIA op Microsoft Office 365

Microsoft Office 365 wordt op grote schaal gebruikt door verschillende (overheids)organisaties. Dit kan op drie manieren:

  1. Je kunt de software installeren op computers en laptops van medewerkers – Office 365 ProPlus.
  2. Je kunt de software installeren op smartphones en tablets – mobiele Office apps voor iOS en Android.
  3. En je kunt de software gebruiken als online applicaties die in een browser draaien – Office for the Web, vroeger ook Office Online genoemd.

Privacy Company heeft een DPIA uitgevoerd op de laatste twee: de mobiele Office apps en Office for the Web. Middels de DPIA’s zijn de risico’s in kaart gebracht van de verwerking van diagnostische gegevens via de vijf naar verwachting meest gebruikte toepassingen, te weten: Word, PowerPoint, Outlook, Excel en Teams. Let op, de DPIA gaat over de risico’s voor betrokkenen van de verwerking van diagnostische gegevens en dus niet over de inhoudelijke gegevens die gebruikers door Microsoft laten verwerken, zoals tekst, foto’s en video’s.

Gegevensbeschermingsrisico’s Office 365

Uit de DPIA zijn zes hoge en drie lage gegevensbeschermingsrisico’s voor betrokkenen naar voren gekomen. Welke risico’s dit zijn en aan welke omstandigheden deze te wijten zijn lees je hier. Sommige van deze risico’s zijn nieuw, bijvoorbeeld omdat Microsoft pas sinds kort tijd telemetrieberichten verzamelt via Office for the Web, of omdat Microsoft verkeer via de apps en Office for the Web doorgeeft aan derde partijen die geen subverwerker van Microsoft zijn. Andere risico’s hebben te maken met het feit dat sommige verbetermaatregelen nog niet functioneren of nog niet bestaan. Met name Outlook, Teams en OneDrive blijven achter.

SLM Microsoft Rijk heeft deze bevindingen ook doorgegeven en besproken met Microsoft. Dit heeft ertoe geleid dat Microsoft heeft toegezegd een aantal verbetermaatregelen door te voeren voor eind 2020. Daarnaast worden er aanvullende maatregelen aanbevolen die (overheids)organisaties zelf nog moeten doorvoeren. Lees hier het gehele (Engelstalige) rapport en/of de Nederlandse samenvatting.

DPIA op Microsoft Intune

Microsoft Intune is een cloudservice voor allerlei soorten mobiele apparaten, zoals Windows desktops en laptops, maar ook voor mobieltjes en tablets met het macOS, iOS en Android besturingssysteem. Met Intune kun je als organisatie bepalen hoe apparaten zoals mobiele telefoons, tablets en laptops, worden gebruikt. Ook wel Mobile Access Management (MAM) genoemd. Maar je kunt er ook de naleving van het informatiebeveiligingsbeleid bij gebruik van de apparaten mee afdwingen, dit wordt Mobile Device Management (MDM) genoemd. Zo kun je Intune gebruiken om persoonlijke en zakelijke mobiele apparaten centraal te registreren, en om de persoonsgegevens op de apparaten te versleutelen. Systeembeheerders kunnen bijvoorbeeld via Intune informatie versleutelen op de apparaten van gebruikers of het apparaat (op afstand) wissen als het kwijtraakt.

De DPIA die hierop is uitgevoerd beschrijft twee mogelijkheden om apparaten in te schrijven in Intune: door medewerkers zelf, als persoonlijk apparaat of door de systeembeheerders, als zakelijk apparaat en gaat over twee soorten gegevensverwerking: de verwerking van diagnostische gegevens op de Intune cloudservers van Microsoft, en de gegevensverwerking via de Intune Bedrijfsportal-app (Company Portal app). Daarnaast gaat de DPIA in op het gebruik van de Microsoft Azure Active Directory, omdat het gebruik ervan verplicht is bij zowel MAM als MDM. Het resultaat?

Er zijn geen hoge privacyrisico’s voor betrokkenen naar voren gekomen. Wel zijn er vijf lage privacyrisico’s (o.a. verlies aan controle, verlies aan vertrouwelijkheid, gebrek aan transparantie en gebrek aan doelbinding). De DPIA stelt vijf concrete maatregelen voor aan overheidsorganisaties om deze lage risico’s verder te mitigeren, en acht maatregelen die Microsoft kan treffen. Als de systeembeheerders van overheidsorganisaties de adviezen opvolgen uit de DPIA, dan zijn er geen bekende hoge privacyrisico’s bij het gebruik van Intune. Lees hier het gehele (Engelstalige) rapport en/of de Nederlandse samenvatting.

DPIA op Windows 10 Enterprise

Last but not least, heeft Privacy Company een jaar geleden ook onderzoek gedaan naar de privacyrisico’s van Microsoft Windows 10 Enterprise, versie 1809. Een belangrijk gegeven, aangezien bijna alle overheidsorganisaties de Office 365 software gebruiken in combinatie met Windows 10 als besturingssysteem. Het advies dat uit deze DPIA kwam is om Windows 10 Enterprise alleen te gebruiken met het telemetrieverkeer ingesteld op het laagste niveau ‘Beveiliging’ (of het telemetrieverkeer geblokkeerd). Daarnaast wordt geadviseerd om centraal te voorkomen dat gebruikers hun activiteiten kunnen synchroniseren via Windows Tijdlijn. Volg je deze adviezen op, dan zijn er geen hoge privacyrisico’s die voortvloeien uit de diagnostische gegevensverzameling in Windows 10 Enterprise. Lees hier het gehele (Engelstalige) rapport en/of de Nederlandse samenvatting.

Inmiddels heeft Microsoft op 21 mei 2019 een nieuwe versie van Windows 10 Enterprise gelanceerd, versie 1903. Deze versie maakt het mogelijk voor systeembeheerders om de Windows Update for Business functionaliteit te gebruiken als het telemetrieniveau op niveau ‘Beveiliging’ staat. In vorige Windows 10 versies was deze functionaliteit alleen beschikbaar bij telemetrieniveau ‘Basis’ of hoger. Het Rijk blijft in onderhandeling met Microsoft om ook Windows en de mobiele apps onder de reikwijdte te brengen van de nieuwe privacyvoorwaarden en dezelfde technische verbeteringen door te voeren voor Office Online.

Wat betekent dit voor gemeenten?

Bovenstaande uitkomsten gelden uiteraard voor de Rijksoverheid. Gemeenten die Office 365, Office Online, de mobiele Office apps en Windows 10 Enterprise willen gebruiken moeten rekening houden met hoge(re) privacyrisico’s bij het gebruik ervan. Net zoals het Rijk gedaan heeft, zullen gemeenten zelf aanvullende maatregelen moeten nemen en zich, het liefst via een vakorganisatie, tot Microsoft moeten wenden om vergelijkbare privacygaranties te bedingen. Daarnaast is het advies ook eigen DPIA’s uit te voeren, gebaseerd op de rapporten van het Rijk. Tot slot worden in alle drie de rapporten adviezen/maatregelen benoemd voor organisaties die niet bij de Rijksoverheid horen.

Weet jij onder welke voorwaarden jouw gemeente Microsoft licenties inkoopt? Ken je GT Microsoft?

Standaardinstellingen?

Centrale vraag is: worden deze adviezen ook daadwerkelijk opgevolgd door gemeenten of wordt er blind vertrouwd op de standaardinstellingen van Microsoft? Je merkt: ik heb daar mijn twijfels over. Met name doordat gemeenten versneld over moesten naar de cloud. En hoe sneller je digitale samenwerkingstools wist in te zetten hoe sneller de dienstverlening weer op orde was. En dat komt vaak niet ten goede van de betrouwbaarheid en kwaliteit.

Daarnaast zorgt een snelle implementatie er ook voor dat medewerkers niet voldoende worden geïnformeerd en meegenomen in de nieuwe manier van werken, en dus maar wat ‘aanmodderen’ met de nieuwe tools. Beveiligings- en privacyrisico’s liggen dan ook niet alleen bij de cloudaanbieders, maar liggen vaak ook bij de gebruikers die onvoldoende bekend zijn met de te nemen maatregelen om veilig te kunnen werken. Naast het uitvoeren van DPIA’s is het dus net zo belangrijk om gebruikers mee te nemen in hoe zij de nieuwe digitale samenwerkingstools moeten gebruiken om veilig te kunnen werken. En dat is lastig nu iedereen full-time op afstand werkt. Kortom, is jouw gemeente wel in control op informatiebeveiligings- en privacyrisico’s nu de samenwerkingsomgeving naar de cloud is gegaan?

Meer informatie?

Heb je naar aanleiding van deze blog vragen of hulp nodig bij het uitvoeren van een DPIA? Neem dan gerust contact met ons op.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Privacy: prioriteit of moetje?

Deze week bestond de AVG-privacywet drie jaar. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij, is om de aandacht van bestuurders voor dit on…

Met de BIO bezig blijven: hoe lang?

De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) is geen eenvoudige opgave. Waarom wil het niet zo vlotten? Dat staat centraal in deze blog.

Security by Design concreet gemaakt

Met de komst van de AVG in 2018, is er ook veel aandacht voor de begrippen ‘Privacy by Design’ en ‘Security by Design’. Maar wat wordt hier nu eigenlijk mee bedoeld en waarom is het zo belangrijk? In deze blog wil ik graag specifiek ingaan op Secu…

Mobile Device Management: MDM, MAM en Windows 10

Vanuit de BIO is het helder dat je een vorm van beheer dient te voeren op apparaten, waaronder mobiele apparaten als telefoons, tablets en laptops. Welke mogelijkheden heb je daar eigenlijk tot je beschikking voor iOS, Android en Windows 10?

De BIO en het toepassen van encryptie; wat moet je weten?

Encryptie is een serieus onderdeel geworden binnen veel organisaties. Niet voor niets worden er in BIO eisen benoemd als het gaat om encryptie. Welke eisen zijn dit en wat moet je hier als CISO over weten?

De ingrediënten van een jaarverslag

In gemeenteland komt het jaarverslag er weer aan. Schrijf jij als CISO of FG al een separaat jaarverslag over informatiebeveiliging of privacy? Zeker doen!