De Nederlandse overheid en SURF hebben een Data Protection Impact Assessment (DPIA) laten uitvoeren op Microsoft Teams in combinatie met OneDrive en SharePoint. Uit dit assessment blijkt dat er één hoog privacyrisico is en zes risico’s die als ‘laag’ bestempeld worden, mits hiervoor de nodige maatregelen worden genomen. Het is dus wel belangrijk dat je ook op de lage risico’s actie onderneemt als organisatie als je gebruikmaakt van Teams. De handreiking van SIVON geeft aan wat daar voor nodig is. Het hoge risico bestaat voor de uitwisseling en opslag van gevoelige en bijzondere persoonsgegevens.
Versleuteling
De toegang tot informatie op OneDrive, SharePoint en groepsgesprekken in Teams zijn niet voldoende versleuteld, omdat Microsoft zelf de toegang (sleutel) heeft. De Amerikaanse opsporings- en inlichtingendiensten kunnen Microsoft vorderen toegang te geven tot die persoonsgegevens. Dit kan worden opgelost door gebruik te maken van een andere vorm van versleuteling. Voor spontane Teams calls is de zogenaamde end-to-end encryptie (E2EE) beschikbaar. Voor geplande Teams calls is dit nog niet beschikbaar.
Maatregelen treffen
In de handreiking van SIVON staat beschreven welke maatregelen je als onderwijsinstelling moet nemen om de privacyrisico’s te beperken. Bekijk hier de handreiking.
Waar kan Cloudwise je bij helpen?
Uiteraard helpen we graag. Als je de E2EE encryptie wilt inschakelen voor Teams dan kun je dat aan ons doorgeven via dit formulier. Dan nemen we contact met je op en zorgen we dat het geregeld wordt. Let er ook op dat je vervolgens je medewerkers de instructie geeft om dit aan te zetten als ze een Teams-gesprek starten waarin gevoelige persoonsgegevens worden uitgewisseld. Heb je behoefte aan meer ondersteuning en advies hierover, dan kun je dat ook aangeven in het formulier. In dat geval inventariseren we welke vragen er zijn en kijken we hoe we je daar het beste bij kunnen helpen.
Uiteindelijk is het CvB van de school eindverantwoordelijk voor het naleven van regels rond data en privacy. Laat het bovenstaande formulier voor het inschakelen van de encryptie daarom invullen door een bevoegd persoon. Stuur deze mail dus vooral door naar andere personen binnen je organisatie die hierbij betrokken moeten zijn.
Informatievoorziening
We houden de berichtgeving nauwlettend in de gaten en houden je op de hoogte als er nieuwe informatie is. Op de website van SIVON worden hier regelmatig artikelen over geplaatst, zoals deze:
- Artikel over de inhoud van de Microsoft DPIA
- FAQ van SIVON
- Handreiking met overzicht te nemen maatregelen
Wil je als bestuur je medewerkers informeren? Gebruik dan deze voorbeeldbrief.
