terug naar actueel

Veelgestelde vragen over privacytoets op Microsoft Teams, OneDrive en SharePoint

  • bijgewerkt op 05 april 2022

SURF en SLM Rijk (ministerie van Justitie en Veiligheid) hebben met medewerking van Privacy Company een nieuwe data protection impact assessment (DPIA) uitgevoerd naar Microsoft Teams in combinatie met OneDrive en SharePoint. Uit deze privacytoets komt naar voren dat er een hoog risico bestaat voor de uitwisseling en opslag van gevoelige en bijzondere persoonsgegevens. 

Microsoft slaat gegevens in Teams, Onedrive en Sharepoint versleuteld op. Het probleem is dat zij zelf de sleutel hebben. SIVON pakt dit samen met SURF, APS IT-diensten en SLBdiensten op.

In dit bericht vindt u meer informatie over deze privacytoets. Hieronder vindt u de meest gestelde vragen over de privacytoets.

Wat is de scope van de DPIA? Gaat het over de Onlinediensten en dus niet de Teams-app en OneDrive-app?

De DPIA is uitgevoerd op de Microsoft clouddiensten Teams, OneDrive en SharePoint. Om gebruik te maken van de online diensten, kunnen gebruikers software installeren op hun eigen apparaten of via een browser inloggen. In deze DPIA is het gegevensverkeer onderzocht van de drie diensten vanuit geïnstalleerde applicaties op de besturingssystemen MacOS, Windows, iOS en Android, en via een Chrome browser. Om in te loggen is gebruik gemaakt van de Microsoft Azure Active Directory (een soort online telefoonboek, met de inlognamen en wachtwoorden van alle gebruikers).

Kunnen mijn scholen deze oplossingen nog wel gebruiken?

Ja, maar er zullen door de beheerders van uw omgeving wel maatregelen getroffen moeten worden. SIVON zorgt voor een handreiking van deze maatregelen en zet deze online. 

Zijn er aanpassingen nodig als scholen Azure AD gebruiken om met een Google-account in te kunnen loggen op een Windows-apparaat?

Als scholen de Microsoft en Google maatregelen doorvoeren, zijn op systeemniveau de risico’s uit de DPIA gemitigeerd. Er moet wel altijd een schooleigen DPIA worden uitgevoerd waarin u vastlegt welke maatregelen zijn genomen.

Moeten mijn scholen zelf iets doen?

De DPIA heeft 6 lage risico’s en 1 hoog risico vastgesteld. De 6 lage risico’s zijn pas ’laag’ na het doorvoeren van de maatregelen zoals aanbevolen in de DPIA. Een specifieke situatie dat leidt tot een hoog risico kan op dit moment technisch niet opgelost worden (groepsgesprekken in Teams waarbij gevoelige of bijzondere persoonsgegevens wordt gedeeld). Hiervoor dient de beheerder van de scholen een instructie te geven aan de betrokken gebruikers/medewerkers.   

Wat is het hoge risico precies?

Het hoge risico doet zich in beperkte gevallen voor bij Teams. Indien men een geplande afspraak in Teams heeft, dan is dat gesprek niet end-to-end encrypted (E2EE). Vanwege de theoretische mogelijkheid dat (Amerikaanse) opsporings- en inlichtingendiensten een inzageverzoek doen, is het voor hen dan vrij eenvoudig deze gesprekken te analyseren. Alleen als het hier gaat om gesprekken met betrekking tot bijzondere persoonsgegevens (zoals beschreven in de AVG artikel 9) doet zich een hoog risico voor, vanwege de gevoeligheid van deze persoonsgegevens. Het wordt dus sterk afgeraden dit soort gesprekken via een geplande meeting te voeren. Dit risico doet zich niet voor bij spontane één-op-één gesprekken via Teams. In dat geval kunnen de gesprekken wel end-to-end versleuteld worden. 

Wat doet Microsoft tegen dit hoge risico?

Microsoft heeft aangegeven zich in te spannen om ook bij geplande Teams gesprekken end-to-end encryption toe te passen. Microsoft kan nog geen termijn geven wanneer dit is geïmplementeerd. Dat is mede de reden waarom dit risico op hoog staat, en blijft staan, tot hier meer duidelijkheid over is. 

Lopen mijn scholen nu gevaar?

Niet voor zover wij hebben kunnen vaststellen. Het hoge risico betreft de theoretische mogelijkheid dat Amerikaanse opsporings- en inlichtingendiensten inzageverzoeken doen op data van (Nederlandse) burgers. Microsoft heeft gemeld dat het geen verzoeken heeft gehad waarbij het personen uit de Nederlandse publieke sector betrof.  

Werkt Microsoft mee aan verzoeken tot vrijgave van data aan de Amerikaanse overheid inclusief encryptie sleutel?

Microsoft werkt niet zomaar mee aan verzoeken van de Amerikaanse overheid. Microsoft heeft een strikte procedure die ze volgen. Lees de procedure van Microsoft.

Is toegang tot gegevens van leerlingen of medewerkers door inlichtingendiensten een geldige grondslag en doelbinding?

Nee. De wetgeving die Amerikaanse opsporings- en inlichtingendiensten toegang geeft tot gegevens bij Amerikaanse cloudproviders heeft niet dezelfde rechtsbescherming als in Europa. Deze diensten mogen volgens Europese privacy- en rechtsbeschermingsregels geen toegang krijgen.

Wat is het verschil tussen de AIVD en Amerikaanse inlichtingendiensten die toegang eisen tot data?

De AIVD houdt zich aan Europese privacy- en rechtsbeschermingsregels en wordt daarop ook gecontroleerd. Die regels gelden niet voor Amerikaanse opsporings- en inlichtingendiensten.

De risico’s worden gepresenteerd als “theoretisch”, “kans is klein”, “Microsoft zal niet meewerken aan elk verzoek vanuit de Amerikaanse overheid”, en “technische oplossingen zijn complex”. Maken we voor het onderwijs hier niet een te groot probleem van?

Dat Amerikaanse opsporings- en inlichtingendiensten toegang (kunnen) krijgen tot de persoonsgegevens van leerlingen, hun ouders en medewerkers, is door het Europees Hof van Justitie als onrechtmatig verklaard. Het Hof, dat in hoogste en laatste instantie een oordeel geeft, heeft de afsprakenstelsels Safe Harbour en Privacy Shield ongeldig verklaard. Deze Europese rechter heeft specifiek over de VS vastgesteld dat dit een land is waar persoonsgegevens niet goed beschermd zijn. De veiligheidsdiensten in de VS mogen alle persoonsgegevens van Amerikaanse cloudproviders inzien en gebruiken. Ook kunnen deze diensten persoonsgegevens al onderscheppen vóórdat ze in de VS aankomen. Het is daarom niet altijd mogelijk om te voorkomen dat de Amerikaanse veiligheidsdiensten inzage krijgen in persoonsgegevens die naar de VS worden doorgegeven. De rechtsbescherming door een onafhankelijke rechter is onvoldoende geregeld in de VS, zo concludeerde het Europese Hof van Justitie. De bescherming van persoonsgegevens in de VS schiet dus ernstig tekort omdat het niet (altijd) mogelijk is om aanvullende maatregelen te treffen om ‘persoonsgegevens in de VS’ voldoende te beschermen. Dat de kans ‘klein’ is dat Amerikaanse opsporings- en inlichtingendiensten persoonsgegevens van scholen in Nederland nodig hebben, is dus niet relevant. De mogelijkheid is aanwezig, en daarmee onrechtmatig, en daarmee zijn de persoonsgegevens niet adequaat beschermd. Er wordt niet voldaan aan de AVG; de privacy van leerlingen, hun ouders en medewerkers zijn dus niet voldoende beschermd.

Kan je verschillend tegen de beoordeling risico’s aankijken?

Voor het bepalen van de hoogte van het risico wordt de methode van de ICO (VK) toegepast, gecombineerd met de methode van de CNIL voor het uitvoeren van DPIA’s. Het hoge risico ontstaat omdat het juridische kader om gegevens uit te wisselen tussen EU en USA door het Schrems II arrest ongeldig is verklaard, en toegang door Amerikaanse opsporing- en inlichtingendiensten onrechtmatig is verklaard door het Europees Hof van Justitie. Step 5 “How do we identify and asses risks“.

Zijn de resultaten van de Scherms II uitspraak en de nieuwe richtlijnen van de EDPB meegenomen in dit onderzoek?

Ja, die zijn meegenomen. Er is bij dit onderzoek ook een Data Transfer Impact Assessment (DTIA) uitgevoerd. Tevens wordt aan het einde van 2022 een uitspraak van de European Data Protection Board (EDPB) verwacht, die mogelijk invloed kan hebben op de resultaten van onder andere deze DPIA. Uiteraard blijft SIVON dit goed in de gaten houden. 

Geldt de zichtbaarheid van padnamen/filenamen ook voor metadata (labels)?

Er zijn meerdere maatregelen genomen om het identificeren van gebruikers te beperken. In de Microsoftsystemen wordt anders omgegaan met gebruikersbestanden zelf (customer data) dan met service data (meta data). Met de maatregelen om zo min mogelijk persoonsgegevens op te nemen in de bestands- en padnamen wordt voorkomen dat gebruikers alsnog worden geïdentificeerd (herindentificatie is dan alsnog mogelijk). Het antwoord is dus ja. Vanuit SIVON komen we graag in contact met scholen die hier een oplossing voor hebben (mail dan naar info@sivon.nl). We kunnen dan op basis hiervan aanbevelingen publiceren.

Waar hebben de gevonden risico’s betrekking op?

Zowel de hoge als de lage risico’s hebben betrekking op de doorgifte van persoonsgegevens naar de VS en de mate van transparantie die Microsoft biedt in het verwerken van persoonsgegevens als verwerker. 

Welke lage risico’s zijn er gevonden?

Deze 6 lage risico’s zijn gevonden:   

  1. De huidige structurele overdracht van beperkte diagnostische gegevens en de incidentele overdracht van beveiligingsgegevens naar de VS leveren beide gegevensbeschermingsrisico’s op.  
  2. Microsoft is niet volledig transparant over de browser-gebaseerde verzameling van telemetrie gegevens en de telemetrie gebeurtenissen over het gebruik van de verbonden ervaringen.  
  3. Microsoft heeft toegezegd het programma waarmee de diagnostische gegevens kunnen worden opgehaald, te verbeteren. Dit om beheerders te helpen bij eventuele verzoeken tot toegang van gegevens van individuele werknemers. Dit hulpmiddel is momenteel nog lastig in gebruik.  
  4. Er is één uitzondering op de garantie van Microsoft dat de ’vereiste servicegegevens’ geen direct identificeerbare (leesbare) gebruikersnamen/e-mailadressen adressen of documentnamen bevatten. Microsoft kan de gebruikersnaam en/of het e-mailadres van een werknemer, gezamenlijk met de naam van de tenant en het bestandspad met de volledige naam van het document verzamelen. Dit is noodzakelijk voor bijvoorbeeld het functioneren van OneDrive. Deze gegevens worden niet langer dan 30 dagen bewaard.   
  5. Microsoft biedt 2 verschillende analysediensten voor Teams: Teams Analytics and Reporting en Viva Insights. Deze tools geven inzicht in het gedrag van medewerkers aan de medewerkers zelf, alsmede aan de administrators van de instelling. Teams Analytics & Rapporten is standaard ingeschakeld. Deze optie dient door de administrator van de instelling uitgezet te worden. Viva Insights staat standaard uit. Indien de administrator deze functionaliteit aanzet, kan de gebruiker zich hiervoor afmelden.  
  6. Microsoft is bezig om ervoor te zorgen dat er geen verkeer vanuit SharePoint naar zijn zoekmachine Bing wordt gestuurd, in situaties waarin een Enterprise of Education klant, de Controller Connected Experiences heeft uitgeschakeld. Momenteel staat Microsoft zichzelf toe om deze gegevens als verantwoordelijke te verwerken voor de 17 genoemde doelen in hun standaard privacy statement. Het verwijderen van verkeer van SharePoint naar Bing moet in juli 2022 zijn afgerond.   

Is het nodig om de technische maatregelen door te voeren voor de lage risico’s?

Ja, de lage risico’s zijn pas laag nadat de mitigerende maatregelen doorgevoerd zijn.

Welke maatregelen moeten mijn scholen zelf nemen?

Ten aanzien van het hoge risico waarbij content data in de EU worden verwerkt, maar toegankelijk zijn vanuit de VS omdat die gegevens niet zijn versleuteld:   

  • Geef instructies aan gebruikers om geen bijzondere persoonsgegevens te delen via ingeplande Teams calls, want dergelijke geplande sessies zijn niet end-to-end encrypted. Onder geplande calls verstaan we Teams-meetings die via de agenda zijn opgezet. Spontane calls via Teams zijn wel te versleutelen.  
  • Maak gebruik van Double Key Encryption voor documenten met gevoelige of bijzondere categorieën persoonsgegevens die zijn opgeslagen in SharePoint en OneDrive. 
  • Neem gesprekken met met bijzonder persoonsgegevens niet op.
  • Gebruik Customer Lockbox voor andere opgeslagen persoonsgegevens.   
  • Zet de end-to-end encryptie standaard aan bij 1-on-1 calls en instrueer gebruikers om ook end-to-end encryptie in te schakelen. Microsoft beschrijft hier hoe dit aangezet kan worden.  
    Een korte beschrijving hiervan: Nadat de beheerder de functie heeft geactiveerd, dient een eindgebruiker het volgende te doen: Ga naar ‘Settings’ en kies hierna voor de opties ‘Privacy’. Selecteer de button naast ‘End-to-end encrypted calls’ om deze te activeren.  
  • Maak een privacybeleid voor Teams en OneDrive voor gebruikers en gastgebruikers. Stel regels op voor het delen van bestanden en afbeeldingen. Zorg ervoor dat medewerkers en gastgebruikers deze regels accepteren via de Algemene Voorwaarden van Azure AD.   

Ten aanzien van de lage risico’s:  

  • Microsoft ontwikkelt een EU Data Boundary. Hiermee worden vanaf eind 2022 alle EU persoonsgegevens in de EU opgeslagen (inclusief diagnostische en service data). Tot die tijd dient het risico ten aanzien van de huidige structurele overdracht van beperkte diagnostische gegevens en incidentele overdracht van beveiligingsgegevens naar de VS geaccepteerd te worden.   
  • Gebruik geen SMS-code ter verificatie, om te voorkomen dat er een overdracht van onversleutelde mobiele telefoonnummers naar landen buiten de EER plaatsvindt. Gebruik in plaats daarvan de Microsoft Authenticator-app of een hardware token.  
  • Stel beleidsregels op voor het gebruik van OneDrive en SharePoint, waarin wordt vastgelegd dat er geen persoonsgegevens opgenomen mogen worden in bestandsnamen en bestandspaden.   
  • Overweeg om accounts te creëren met een pseudoniem voor werknemers van wie de identiteit vertrouwelijk moet blijven (binnen de eigen AD omgeving of binnen Azure AD als deze gebruikt worden voor Single Sign On.   
  • Gebruik regelmatig de Data Viewer Tool en vergelijk de resultaten met de openbare documentatie. 
  • Informeer werknemers over de mogelijkheid van het gebruik van de Data Viewer Tool en informeer ze over de mogelijkheid tot het doen van een inzageverzoek bij de eigen instelling.   
  • Wanneer de data subject access request (DSAR) tool wordt gebruikt om inzage te krijgen in diagnostische data, vergelijk deze dan met een eigen uitgevoerde technische analyse op het netwerkverkeer.    
  • Zet de functionaliteit van Teams Analytics and Reporting uit en gebruik pseudonimisering. Schakel Viva Insights niet in. Mocht er toch worden besloten tot het gebruik van deze tooling; voer dan een DPIA uit. Zeker wanneer ze gebruikt worden in combinatie met andere analytische diensten van Microsoft Windows & Office.   
  • Maak beleid om het gebruik van Teams Analytics & Rapporten als een controlemiddel voor werknemers te voorkomen.   
  • Om het risico van de data doorgifte van Microsoft naar derde partijen met Microsoft in de rol van verantwoordelijke te mitigeren, wordt aangeraden om de controller Connected Experiences en de third party apps in Teams uit te zetten.   
  • Instrueer eindgebruikers om niet via SharePoint online naar afbeeldingen te zoeken in de Bing zoekmachine, tot de functionaliteit in juli 2022 is uitgeschakeld.   

Download onze handreiking voor instructies.

Welke conclusies is in de DPIA getrokken?

Microsoft heeft naar aanleiding van de onderhandelingen door SLM Rijk en SURF al veel juridische, technische en organisatorische maatregelen genomen. Tekortkomingen zijn verbeterd en garanties zijn gegeven over de gegevensverwerkingen door Microsoft. Hiermee zijn een groot deel van de risico’s voor betrokkenen gemitigeerd bij de verwerking van persoonsgegevens door het gebruik van Teams, OneDrive en SharePoint. Echter, Microsoft heeft ook nog een aantal stappen te zetten om de geconstateerde hoge risico en lage risico’s te mitigeren. Als instellingen de genoemde aanbevolen maatregelen opvolgen en uitvoeren, dan zijn er op dit moment geen hoge risico’s voor het verwerken van (bijzondere) persoonsgegevens.   

De risico’s worden eind 2022 opnieuw beoordeeld, nadat er meer duidelijkheid is gegeven door de European Data Protection Board (EDPB) omtrent data transfers buiten de EER. SIVON houdt deze ontwikkelingen nauwgezet in de gaten en spant zich in om ervoor te zorgen dat technische en contractuele afspraken met leveranciers compliant zijn en dat risico’s worden geminimaliseerd. 

Hoe zit het met de bedrijfskritische gegevens?

Bij het gebruik van een applicatie dient de verantwoordelijke binnen de instelling te kijken naar de verwerking van persoonsgegevens alsmede andere gegevens die bedrijfsvertrouwelijk kunnen zijn. Een DPIA richt zich alleen op persoonsgegevens en compliancy met de AVG. Derhalve zijn andere vormen van vertrouwelijke c.q. bedrijfskritische informatie niet meegenomen.   

Doet het hoge risico zich alleen voor bij Teams?

Bestanden binnen Onedrive en SharePoint kun je wel versleuteld opslaan. Dit is ook de mitigerende maatregel: gebruik Double Key Encryption voor bestanden met gevoelige of bijzondere persoonsgegevens die zijn opgeslagen in SharePoint/OneDrive. Hieronder vallen ook opnames van Teams-gesprekken. Gebruik Customer Lockbox om andere opgeslagen persoonsgegevens te beschermen.   

Bij live gesprekken in Teams kan/gebeurt dit vooralsnog niet, met uitzondering van de spontane één-op-één calls. Hier kun je de E2EE maatregel standaard aan zetten. Dit is de reden dat geplande Teams meetings als een hoog risico geclassificeerd zijn. Er is momenteel geen mitigerende maatregel beschikbaar, anders dan de instructie aan medewerkers om geen bijzondere persoonsgegevens te verwerken.   

Geldt het hoge privacyrisico voor alle andere Amerikaanse cloudproviders?

De verplichting dat Amerikaanse opsporings- en inlichtingendiensten geen toegang mogen hebben of krijgen tot de persoonsgegevens van de school, geldt voor alle diensten van Amerikaanse softwareleveranciers en cloudproviders. Bij een online dienst moet een vorm van end to end encryptie toegepast worden, of anders een vorm van ‘hold your own key’.

Geldt het hoge risico voor Microsoft ook voor Google?

Het risico bij Microsoft is vastgesteld op basis van een data transfer impact assesment (DTIA). Voor Google wordt die DTIA de komende maanden uitgevoerd. Ook Google heeft de mogelijkheid om bestanden te versleutelen met een eigen sleutel “client side encryption” Voor Google meet is geen end to end encryption beschikbaar. Er is wel encryption in transit, dat is tussen client device en Google servers.

Hoe kan ik gebruik maken van E2EE (end-to-end encryption) bij één-op-één gesprekken?

Het is eerst aan de beheerder van de instelling om de E2EE functie te activeren. Daarna zet iedere gebruiker E2EE aan, in hun Teams applicatie.  

Selecteer in Teams de mogelijkheid ‘More options’ naast je profiel foto. Kies ‘Settings’ en kies hierna voor de opties ‘Privacy’ aan de linkerzijde. Selecteer de button naast ‘End-to-end encrypted calls’ om deze te activeren. 

Is het gebruik van eigen sleutels (Double Key Encryption) wel veilig genoeg ?

Ja, maar aan het gebruik van DKE zitten weer andere risico’s. Het gebruik van eigen sleutels brengt ook risico’s met zich mee. Als de eigen versleutel vergeten wordt, dan is er geen toegang meer tot die versleutelde gegevens. Dat is uiteindelijk ook een beveiligingsincident of mogelijk datalek. Het advies is om een plan op te stellen hoe de privacy van bijzondere en gevoelige gegevens geborgd kan worden. Dat begint met beleid om vast te stellen om welke gegevens het gaat, waar die gegevens worden opgeslagen, en wie daar toegang toe moet hebben. Dan blijft er een beperkte set data over waar een beperkte groep mensen toegang toe moeten hebben over. Daar kunnen dan encryptie maatregelen op toegepast worden.

Een uitgebreide analyse is beschikbaar op Rijksoverheid.nl.

Kan/mag Teams (zonder E2EE) nog gebruikt worden voor het onderwijs als leerlingen in beeld komen?

Ja, teams mag gebruikt worden bij geven van les op afstand. Zichtbare gezondheids- of geloofskenmerken zijn toegestaan als het niet de bedoeling is om onderscheid te maken naar deze bijzondere kenmerken. Het zijn dan géén bijzondere persoonsgegevens. Dat geldt ook voor het gebruik van een naam van een leerling, of een afbeelding van een leerling bij het account om een leerling te kunnen identificeren.

Kan Double Key Encryption online gebruikt worden?

Double Key Encryption kan worden ingesteld op OneDrive en Sharepoint. Dat werkt niet met de online versies van Excel en Word. Encryptie beperkt de functionaliteit. Gebruik het daarom niet breed, maar alleen voor gevoelige en bijzondere persoonsgegevens

Zijn er alternatieven voor DKE?

SIVON onderzoekt in samenwerking met partners andere vormen van encryptie. Feit blijft dat DKE complexe materie blijft en dat dit inderdaad weer andere risico’s met zich mee brengt. Deze zoektocht heeft tot nu toe niks opgeleverd.

Worden er vanuit SIVON standaard teksten voorgesteld voor de Pop-up’s om gebruikers te informeren?

We hebben een suggestie voor aanpassing/aanvulling op de Gedragscode ICT (acceptable use policy) toegevoegd. Zie dit document.

Is hierna ook een bestuursspecifieke DPIA nodig?

Het uitvoeren van een DPIA is een verplichting die rust op verwerkingsverantwoordelijken, schoolbesturen dus. Zij moeten kunnen aantonen welke technische en organisatorische maatregelen zij hebben genomen om de persoonsgegevens te beschermen. Ook bij gebruik van Teams, OneDrive en SharePoint. Het is dus nodig om de uitkomsten van de centraal uitgevoerde DPIA te vertalen naar de eigen organisatie.

Ik had al een overeenkomst met Microsoft via APS IT-diensten of SLBdiensten. Hoe kan het dat een aantal zaken niet is geregeld?

De verwerkersovereenkomst met Microsoft is eerder gecontroleerd. Het hoge risico bestaat in een specifieke situatie die gaat over opslag van gegevens bij een Amerikaans bedrijf. Het is hoog, en de kans dat het zich voordoet is zeer klein. Die kans komt dus alleen voor als na alle check en balances en het aanvechten van “court order” door Microsoft, ze toch verplicht worden inzage te verlenen. Het probleem is dat dit dus nog steeds kan, en daarom in strijd is met de AVG.

Wordt er een oordeel gevraagd aan Autoriteit Persoonsgegevens over de risico’s?

Er is geen oordeel gevraagd aan de Autoriteit Persoonsgegevens (AP) over MS Teams. Er zijn ook geen plannen om de Autoriteit Persoonsgegevens te vragen om een oordeel.

De AP schrijft op haar website over uitwisselen van gegevens met derde landen (waaronder de VS): “Alleen als organisaties kunnen waarborgen dat gegevens net zo goed beschermd worden als in de EU, mogen zij nog persoonsgegevens doorgeven aan de VS. Als bedrijven persoonsgegevens willen opslaan in landen waar persoonsgegevens minder goed worden beschermd, is het hun eigen verantwoordelijkheid om te waarborgen dat dit alsnog net zo veilig gebeurt. Is er na nader onderzoek nog steeds enige twijfel over de veiligheid van doorgifte van persoonsgegevens? Stop dan met de doorgifte of begin niet aan een nieuwe doorgifte. Houd data dan in de EU.” en “Het is daarom niet altijd mogelijk om te voorkomen dat de Amerikaanse veiligheidsdiensten inzage krijgen in persoonsgegevens die naar de VS worden doorgegeven. Bovendien is de rechtsbescherming door een onafhankelijke rechter onvoldoende geregeld in de VS, concludeerde het Europese Hof van Justitie. Het is dus van groot belang dat de VS zorgen voor een betere bescherming van persoonsgegevens. “

In 2020 zijn er ook maatregelen aangeraden vanuit een dpia office365. Hoe sluit dit hierop aan?

Deze DPIA gaat uit van de eerder in 2020 geadviseerde maatregelen, een aantal maatregelen zijn hetzelfde. De eerdere maatregelen staan hier uitgewerkt.

Wat zijn de risico’s voor e-mail?

Er is eerder een DPIA uitgevoerd op Office 365. Deze is te vinden bij SLM Rijk en er staat een publicatie over bij Kennisnet.

Is beveiliging met Protection Labels (unified labeling) ook te omzeilen door Microsoft?

Deze labels helpen data te categoriseren. Het helpt niet bij genoemd risico.

Wanneer in native apps de risico’s niet zijn onderzocht en dus niet benoemd, waarom staat in de handreiking dan niet om deze te gebruiken (in plaats van de webversie)?

Niet getoetst, betekent niet dat het veilig is. In een ideale wereld is er voor het hele ict landschap op school vooraf bekend wat de risico’s zijn en impact is op de rechten en vrijheden van leerlingen, hun ouders en medewerkers. Dat is nu nog niet zo. SIVON zal in nauwe samenwerking met Kennisnet in haar dienstverlening rondom IBP de komende jaren de focus leggen op het maken van afspraken rondom informatiebeveiliging en privacy met leveranciers en ict-dienstverleners. Het huidige ‘DPIA portfolio’ van SIVON (in samenwerking met SURF en SLM Rijk) is verre van compleet. Om scholen te helpen compliant te zijn bij het gebruik van software en clouddiensten, blijft SIVON haar dienstverlening rondom IBP uitbreiden. De centrale DPIA’s van SIVON helpen scholen hierbij, zodat niet iedere school zelf deze volledige security- en privacytoets moet uitvoeren.

DPIA lijkt vooral gericht op online (video)’gesprekken’ en opnames daarvan. Achterliggende techniek hiervoor is Skype, dus is vooral Skype onderzocht in plaats van Teams?

Ondanks dat de achterliggende techniek van Teams overeenkomsten vertoont met Skype, heeft deze DPIA geen betrekking op Skype.

Yammer is niet onderzocht. Wordt daar op een later moment nog privacy onderzoek naar gedaan?

De komende periode worden er op de verschillende onderdelen van Microsoft Office-producten DPIA’s of ‘lichtere’ privacytoetsen uitgevoerd. SIVON publiceert hiervan een overzicht.

Scholen voeren via Teams gesprekken met ouders, zorg- en hulpverleners. Hier wordt dan voluit gesproken over leerlingen, zorg en hun thuissituatie. Kan dit nog wel?

Het advies is om Teams niet te gebruiken voor het verwerken van gevoelige of bijzondere persoonsgegevens. Het gaat dan om zorg- en gezondheidsinformatie. Bij les geven in Teams, is het risico laag. Voor oudergesprekken, mentor- en zorggesprekken is het advies geen gebruik te maken van Teams. Het privacyrisico voor die gesprekken is hoog. Een alternatief is om een spontaan 1-op-1 Teams-gesprek te houden als het gesprek tussen 2 personen plaatsvindt. Een dergelijk gesprek kan namelijk wel voldoende versleuteld worden. Meer informatie hierover staat in de technische handreiking. Overweeg het gebruik van Zoom waar wel E2EE voor groepsgesprekken beschikbaar is.

Waar staat in de handreiking uitleg over de implementatie van de Customer Lockbox?

Er staat een uitleg onderaan in de handleiding met technische maatregelen over de Customer Lockbox. Het is goed om te beseffen dat Customer Lockbox géén versleuting (DKE) is van OneDrive of SharePoint maar een tool om ondersteuning door Microsoft mogelijk te maken, feitelijk een unlockbox zodat Microsoft “erbij” kan. 

Welke termijn heeft Microsoft gegeven voor het oplossen van het probleem met BING?

Microsoft verklaart dit einde Q2 2022 hebben uitgevoerd.

Wat is precies het risico van Bing Search afbeelden invoegen in SharePoint?

Bij het gebruik van BING, in combinatie met Teams, OneDrive of SharePoint, worden persoonsgegevens gedeeld met Microsoft. Voor BING is Microsoft géén verwerker maar verwerkingsverantwoordelijke. Hierbij worden dus pseudonieme gegevens van personen (waarvoor scholen verantwoordelijk zijn) gedeeld met diensten waarvoor Microsoft bepaalt waarvoor deze persoonsgegevens gebruikt mogen worden. Schoolbesturen zijn dat niet meer ‘in control’. De rollen van Microsoft als verwerker en verwerkingsverantwoordelijke lopen dan door elkaar.

Is er onderzocht of scholen in staat zijn om de technische instellingen zelf door te (laten) voeren vanwege de complexiteit?

De ict-leveranciers van scholen (zoals APS IT-diensten, Heutink, Rolf groep, etc) kunnen ondersteunen bij het implementeren van maatregelen.

Wie moet de EU data boundary implementeren?

Microsoft gaat haar klanten de EU Data Boundery aanbieden, hierbij kunnen klanten data opslaan binnen de EU. Microsoft slaat overigens al haar data op in de EU. Dat geld straks ook voor telemetrie data met de EU boundery. De boundery komt in december 2022 beschikbaar.

Moeten we nu extra licenties aanschaffen?

Als u DKE gaat gebruiken helaas wel. De gebruikte technologieën zijn ontwikkeld voor verhoogde security. Het is niet de bedoeling van Microsoft haar klanten extra te laten betalen voor privacy die standaard moet zijn voor iedereen. Voor advies over licenties verwijzen we naar SLBdiensten en APS IT-diensten

Is het DPIA onderzoek gedaan door SURF of SLMrijk?

SURF, SLMrijk en SIVON werken samen op het gebied van privacy onderzoek op grote tech leveranciers. Hierdoor voorkomen we dat werk dubbel gedaan moet worden. De uitvoering van DPIA’s is verdeeld onder deze partijen waarbij steeds een andere partij het initiatief neemt de DPIA uit te voeren. Bij Microsoft is SLMrijk in de lead.