Microsoft Teams, OneDrive en SharePoint: hoe zit het met je privacy?

SURF en SLM Rijk (ministerie van Justitie en Veiligheid) hebben, met medewerking van Privacy Company, een data protection impact assessment (DPIA) uitgevoerd met als scope Microsoft Teams, OneDrive, SharePoint en in beperkte vorm Azure Active Directory (voor het verzorgen van toegang voor gebruikers tot de diensten uit de scope). De DPIA beperkt zich tot de online diensten. Uit de DPIA zijn 7 privacy risico’s gekomen waarvan 6 geclassificeerd als laag risico, mits de uitkomsten uit de vorige DPIA zijn toegepast, en 1 geclassificeerd als hoog risico.

Hoog risico: opsporings- en inlichtingendiensten kunnen toegang verkrijgen tot persoonsgegevens. 

Microsoft slaat gegevens in Teams, OneDrive en SharePoint versleuteld op. De encryptiesleutel van de versleuteling is in het beheer van Microsoft. Hiermee is er onvoldoende rechtsbescherming tegen toegangsaanvragen van Amerikaanse opsporings- en inlichtingendiensten. Dit is een risico voor de privacy van leerlingen en medewerkers op scholen. Vanwege deze risico’s eist de AVG aanvullende maatregelen. 

Maatregelen om het hoge risico te beperken 

Voorkom de aanwezigheid van bijzondere persoonsgegevens in OneDrive, SharePoint en Teams. Maak hiervoor gebruik van bijvoorbeeld een Leerling Administratie Systeem (zoals ParnasSys).  

Maatregel 1

Zorg voor versleuteling van de persoonsgegevens in OneDrive, SharePoint en Teams door gebruik te maken van Double Key Encryption, afgekort DKE, (info). Of een andere vorm van versleuteling waarbij de sleutel in eigen bezit blijft. Hou bij het inzetten van dergelijke maatregelen wel rekening met de impact op het gebruiksgemak voor medewerkers.

Maatregel 2

Maak gebruik van E2EE encryption binnen Microsoft Teams. Met E2EE worden spontane Teams gesprekken versleuteld.

Geplande Teams gesprekken en groepsgesprekken kunnen nog geen gebruik maken van E2EE. Hoe ga je om met Teams gesprekken zonder E2EE of OneDrive, SharePoint en Teams zonder DKE? Spreek gebruikersregels af en in het bijzonder het delen van persoonsgegevens. Hieronder een aantal gebruiksregels die je zou kunnen afspreken: 

1. Deel niet ongevraagd persoonsgegevens. 
2. Deel geen vertrouwelijke bestanden met gebruikers die je niet (goed) kent. 
3. Gebruikt geen persoonsgegevens in pad– en bestandsnamen.
4. Wijs deelnemers van een Teams gesprek op de mogelijkheid van het gebruik van hun camera. Schakel de camera uit als de gebruiker dit niet prettig vind.
5. Maak beleid voor het opnemen van Teams gesprekken en spreek bewaartermijnen af. (Meer info vanuit Microsoft over het opnemen van Teams gesprekken). 

Wat kun je doen om maatregelen met de classificatie laag risico te mitigeren? 

Er zijn een aantal technische maatregelen die genomen kunnen worden om lage risico te mitigeren: 

1. Maak gebruikersnamen (inlognaam) anoniem. 
2. Gebruik geen SMS authenticatie als verificatiemethode bij MFA
3. Schakel third party apps uit in de Teams App Store. 
4. Schakel Optional Connected Experiences uit In Microsoft 365 (zoals Giphy en LinkedIn connectie). 
5. Schakel Teams Analytics en Reports uit, waar mogelijk. 
6. Zet de verzameling van telemetriegegevens in Microsoft 365 op het laagste niveau 
7. Zet de verzameling van telemetriegegevens in Windows op het laagste niveau 

Ook zijn er een aantal organisatorische maatregelen te nemen: 

1. Maak geen gebruik van persoonsgegevens in pad- en bestandsnamen.
2. Maak geen gebruik van Bing Search om afbeeldingen in documenten te plaatsen. 
3. Spreek bewaartermijnen af 
4. Gebruik regelmatig de Viewer voor Diagnostische gegevens om inzicht te krijgen in welke data er verzameld wordt. 

Wat doet Microsoft? 

Microsoft heeft verklaart dat ze nog geen verzoeken heeft gehad van overheden. Het beleid is om hier tegen in beroep te gaan. In de overeenkomst met Microsoft staat ook dat zij gegevens uitsluitend gebruiken in overeenstemming met de gedocumenteerde instructies van scholen. Er zijn strenge regels en procedures om rondkijken in de bestanden van leerlingen en medewerkers tegen te gaan. Daarnaast voeren zijn een aantal technische en organisatorische wijzigingen door: 

1. E2EE in geplande Teamsgesprekken en groepsgespreken. Nog niet beschikbaar ook geen releasedatum. 
2. Implementatie EU Data Boundary (Q4 2022). 
3. Support op onafhankelijke audit van service data.
4. Verbetering van informatie op inzage verzoeken. 
5. Voorkomen van delen van data uit Connected Experiences terwijl dit uitgeschakeld is (Q2 2022).
6. Teams Analytics en Reports wordt standaard uitgeschakeld. 

Hoe nu verder? 

Wij adviseren je dit artikel goed door te lezen en direct actie te ondernemen. Zodra er nieuwe informatie beschikbaar is over de maatregelen die jij voor je school kunt nemen, dan informeren wij je hierover.