Waar ben je naar op zoek?

Samen aanjagen van vernieuwing
Vendor compliance
Namens instellingen voeren we privacy- en security- risicoanalyses uit op leveranciers. Hiermee geven we gezamenlijk invulling aan wettelijke verplichtingen. Door het bundelen van expertise realiseren we kostenbesparing, kennisdeling en hebben we namens de onderwijs- en onderzoekssector een sterkere onderhandelingspositie richting leveranciers.
Handen met computer met groen op de achtergrond reflecterend in het scherm

'Door met leveranciers in gesprek te gaan én te blijven, sluiten we de beste privacy en security voorwaarden af voor het onderzoek en onderwijs.'

Sandy Janssen

Sandy Janssen

n.v.t.
vendorcompliance@surf.nl

Microsoft OneDrive, SharePoint en Teams

SURF heeft samen met het ministerie van Justitie en Veiligheid (Strategisch Leveranciersmanagement voor de Rijksoverheid) opdracht gegeven aan de Privacy Company tot het uitvoeren van een Data Protection Impact Assessment (DPIA) op Microsoft OneDrive, SharePoint en Teams.

Uitkomsten van Data Protection Impact Assessment (DPIA) op Microsoft OneDrive, SharePoint en Teams

23 februari 2022 - SURF heeft samen met het ministerie van Justitie en Veiligheid (Strategisch Leveranciersmanagement voor de Rijksoverheid) opdracht gegeven aan de Privacy Company tot het uitvoeren van een Data Protection Impact Assessment (DPIA) op Microsoft OneDrive, SharePoint en Teams.  

Uit het onderzoek komen de volgende zaken naar voren: 

  • 6 lage risico’s 
  • 1 hoog risico 

De 6 lage risico’s zijn pas als zodanig te classificeren, nadat acties zijn uitgevoerd door de instellingen. SURF komt hiervoor met nadere informatie. Het hoge risico betreft het gebruik van Teams. Het gaat om de specifieke situatie waarin bijzondere persoonsgegevens worden gedeeld via vooraf ingeplande Teams-vergaderingen. Deze geplande sessies zijn niet end-to-end versleuteld. Op dit moment biedt Microsoft deze versleuteling (end-to-end encryption, E2EE) alleen aan voor spontane 1-op-1 uitwisselingen. 

Maatregelen 

Microsoft heeft toegezegd om E2EE te gaan ondersteunen voor alle geplande Teams-gesprekken, maar heeft hiervoor nog geen exacte datum gegeven. SURF en het ministerie van Justitie en Veiligheid blijven hierover met Microsoft in gesprek. Nadat Microsoft duidelijkheid biedt over een implementatiedatum, kan het risico dat nu hoog is, heroverwogen worden. 

Als instellingen OneDrive en SharePoint willen gebruiken om gevoelige of bijzondere persoonsgegevens te verwerken, worden ze geadviseerd om gebruik te maken van de Microsoft-dienst Double Key Encryption of van versleutelingoplossingen van derde partijen. Zo kunnen bestanden versleuteld worden opgeslagen.  

Opvragen van persoonsgegevens door opsporings- en inlichtingendiensten 

Microsoft meldde in november 2021 dat het nog nooit persoonsgegevens van werknemers van publieke sectorinstellingen heeft verstrekt aan welke overheid dan ook. Microsoft kondigde eerder aan te werken aan een oplossing waarbij persoonsgegevens exclusief in de EU worden verwerkt (de zogeheten EU Data Boundary).  

Nadere informatie 

SURF houdt verder nauwgezet de ontwikkelingen in de gaten over het gebruik van cloud diensten buiten de EER en spant zich in om ervoor te zorgen dat technische en contractuele afspraken met leveranciers compliant zijn en dat risico’s worden geminimaliseerd. 

Downloads