Gemeenten massaal naar de cloud; hoe staat het met de uit te voeren DPIA’s?

| Renco Schoemaker | ,

Thuiswerken is momenteel de norm. Om dit mogelijk te maken is digitaal samenwerken in de cloud versneld geïmplementeerd bij veel gemeenten. Diverse clouddiensten, zoals MS Teams, zien het gebruik flink toenemen. Werken in de cloud biedt viel mogelijkheden, maar organisaties moeten waken voor beveiligings- en privacyrisico’s doordat ze noodgedwongen en met beperkte voorbereiding deze diensten in gebruik hebben genomen. De Rijksoverheid heeft DPIA’s laten uitvoeren op verschillende Microsoft (cloud)diensten.

Data Protection Impact Assessment

Afgelopen jaren was er al een flinke toename te zien in organisaties die overgaan naar de cloud. Maar mede door corona is die groei enorm versneld. En nu we massaal zijn overgaan naar de cloud, en persoonsgegevens dus van een lokale server naar een clouddienst worden gemigreerd, is het belangrijk dat er ook een Data Protection Impact Assessment (DPIA) wordt uitgevoerd op deze diensten. Bestaande verwerkingen vinden nu immers online plaats (buiten de eigen controle) in plaats van binnen de eigen beveiligde omgeving. Dit brengt risico’s met zich mee die in kaart moeten worden gebracht. En, hoe zorg je dat je in control bent én blijft als het gaat om deze risico’s nu praktisch iedereen full-time op afstand werkt?

Onder de DPIA-paraplu?

Reden voor Strategisch Leveranciersmanagement Microsoft (SLM) Rijk, onderdeel van het Ministerie van Justitie en Veiligheid, om het consultancybedrijf Privacy Company afgelopen zomer opdracht te geven (opnieuw) onderzoek te laten doen naar de privacyrisico’s van de browserversie van Microsoft Office 365 inclusief de Office apps voor iOS en Android mobiele telefoons en de zakelijke Intune software. Door middel van DPIA’s zijn de risico’s en bevindingen in kaart gebracht. Ook is er een beknopte Nederlandse samenvatting te vinden. In de rapporten worden tevens resterende aanbevolen maatregelen gegeven voor overheidsorganisaties.

Deze DPIA’s kunnen gezien worden als ‘paraplu-DPIA’, bedoeld om andere organisaties te ondersteunen bij het uitvoeren van eigen DPIA’s. Het kan namelijk niet de specifieke risico-inschattingen vervangen die organisaties zelf moeten maken. Die risico-inschattingen zijn immers afhankelijk van de specifieke manier waarop organisaties de software aanbieden en inrichten, de mate van vertrouwelijkheid van het werk, en de soorten persoonsgegevens die er worden verwerkt. Aanvullend op deze DPIA’s is het dus belangrijk dat organisaties, waaronder gemeenten, ook zelf hun eigen DPIA’s uitvoeren om te kijken of de risico’s voldoende zijn gemitigeerd. Eerder schreef ik al een blog met tips voor het beveiligen van Office 365. In deze blog wil ik kort ingaan op de uitgevoerde DPIA’s op Rijksoverheidsniveau en wat dit voor gemeenten betekent.

DPIA op Microsoft Office 365

Microsoft Office 365 wordt op grote schaal gebruikt door verschillende (overheids)organisaties. Dit kan op drie manieren:

  1. Je kunt de software installeren op computers en laptops van medewerkers – Office 365 ProPlus.
  2. Je kunt de software installeren op smartphones en tablets – mobiele Office apps voor iOS en Android.
  3. En je kunt de software gebruiken als online applicaties die in een browser draaien – Office for the Web, vroeger ook Office Online genoemd.

Privacy Company heeft een DPIA uitgevoerd op de laatste twee: de mobiele Office apps en Office for the Web. Middels de DPIA’s zijn de risico’s in kaart gebracht van de verwerking van diagnostische gegevens via de vijf naar verwachting meest gebruikte toepassingen, te weten: Word, PowerPoint, Outlook, Excel en Teams. Let op, de DPIA gaat over de risico’s voor betrokkenen van de verwerking van diagnostische gegevens en dus niet over de inhoudelijke gegevens die gebruikers door Microsoft laten verwerken, zoals tekst, foto’s en video’s.

Gegevensbeschermingsrisico’s Office 365

Uit de DPIA zijn zes hoge en drie lage gegevensbeschermingsrisico’s voor betrokkenen naar voren gekomen. Welke risico’s dit zijn en aan welke omstandigheden deze te wijten zijn lees je hier. Sommige van deze risico’s zijn nieuw, bijvoorbeeld omdat Microsoft pas sinds kort tijd telemetrieberichten verzamelt via Office for the Web, of omdat Microsoft verkeer via de apps en Office for the Web doorgeeft aan derde partijen die geen subverwerker van Microsoft zijn. Andere risico’s hebben te maken met het feit dat sommige verbetermaatregelen nog niet functioneren of nog niet bestaan. Met name Outlook, Teams en OneDrive blijven achter.

SLM Microsoft Rijk heeft deze bevindingen ook doorgegeven en besproken met Microsoft. Dit heeft ertoe geleid dat Microsoft heeft toegezegd een aantal verbetermaatregelen door te voeren voor eind 2020. Daarnaast worden er aanvullende maatregelen aanbevolen die (overheids)organisaties zelf nog moeten doorvoeren. Lees hier het gehele (Engelstalige) rapport en/of de Nederlandse samenvatting.

DPIA op Microsoft Intune

Microsoft Intune is een cloudservice voor allerlei soorten mobiele apparaten, zoals Windows desktops en laptops, maar ook voor mobieltjes en tablets met het macOS, iOS en Android besturingssysteem. Met Intune kun je als organisatie bepalen hoe apparaten zoals mobiele telefoons, tablets en laptops, worden gebruikt. Ook wel Mobile Access Management (MAM) genoemd. Maar je kunt er ook de naleving van het informatiebeveiligingsbeleid bij gebruik van de apparaten mee afdwingen, dit wordt Mobile Device Management (MDM) genoemd. Zo kun je Intune gebruiken om persoonlijke en zakelijke mobiele apparaten centraal te registreren, en om de persoonsgegevens op de apparaten te versleutelen. Systeembeheerders kunnen bijvoorbeeld via Intune informatie versleutelen op de apparaten van gebruikers of het apparaat (op afstand) wissen als het kwijtraakt.

De DPIA die hierop is uitgevoerd beschrijft twee mogelijkheden om apparaten in te schrijven in Intune: door medewerkers zelf, als persoonlijk apparaat of door de systeembeheerders, als zakelijk apparaat en gaat over twee soorten gegevensverwerking: de verwerking van diagnostische gegevens op de Intune cloudservers van Microsoft, en de gegevensverwerking via de Intune Bedrijfsportal-app (Company Portal app). Daarnaast gaat de DPIA in op het gebruik van de Microsoft Azure Active Directory, omdat het gebruik ervan verplicht is bij zowel MAM als MDM. Het resultaat?

Er zijn geen hoge privacyrisico’s voor betrokkenen naar voren gekomen. Wel zijn er vijf lage privacyrisico’s (o.a. verlies aan controle, verlies aan vertrouwelijkheid, gebrek aan transparantie en gebrek aan doelbinding). De DPIA stelt vijf concrete maatregelen voor aan overheidsorganisaties om deze lage risico’s verder te mitigeren, en acht maatregelen die Microsoft kan treffen. Als de systeembeheerders van overheidsorganisaties de adviezen opvolgen uit de DPIA, dan zijn er geen bekende hoge privacyrisico’s bij het gebruik van Intune. Lees hier het gehele (Engelstalige) rapport en/of de Nederlandse samenvatting.

DPIA op Windows 10 Enterprise

Last but not least, heeft Privacy Company een jaar geleden ook onderzoek gedaan naar de privacyrisico’s van Microsoft Windows 10 Enterprise, versie 1809. Een belangrijk gegeven, aangezien bijna alle overheidsorganisaties de Office 365 software gebruiken in combinatie met Windows 10 als besturingssysteem. Het advies dat uit deze DPIA kwam is om Windows 10 Enterprise alleen te gebruiken met het telemetrieverkeer ingesteld op het laagste niveau ‘Beveiliging’ (of het telemetrieverkeer geblokkeerd). Daarnaast wordt geadviseerd om centraal te voorkomen dat gebruikers hun activiteiten kunnen synchroniseren via Windows Tijdlijn. Volg je deze adviezen op, dan zijn er geen hoge privacyrisico’s die voortvloeien uit de diagnostische gegevensverzameling in Windows 10 Enterprise. Lees hier het gehele (Engelstalige) rapport en/of de Nederlandse samenvatting.

Inmiddels heeft Microsoft op 21 mei 2019 een nieuwe versie van Windows 10 Enterprise gelanceerd, versie 1903. Deze versie maakt het mogelijk voor systeembeheerders om de Windows Update for Business functionaliteit te gebruiken als het telemetrieniveau op niveau ‘Beveiliging’ staat. In vorige Windows 10 versies was deze functionaliteit alleen beschikbaar bij telemetrieniveau ‘Basis’ of hoger. Het Rijk blijft in onderhandeling met Microsoft om ook Windows en de mobiele apps onder de reikwijdte te brengen van de nieuwe privacyvoorwaarden en dezelfde technische verbeteringen door te voeren voor Office Online.

Wat betekent dit voor gemeenten?

Bovenstaande uitkomsten gelden uiteraard voor de Rijksoverheid. Gemeenten die Office 365, Office Online, de mobiele Office apps en Windows 10 Enterprise willen gebruiken moeten rekening houden met hoge(re) privacyrisico’s bij het gebruik ervan. Net zoals het Rijk gedaan heeft, zullen gemeenten zelf aanvullende maatregelen moeten nemen en zich, het liefst via een vakorganisatie, tot Microsoft moeten wenden om vergelijkbare privacygaranties te bedingen. Daarnaast is het advies ook eigen DPIA’s uit te voeren, gebaseerd op de rapporten van het Rijk. Tot slot worden in alle drie de rapporten adviezen/maatregelen benoemd voor organisaties die niet bij de Rijksoverheid horen.

Weet jij onder welke voorwaarden jouw gemeente Microsoft licenties inkoopt? Ken je GT Microsoft?

Standaardinstellingen?

Centrale vraag is: worden deze adviezen ook daadwerkelijk opgevolgd door gemeenten of wordt er blind vertrouwd op de standaardinstellingen van Microsoft? Je merkt: ik heb daar mijn twijfels over. Met name doordat gemeenten versneld over moesten naar de cloud. En hoe sneller je digitale samenwerkingstools wist in te zetten hoe sneller de dienstverlening weer op orde was. En dat komt vaak niet ten goede van de betrouwbaarheid en kwaliteit.

Daarnaast zorgt een snelle implementatie er ook voor dat medewerkers niet voldoende worden geïnformeerd en meegenomen in de nieuwe manier van werken, en dus maar wat ‘aanmodderen’ met de nieuwe tools. Beveiligings- en privacyrisico’s liggen dan ook niet alleen bij de cloudaanbieders, maar liggen vaak ook bij de gebruikers die onvoldoende bekend zijn met de te nemen maatregelen om veilig te kunnen werken. Naast het uitvoeren van DPIA’s is het dus net zo belangrijk om gebruikers mee te nemen in hoe zij de nieuwe digitale samenwerkingstools moeten gebruiken om veilig te kunnen werken. En dat is lastig nu iedereen full-time op afstand werkt. Kortom, is jouw gemeente wel in control op informatiebeveiligings- en privacyrisico’s nu de samenwerkingsomgeving naar de cloud is gegaan?

Meer informatie?

Heb je naar aanleiding van deze blog vragen of hulp nodig bij het uitvoeren van een DPIA? Neem dan gerust contact met ons op.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

De ingrediënten van een jaarverslag

In gemeenteland komt het jaarverslag er weer aan. Schrijf jij als CISO of FG al een separaat jaarverslag over informatiebeveiliging of privacy? Zeker doen!

Het bijhouden van een verwerkingsregister, hoe doe je dat?

Hoe zorg je er voor dat het bijhouden van het verwerkingsregister op een juiste en consistente wijze gebeurt?

Ont-Googlen en terughoudendheid met de cloud

Welke keuzes maak je zelf als het gaat om producten en diensten van de tech-giganten? In hoeverre weeg jij zelf informatiebeveiliging en privacy mee? Vandaag een blog met de persoonlijke reis van Renco.

Grip op informatie

Onlangs publiceerde de Vereniging van Nederlandse Gemeenten (VNG) het magazine ‘Grip op informatie’, waarin acht gemeenten een boekje opendoen over hoe zij omgaan met informatie. In deze blog licht ik enkele kernpunten en conclusies uit op het geb…

Wat zegt de GIBIT over informatiebeveiliging?

Om te zorgen dat een product of dienst aansluit bij de behoefte, wordt gemeenten aanbevolen om gebruik te maken van de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT). Deze uniforme inkoopvoorwaarden helpen gemeenten bij het professionaliseren van …

Wanneer en hoe zet je software in bij je ISMS-proces?

Onlangs heb ik een presentatie gegeven over hoe je je organisatie betrekt bij informatiebeveiliging en privacymanagement. En dan met name over hoe je tooling ter ondersteuning van je ISMS kunt inzetten en ook over wanneer je dit doet. In deze blog…