In 2022 is de DPIA op Microsoft Teams, OneDrive, SharePoint afgerond. Uit deze DPIA komt een hoog risico naar voren voor het delen van gevoelige en bijzondere persoonsgegevens via Microsoft Teams, SharePoint of OneDrive. De toegang tot informatie op OneDrive, SharePoint en groepsgesprekken in Teams zijn niet voldoende versleuteld, omdat Microsoft zelf de toegang (sleutel) heeft. Het hoge risico ontstaat omdat het juridische kader om gegevens uit te wisselen tussen EU en USA door het Schrems II arrest ongeldig is verklaard, en toegang door Amerikaanse opsporing- en inlichtingendiensten onrechtmatig is verklaard door het Europees Hof van Justitie. Het risico bij Microsoft is vastgesteld op basis van een Data Transfer Impact Assesment (DTIA).
De voorgeschreven maatregelen om dit risico te mitigeren bestaan uit de implementatie van een vorm van client side encryption voor gevoelige of bijzondere persoonsgegevens. Microsoft biedt daarvoor Double Key Encryption. Deze functionaliteit is beschikbaar via het E5/A5.
Client side encryptie is een dataversleutelingstechniek waarbij de data op het apparaat (client) wordt versleuteld voor het verzonden wordt naar een server (zoals een cloudopslag).
Alternatief: Boxcryptor
In de praktijk geeft client side encryptie weer andere risico’s, zoals het verlies van data door het kwijtraken van de encryptiesleutel. Bij client side encryptie bent u zelf verantwoordelijk voor sleutelbeheer. Daarnaast zijn diverse online-functies niet meer beschikbaar. Samenwerken in hetzelfde document in Teams of via de browser is onmogelijk.
Hoe werkt het?
Boxcryptor werkt alleen via de verkenner. Dit voelt in relatie tot het werken in de cloud tegenstrijdig, maar is noodzakelijk om de versleuteling mogelijk te maken. De online functionaliteit van de cloudomgeving komt hierdoor gedeeltelijk te vervallen. Bij samenwerken aan versleutelde bestanden vraagt dit flink wat gewenning
van de eindgebruiker. De Boxcryptor client software maakt een nieuwe map in de verkenner. In deze map staan de versleutelde bestanden. Vanuit de map worden versleutelde bestanden gesynchroniseerd met de cloud. Het versleutelde bestand is enkel via Boxcryptor nog te openen en te bewerken en kan niet meer via een webbrowser (online) worden geopend. Om Boxcryptor binnen Teams te kunnen gebruiken is er een ‘Boxcryptor voor Microsoft Teams app’ noodzakelijk.
Boxcryptor heeft naast de beschikbare client voor eindgebruikers ook een centrale beheeromgeving waar enkel de beheerder (admin) toegang tot heeft. Binnen de beheeromgeving dient een master key te worden geactiveerd en voorzien van een wachtwoord. Het is aan te raden om dit wachtwoord in een (digitale) wachtwoordkluis te bewaren.
Deze hoofdsleutel staat boven alle gebruikerssleutels en kan worden gebruikt wanneer een gebruikerssleutel kwijtraakt, bijvoorbeeld een medewerker die de organisatie verlaat. Met behulp van deze hoofdsleutel is het mogelijk om data van deze betreffende gebruiker opnieuw toegankelijk te maken.
In de beheeromgeving kunnen gebruikers, groepen en beleidsregels worden geconfigureerd. Met behulp van beleidsregels is het bijvoorbeeld mogelijk om inlogpogingen vanuit bepaalde IP-adressen of landen te blokkeren. Ook is het mogelijk om tweefactor authenticatie af te dwingen tijdens het inloggen op de Boxcryptor client en kan een minimale wachtwoordlengte worden bepaald.\
Conclusie
Boxcryptor voelt als een oplossing die qua implementatie, beheer en gebruik eenvoudiger is dan de ‘native’ Microsoft double key encryption.
Bij implementatie moet rekening gehouden worden met onderstaande beperkingen:
- Boxcryptor kan alleen gebruikt worden via de verkenner. De eindgebruiker is verplicht een OneDrive client actief te hebben onder zijn/haar account om Boxcryptor te kunnen gebruiken.
- Het online openen en bewerken van bestanden is niet meer mogelijk nadat deze zijn versleuteld door Boxcryptor.
- Het werken met Boxcryptor vraagt een verandering van werkwijze, waarbij de organisatie op twee verschillende manieren gaat werken: zowel online als via de verkenner afhankelijk van of er met ‘gewone’ of gevoelige bestanden gewerkt wordt. Dit levert voor de eindgebruiker mogelijk verwarring op.
- Gastgebruikers die willen werken met versleutelde bestanden dienen altijd ook over een Boxcryptor licentie te beschikken.