Nieuws
zondag 27 september 2020

Microsoft Teams – de noodzakelijkheid van een beleid (gegevensbescherming)

Microsoft Teams heeft – net zoals vele andere programma’s voor videobellen – aan populariteit gewonnen sinds de uitbraak van de coronapandemie.
Met Teams heeft Microsoft een platform ontwikkeld dat heel wat functionaliteiten samenbrengt, waarbij koppelingen met tools los van Microsoft bovendien voor een rijkere gebruikservaring zorgen.
In veel organisaties zie je dan ook Teams en aanverwante applicaties als paddenstoelen uit de grond schieten. Ze worden ingezet voor meerdere doeleinden, bijvoorbeeld als collaboratietool voor organisatieoverschrijdende projecten.
Maar wie beslist er over de aanmaak van een nieuw Team? Wie behoudt het overzicht? Wie waakt er over de gegevensbescherming?
We geven een kort overzicht van risico’s die een degelijk beleid rond Teams (gegevensbescherming) onontbeerlijk maken. 

Risico’s


Is Teams wel veilig?

In april verscheen er al een eerste analyse van de Nederlandse Autoriteit Persoonsgegevens waarin Teams en andere populaire toepassingen voor videobellen aan de hand van enkele criteria beoordeeld werden. 
Deze criteria vormen een solide basis voor de keuze van Teams maar zeggen nog niet alles over het gebruik ervan. 
Hierna volgen enkele risico’s die niet opgenomen zijn in de analyse van AP.

Samenwerking met andere organisaties

Een nieuw Team aanmaken, externen of ‘Gasten’ uitnodigen, (persoons)gegevens delen: in een mum van tijd heb je het voor elkaar. Maar laten we niet vergeten dat dit een nachtmerrie kan worden voor het Team gegevensbescherming binnen de organisatie. (ter herinnering: dit team bestaat uit één of meerdere specialisten informatieveiligheid en DPO(‘s))

 De GDPR eist dat er voorafgaand aan de verwerking van persoonsgegevens enkele zaken onderzocht worden.
  • Wat zijn de doelstelling(en) van de verwerking? 
  • Welke rechtsgrond gebruiken we?
  • Worden de basisbeginselen van de GDPR gerespecteerd zoals minimale verwerking, bewaartermijnen?
  • Wordt er gewaakt over de rechten van betrokkenen? 
  • Wie is verwerkingsverantwoordelijke of verwerker?

Teams moet ook zo ingericht worden dat de toegang tot de persoonsgegevens beperkt blijft tot de personen die betrokken zijn bij deze verwerking. Wellicht moet deze verwerking in het verwerkingsregister? 

Wie dacht snel een Teams-omgeving op te zetten om samen te werken met derden is eraan voor de moeite en het kan wel even duren om de bedrijfscultuur te veranderen overeenkomstig de nieuwe werkwijze.

 

Apps, bots, & connectors

Er zijn voor Microsoft Teams al honderden koppelingen en integraties met apps van allerlei leveranciers beschikbaar en er worden vrijwel dagelijks nieuwe apps toegevoegd in de Teams Store. Vooraleer apps toegelaten kunnen worden, is er een grondig onderzoek nodig. Een goede vertrekbasis is de risicoscore (0-10) die Microsoft zelf toekent aan sommige apps. Deze score wordt bepaald aan de hand van een aantal parameters zoals beveiliging en de naleving van de GDPR.
Apps met de score 0 komen zeer veel voor en Microsoft kleurt de apps pas groen wanneer deze een score van minimum 8 halen.
Opgepast, de toegekende scores van Microsoft zijn een leidraad om een eerste filtering uit te voeren, maar vooraleer je een app in gebruik neemt is het absoluut noodzakelijk de details kritisch te bekijken. 

Als we het voorbeeld nemen van de Google Calendar app, dan zien we dat de app punten verliest omdat het niet compatibel is met sommige securitystandaarden. Verder worden er ook juridisch enkele punten afgetrokken omdat sommige zaken niet geverifieerd werden.

Wanneer je apps in gebruik neemt, dan kan je dus niet ten volle vertrouwen op deze scores en is bijkomend onderzoek nodig.

Teams-kennis

Een gebrek aan kennis van Teams houdt bepaalde risico’s in.
Zijn de rechten binnen Teams en de gebruikte kanalen wel goed ingesteld? Worden de mappen of bestanden op de juiste wijze gedeeld met externen?
Verder kunnen de mogelijkheden binnen Teams ook helpen om aan de GDPR te voldoen. Zo kan een Teams-retentiebeleid erover waken dat de bewaartermijnen afgedwongen worden. Let op: sommige functionaliteiten zijn afhankelijk van de licentie.

Wellicht kunnen deze tips ondersteunend werken om tot een goede Teams-Governance te komen en kan de Teams Advisor de organisatie assisteren met een plan van aanpak. 

Shadow IT

Zonder goede afspraken kan Teams ook misbruikt worden en leiden tot ‘Shadow IT’, of het opzetten van een omgeving zonder medeweten van de ICT-dienst. Op deze wijze kunnen ‘datakoterijen’ ontstaan en verliezen we het overzicht.

Het achterliggend bestandsysteem van Teams is Sharepoint (OneDrive). Zetten we volop in op Sharepoint, blokkeer dan ook de koppeling naar andere Cloud opslagapps zoals GDrive of Dropbox, om te vermijden dat ook hier bestanden worden opgeslagen. Als er dan toch extra opslagapps in gebruik worden genomen door medewerkers, dan wordt het bijzonder moeilijk – of zelfs onmogelijk - om nog overzicht te krijgen op de interne data.

Geen overzicht

Quizvragen voor de ICT-dienst: 
  • Hoeveel Teams zijn er binnen de organisatie? 
  • Wie zijn de eigenaars? 
  • Zijn ze nog allemaal in gebruik? 
  • Worden ze gebruikt door externen?
Standaard volgt dan meestal het antwoord “geen idee”.

Maak een inventaris van de gebruikte Teams en monitor het gebruik ervan.
 
Via de ingebouwde rapportering van het Teams admin center kan je rapporten genereren om een overzicht te krijgen van de gebruikte Teams en apps.
 
Blijf je op je honger zitten, dan is er ook nog Powershell. Microsoft stelt een nuttig script ter beschikking om een activiteitenrapport te genereren van de gebruikte Office 365-groepen en Teams. 
 

Aanbevelingen


Het grote voordeel van Teams, nl. om snel een werkomgeving op te zetten, is tevens een groot nadeel omdat de analyse gegevensbescherming niet of onvolledig uitgevoerd wordt.

Enkele aanbevelingen om dit te verhelpen:
  
  • Maak een Teams-beleid rekening houdende met alle aspecten van gegevensbescherming. Een goed beleid valt of staat met de steun van het management, al dan niet na een toelichting van de DPO over de mogelijke sancties en boetes.
  • Beperk de mogelijkheid om nieuwe Teams aan te maken tot een beperkte groep medewerkers.
  • Betrek het team gegevensbescherming wanneer er persoonsgegevens verwerkt worden.
  • Zorg dat er voldoende kennis is van Teams en dat deze up-to-date blijft.
  • Monitor het gebruik van Teams (gebruiksactiviteit, logging ...).

Geschreven door: ID

Vragen? Opmerkingen? Contacteer ons!

Comments uit onze community

Reageren
Om te reageren moet je eerst inloggen.
GEBRUIK ONZE INFORMATIEVEILIGHEIDSTOOL