image

Privacyrisico's bij gebruik Microsoft-clouddiensten door overheid en onderwijs

dinsdag 22 februari 2022, 09:37 door Redactie, 26 reacties

Bij het gebruik van Microsoft Teams, OneDrive en SharePoint door de Rijksoverheid en universiteiten zijn er verschillende privacyrisico's, zo blijkt uit onderzoek van de Haagse Privacy Company dat werd uitgevoerd in opdracht van het ministerie van Justitie en Veiligheid en SURF, de ict-inkooporganisatie van hogescholen en universiteiten. Dit is het derde onderzoek dat Privacy Company op deze diensten heeft uitgevoerd sinds Microsoft uitgebreide nieuwe privacy-afspraken heeft gemaakt met de Nederlandse overheid en de universiteiten voor alle werknemers.

Voor het onderzoek werd gekeken naar de risico's van het verzamelen en verwerken van zogenaamde diagnostische gegevens. Het gaat dan om informatie over het individuele gebruik van de diensten, zoals wie er met Teams belt en wordt gebeld, aan een chat of intranetpagina toegevoegde afbeeldingen en het soort geschreven, gelezen en gedeelde documenten. Ook keek het onderzoek naar de privacyrisico’s van het gebruik van Microsofts cloud voor de inhoudelijke gegevens die via deze diensten zijn te delen.

Het onderzoek leverde zes privacyrisico's op die als laag zijn geclassificeerd en een hoog privacyrisico bij het gebruik van Teams om zeer gevoelige en bijzondere categorieën gegevens te verwerken. De lage privacyrisico's bestaan onder andere uit het verlies van controle en oneigenlijke verdere verwerking vanwege de incidentele verwerking van padnamen, gebruikersnamen en e-mailadressen in specifieke telemetrieberichten over OneDrive, beperkingen op het recht van inzage en oneigenlijke verdere verwerking door derde partijen.

Het hoge privacyrisico bij het gebruik van Teams doet zich voor vanwege de mogelijke toegang door Amerikaanse opsporings- en veiligheidsdiensten. Het gaat dan specifiek om bijzondere persoonsgegevens die niet met een eigen sleutel zijn versleuteld. "De belangrijkste maatregel die organisaties in Europa kunnen nemen tegen dit risico van massasurveillance is het versleutelen van de gegevens met een eigen sleutel, waar ook een leverancier zoals Microsoft geen toegang toe heeft", aldus Privacy Company.

Volgens de onderzoekers zouden organisaties geen gevoelige of bijzondere persoonsgegevens via Teams mogen uitwisselen, tenzij de gegevens van nature openbaar zijn, omdat zij geen controle hebben over de encryptiesleutels. Om gevoelige en bijzondere persoonsgegevens te beschermen in OneDrive en SharePoint kunnen organisaties gebruik maken van Microsofts Double Key Encryption (DKE).

Conclusie

Privacy Company stelt in de conclusie dat Microsoft meer aanpassingen en verbeteringen moet doorvoeren om het hoge privacyrisico en de zes vastgestelde lage risico's te beperken. Zo moet het techbedrijf bekendmaken wanneer end-to-end encryptie voor alle Teams-uitwisselingen beschikbaar is. Ook moet Microsoft ervoor zorgen dat standaardinstellingen privacyvriendelijk zijn.

Onlangs kondigden de Europese privacytoezichthouders (EDPB) een groot onderzoek aan naar het gebruik van clouddiensten door overheidsinstanties. "Als de EDPB het risico van doorgifte toch hoger zou inschatten, zelfs nadat Microsoft de EU Data Boundary heeft voltooid, kunnen organisaties in Nederland eigenlijk geen gebruik meer maken van diensten van Amerikaanse providers, en heeft dit veel grotere gevolgen dan alleen het gebruik van deze Microsoft-diensten", zo waarschuwen de onderzoekers. Naast het onderzoek geeft Privacy Company ook tips voor het instellen van Microsofts clouddiensten.

Image

Reacties (26)
22-02-2022, 09:45 door _R0N_
Is er ook zo'n onderzoek gedaan naar Google Cloud?

Altijd handig om het mensen te delen als ze denken dat dit een goed idee is.
22-02-2022, 09:53 door Anoniem
Door _R0N_: Is er ook zo'n onderzoek gedaan naar Google Cloud?

Altijd handig om het mensen te delen als ze denken dat dit een goed idee is.
https://cloudwise.nl/onderzoek-dpia-naar-veiligheid-van-google-workspace-for-education/
22-02-2022, 09:55 door _Martin_
Deel geen zeer gevoelige of bijzondere persoonsgegevens via Teams, tenzij het om een openbare bijeenkomst gaat
Lees ik dit nu verkeerd of staat hier dat je zeer gevoelige of bijzondere persoonsgegevens uitsluitend mag delen in een openbare bijeenkomst???

medewerker A:
Ik heb zeer gevoelige of bijzondere persoonsgegevens die ik wil delen. Kan dit even via Teams?
medewerker B:
Natuurlijk, dat kan wel even, maar niet in een privé-bijeenkomst. Nodig de rest van de organisatie ook even uit, dan mag het wel.
22-02-2022, 10:08 door Anoniem
Is er ook al een onderzoek gedaan naar het gebruik van Microsoft 365 voor bedrijven. De ING bank gebruikt voor de mail Microsoft 365.
22-02-2022, 10:12 door Anoniem

Onlangs kondigden de Europese privacytoezichthouders (EDPB) een groot onderzoek aan naar het gebruik van clouddiensten door overheidsinstanties. "Als de EDPB het risico van doorgifte toch hoger zou inschatten, zelfs nadat Microsoft de EU Data Boundary heeft voltooid, kunnen organisaties in Nederland eigenlijk geen gebruik meer maken van diensten van Amerikaanse providers, en heeft dit veel grotere gevolgen dan alleen het gebruik van deze Microsoft-diensten", zo waarschuwen de onderzoekers

Dus het risico wordt nu bij gesteld omdat het anders te veel impact heeft.
Voelt als de omgekeerde wereld.
Zo blijven we maar aanmodderen en alles toestaan want het kost moeite en meestal geld.

Net als alle andere topics: landbouw gif, bedrijven die te veel rommel uitstoten/dumpen, klimaat.
22-02-2022, 10:41 door Anoniem
In dat rapport spreken ze over "Appendix 1" waarin de technische details staan (ze zijn met sniffers aan de gang gegaan zo te lezen). Deze appendix zou op pagina 117 moeten beginnen maar ontbreekt.

Heeft iemand die "Appendix 1" al gevonden. Daar staan de interessante dingen in.
22-02-2022, 10:41 door Anoniem
Ik kon tot een andere conclusie: Stop met USA cloud, privacy komt daar nooit goed. Je kunt producten die ontwikkeld zijn om data te oogsten niet achteraf met een instellinkje en een contractje hier of daar privacy vriendelijk krijgen, al steek je er nog zo veel moeite in. Privacy-by-design moet je BY-DESIGN doen. Dit is ook een eis in de AVG, hoog tijd dat dat ook eens gehandhaafd gaat worden.

De oplossing is er ook al, dat is Opensource, Decentraal en Zelf(laten) hosten. Bijvoorbeeld Nextcloud met collabora of onlyoffice en nextcloud talk kan prima MS Office365 vervangen.

Het is hoog tijd dat we weer eigen baas over eigen data worden!
22-02-2022, 11:44 door Anoniem
Door Anoniem: Ik kon tot een andere conclusie: Stop met USA cloud, privacy komt daar nooit goed. Je kunt producten die ontwikkeld zijn om data te oogsten niet achteraf met een instellinkje en een contractje hier of daar privacy vriendelijk krijgen, al steek je er nog zo veel moeite in. Privacy-by-design moet je BY-DESIGN doen. Dit is ook een eis in de AVG, hoog tijd dat dat ook eens gehandhaafd gaat worden.

ja, zo is het.

Wij hebben wetten die onze privacy (zouden moeten) beschermen.
In de VS hebben ze wetten die regelen dat de overheid surveillancemogelijkheden heeft.

Al ruim 10 jaar wordt geprobeerd om d.m.v. afspraken, allerlei jursterij en een hoop gelobby (Privacy Shield, SSC's, Safe Harbor) te regelen dat het zogenaamd wél compatible kan zijn. "Activisten" dit door, die krijgen van rechters gelijk, DPA's handhaven vervolgens niet, "activisten" dwingen af dat DPA's wat gaan doen, die komen weer met vergaderingen en richtlijnen en zo ettert het maar door.
22-02-2022, 12:14 door root
"Gebruik geen sms voor authenticatie...."

Laat het nu net zo zijn dat je met sms kunt voorkomen dat er meerdere telefoons worden geregistreerd. Met de Authenticator App kun je meerdere telefoons registreren (met zowel Notification als OTP), waardoor het makkelijker is om je account te delen.
22-02-2022, 12:16 door Anoniem
Door _R0N_: Is er ook zo'n onderzoek gedaan naar Google Cloud?

Altijd handig om het mensen te delen als ze denken dat dit een goed idee is.

Zou inderdaad goed zijn als er ook een onderzoek komt naar de andere drie techreuzen (Google, Amazon en Oracle). Ik maak uit het artikel op dat dit derde onderzoek een vervolg is op de eerdere onderzoeken die op Microsoft gericht waren. De scope van dit onderzoek zal denk ik beperkt zijn tot Microsoft (moet het onderzoek zelf nog lezen)
22-02-2022, 12:16 door majortom - Bijgewerkt: 22-02-2022, 12:18
Door root: "Gebruik geen sms voor authenticatie...."

Laat het nu net zo zijn dat je met sms kunt voorkomen dat er meerdere telefoons worden geregistreerd. Met de Authenticator App kun je meerdere telefoons registreren (met zowel Notification als OTP), waardoor het makkelijker is om je account te delen.
Dat hangt van de site af waarmee je de koppeling maakt. De ene site staat koppeling met meerdere (T)OTP devices (waaronder smartphones) toe, en anderen staan slechts 1 registratie toe.
22-02-2022, 12:19 door Anoniem
Door _Martin_:
Deel geen zeer gevoelige of bijzondere persoonsgegevens via Teams, tenzij het om een openbare bijeenkomst gaat
Lees ik dit nu verkeerd of staat hier dat je zeer gevoelige of bijzondere persoonsgegevens uitsluitend mag delen in een openbare bijeenkomst???

medewerker A:
Ik heb zeer gevoelige of bijzondere persoonsgegevens die ik wil delen. Kan dit even via Teams?
medewerker B:
Natuurlijk, dat kan wel even, maar niet in een privé-bijeenkomst. Nodig de rest van de organisatie ook even uit, dan mag het wel.

Het staat er wat ongelukkig verwoord, maar inmiddels is de tekst aangepast naar hetgeen er logischerwijs ook met bovenstaande bedoeld wordt:
Volgens de onderzoekers zouden organisaties geen gevoelige of bijzondere persoonsgegevens via Teams mogen uitwisselen, tenzij de gegevens van nature openbaar zijn,.....
22-02-2022, 12:21 door root
Door majortom:
Door root: "Gebruik geen sms voor authenticatie...."

Laat het nu net zo zijn dat je met sms kunt voorkomen dat er meerdere telefoons worden geregistreerd. Met de Authenticator App kun je meerdere telefoons registreren (met zowel Notification als OTP), waardoor het makkelijker is om je account te delen.
Dat hangt van de site af waarmee je de koppeling maakt. De ene site staat koppeling met meerdere (T)OTP devices (waaronder smartphones) toe, en anderen staan slechts 1 registratie toe.

Het gaat in dit artikel over Microsoft clouddiensten, die maken allemaal gebruik van Azure AD SSO, waarbij je met de authenticator app meerdere telefoons kunt registreren.
22-02-2022, 12:32 door Anoniem
Door majortom: "Gebruik geen sms voor authenticatie...."

Laat het nu net zo zijn dat je met sms kunt voorkomen dat er meerdere telefoons worden geregistreerd. Met de Authenticator App kun je meerdere telefoons registreren (met zowel Notification als OTP), waardoor het makkelijker is om je account te delen.

Gaat het al niet mis bij account delen?
22-02-2022, 14:26 door Anoniem
Er is geen plaats meer voor Microsoft binnen de overheid. Dat is al een hele tijd duidelijk. De overheid zal meer moeten doen met een eigen (evt Europese) cloud.
Het ministerie van Binnenlandse Zaken heeft het gebruik van het Standaard Platform, een door Logius ontwikkelde clouddienst, verplicht voor het ontwikkelen en hosten van applicaties, websites en andere diensten. Het Platform is bedoeld voor alle onderdelen van het ministerie, maar wordt ook breder ingezet binnen de overheid: https://www.logius.nl/actueel/standaard-platform-eerste-keus-voor-ontwikkelen-en-hosten-van-bzk-diensten
Wie weet komt er ook een initiatief om teams, sharepoint en office365 te vervangen.
22-02-2022, 15:57 door _Martin_
Door Anoniem:
Door _Martin_:
Deel geen zeer gevoelige of bijzondere persoonsgegevens via Teams, tenzij het om een openbare bijeenkomst gaat
Lees ik dit nu verkeerd of staat hier dat je zeer gevoelige of bijzondere persoonsgegevens uitsluitend mag delen in een openbare bijeenkomst???

medewerker A:
Ik heb zeer gevoelige of bijzondere persoonsgegevens die ik wil delen. Kan dit even via Teams?
medewerker B:
Natuurlijk, dat kan wel even, maar niet in een privé-bijeenkomst. Nodig de rest van de organisatie ook even uit, dan mag het wel.

Het staat er wat ongelukkig verwoord, maar inmiddels is de tekst aangepast naar hetgeen er logischerwijs ook met bovenstaande bedoeld wordt:
Volgens de onderzoekers zouden organisaties geen gevoelige of bijzondere persoonsgegevens via Teams mogen uitwisselen, tenzij de gegevens van nature openbaar zijn,.....
Ah, oké, ik zie de tekst nu staan in het artikel van Security.NL :-) Ik doelde eigenlijk op het rapport van Privacy Company waarnaar verwezen wordt (hetzelfde als punt 1 op het plaatje bij dit artikel), daar staat de genoemde quote.

Zie kopje Aanbevolen maatregelen publieke sectororganisaties op deze pagina: https://www.privacycompany.eu/blogpost-nl/nieuwe-dpia-voor-de-rijksoverheid-en-universiteiten-op-microsoft-teams-onedrive-en-sharepoint-online
22-02-2022, 16:39 door karma4
Door _R0N_: Is er ook zo'n onderzoek gedaan naar Google Cloud?
Altijd handig om het mensen te delen als ze denken dat dit een goed idee is.

Ik kan het niet vaak genoeg herhalen. End to end encryptie bestaat niet als de provider de sleutels heeft.
Dat is waar open source Google en de hele mikmak gewoon faalt. Geloof dat uitbesteding alles oplost dan wel open source iemand anders (onbetaald) doet het wel,

In principe is elke datacenter als oplossing daarmee onmogelijk. Wist je de de sleutelmaker altijd in staat is om de sleutel na te maken. Ook daar gaat het mis. Alle encryptie via Https SSL met externe sleutels is bij voorbaat kwetsbaar.

Door Anoniem: Er is geen plaats meer voor Microsoft binnen de overheid. Dat is al een hele tijd duidelijk. De overheid zal meer moeten doen met een eigen (evt Europese) cloud. ....
Totaal zinloze opmerking want door de uitbesteding aanbesteding komen dezelfde commercieële partijen binnen .
Je zult iets beters moeten verzinne dan autofabrikant b deugt niet want ik vindt c beter.
22-02-2022, 19:16 door Anoniem
Door karma4:
Door _R0N_: Is er ook zo'n onderzoek gedaan naar Google Cloud?
Altijd handig om het mensen te delen als ze denken dat dit een goed idee is.

Ik kan het niet vaak genoeg herhalen. End to end encryptie bestaat niet als de provider de sleutels heeft.
Dat is waar open source Google en de hele mikmak gewoon faalt. Geloof dat uitbesteding alles oplost dan wel open source iemand anders (onbetaald) doet het wel,

In principe is elke datacenter als oplossing daarmee onmogelijk. Wist je de de sleutelmaker altijd in staat is om de sleutel na te maken. Ook daar gaat het mis. Alle encryptie via Https SSL met externe sleutels is bij voorbaat kwetsbaar.

Door Anoniem: Er is geen plaats meer voor Microsoft binnen de overheid. Dat is al een hele tijd duidelijk. De overheid zal meer moeten doen met een eigen (evt Europese) cloud. ....
Totaal zinloze opmerking want door de uitbesteding aanbesteding komen dezelfde commercieële partijen binnen .
Je zult iets beters moeten verzinne dan autofabrikant b deugt niet want ik vindt c beter.

Nee, het is autofabrikant deugt niet want kan zich niet aan de AVG (GDPR) houden.
22-02-2022, 21:51 door Anoniem
Door root: "Gebruik geen sms voor authenticatie...."

Laat het nu net zo zijn dat je met sms kunt voorkomen dat er meerdere telefoons worden geregistreerd. Met de Authenticator App kun je meerdere telefoons registreren (met zowel Notification als OTP), waardoor het makkelijker is om je account te delen.

Want je kunt niet meerdere 06 nummers registreren? Zoals dat ook kan met de Authenticator.
23-02-2022, 09:08 door root - Bijgewerkt: 23-02-2022, 09:09
Door Anoniem:
Door root: "Gebruik geen sms voor authenticatie...."

Laat het nu net zo zijn dat je met sms kunt voorkomen dat er meerdere telefoons worden geregistreerd. Met de Authenticator App kun je meerdere telefoons registreren (met zowel Notification als OTP), waardoor het makkelijker is om je account te delen.

Want je kunt niet meerdere 06 nummers registreren? Zoals dat ook kan met de Authenticator.

Nee, dat kan niet. Je kunt voor sms maar 1 telefoon registreren.
23-02-2022, 10:00 door Anoniem
"sinds Microsoft uitgebreide nieuwe privacy-afspraken heeft gemaakt met de Nederlandse overheid en de universiteiten voor alle werknemers"

Dus de overige Microsoft gebruikers (of ze willen of niet/voor hun werk) mogen gewoonlijk door de opgelegde stront ploeteren.

Waarom twee maatstaven, is het doel van de overheid om enkel aan eigen opgelegde regelgevingen te voldoen, of gaan ze ook nog wat voor de burgers betekenen?
23-02-2022, 10:03 door Anoniem
Door root: "Gebruik geen sms voor authenticatie...."

Laat het nu net zo zijn dat je met sms kunt voorkomen dat er meerdere telefoons worden geregistreerd. Met de Authenticator App kun je meerdere telefoons registreren (met zowel Notification als OTP), waardoor het makkelijker is om je account te delen.
Dat kan je natuurlijk gewoon beperken. SMS authenticatie is weer gevoelig voor sim fraude.
23-02-2022, 10:51 door Open source gebruiker
Door Anoniem: "sinds Microsoft uitgebreide nieuwe privacy-afspraken heeft gemaakt met de Nederlandse overheid en de universiteiten voor alle werknemers"

Dus de overige Microsoft gebruikers (of ze willen of niet/voor hun werk) mogen gewoonlijk door de opgelegde stront ploeteren.

Waarom twee maatstaven, is het doel van de overheid om enkel aan eigen opgelegde regelgevingen te voldoen, of gaan ze ook nog wat voor de burgers betekenen?

Je kunt er voor kiezen om Microsoft te gebruiken, en al de privacy issues er bij te nemen, of Microsoft te verlaten.
Als burger hoef je niks te verwachten, dat blijkt wel weer, daarom zelf de regie nemen, als je privacy belangrijk vindt.
23-02-2022, 14:28 door Anoniem
Door root:
Door majortom:
Door root: "Gebruik geen sms voor authenticatie...."

Laat het nu net zo zijn dat je met sms kunt voorkomen dat er meerdere telefoons worden geregistreerd. Met de Authenticator App kun je meerdere telefoons registreren (met zowel Notification als OTP), waardoor het makkelijker is om je account te delen.
Dat hangt van de site af waarmee je de koppeling maakt. De ene site staat koppeling met meerdere (T)OTP devices (waaronder smartphones) toe, en anderen staan slechts 1 registratie toe.

Het gaat in dit artikel over Microsoft clouddiensten, die maken allemaal gebruik van Azure AD SSO, waarbij je met de authenticator app meerdere telefoons kunt registreren.

tenzij je dat uitzet zodat dit niet meer kan
24-02-2022, 10:25 door Anoniem
Dit is ook een interessant artikel: https://tweakers.net/nieuws/192002/oostenrijkse-privacytoezichthouder-google-analytics-is-in-strijd-met-gdpr.html

Er is wel wat gaande op het gebied van privacy. Nu is het een kwestie van doorpakken. Los van het grote USA. Als er nog een datacenter in NL wordt geplaatst, moet die van en voor EU zijn.
27-02-2022, 14:41 door karma4
Door Anoniem: Nee, het is autofabrikant deugt niet want kan zich niet aan de AVG (GDPR) houden.
Je laat je aardig kennen. autofabrikant A met toeleverancier B deugt niet maar autofabrikant D met toeleverancier B zou wel deugen. De klassieke merkbinding en OS flaming in coca cola pepsi cola jasje.

Leg maar eens uit hoe open source aan de AVG kan voldoen waar een verwerker en verantwoordelijke vereist zijn maar open source die rollen ontkent. Dan moeten we meteen van open source af wegens de AVG. Bedoel je dat?

Inmiddels is Azure en cloud het toverwoord in veel automatiseringsprojecten. Het zelf doen blijkt veel te duur te zijn en door hobbyisten die van alles open zetten (de vele datalekken) geeft het veel te veel problemen. Over de muur naar een andere is dan de oplossing. Voor de decentrale overheid is dat de enige optie wegens de beperkte omvang.
De centrale overheid UWV en anderen hebben een lock-in met externe dienstverleners die er al tijden tussen gezet zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.