💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van privacy-instellingen voor reclame-identificatie op Windows endpoints om privacy te beschermen en ongewenste tracking te voorkomen.
Aanbeveling
Implementeer
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Deze instelling is onderdeel van de Windows beveiligingsbaseline en beschermt tegen privacyrisico's door het uitschakelen van de reclame-ID, waardoor wordt voorkomen dat applicaties gebruikers kunnen volgen voor gepersonaliseerde advertenties zonder expliciete toestemming.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze regel configureert de app-privacy reclame-ID-instelling via Microsoft Intune apparaatconfiguratiebeleid of nalevingsbeleid om Windows endpoints te beveiligen volgens beveiligingsbeste praktijken en privacyregelgeving zoals de AVG.
Vereisten
De implementatie van het uitschakelen van de reclame-ID vereist een grondige voorbereiding waarbij zowel technische als organisatorische aspecten zorgvuldig moeten worden overwogen. Deze voorbereiding is essentieel om te waarborgen dat de implementatie succesvol verloopt en dat alle privacy-instellingen correct worden geconfigureerd en afgedwongen op alle Windows endpoints binnen de organisatie. Zonder adequate voorbereiding kunnen organisaties tegen onverwachte problemen aanlopen die de implementatie kunnen vertragen of zelfs kunnen leiden tot configuratiefouten die de privacybescherming in gevaar brengen. De technische basis voor deze implementatie wordt gevormd door Microsoft Intune, een mobiele apparaatbeheeroplossing die centraal beheer en afdwinging van privacy-instellingen mogelijk maakt. Intune maakt gebruik van apparaatconfiguratiebeleidsregels die beheerders in staat stellen om privacy-instellingen te configureren en deze automatisch toe te passen op alle Windows-apparaten die zijn geregistreerd in de Intune-omgeving. Deze centrale aanpak is cruciaal voor een effectieve privacybescherming, omdat het ervoor zorgt dat alle apparaten consistent zijn geconfigureerd en dat wijzigingen centraal kunnen worden beheerd zonder dat handmatige interventie op individuele apparaten nodig is. Zonder een goed geconfigureerde Intune-omgeving is het praktisch onmogelijk om privacy-instellingen op schaal te beheren en af te dwingen, wat betekent dat organisaties zonder Intune eerst moeten investeren in de opzet van deze infrastructuur voordat ze kunnen beginnen met het implementeren van privacy-instellingen. Naast de technische infrastructuur zelf is het essentieel dat de IT-afdeling beschikt over de juiste rechten en licenties om Intune te kunnen gebruiken. Microsoft Intune vereist een geldige licentie die kan worden verkregen als onderdeel van Microsoft 365 E3 of E5-abonnementen, of als een aparte Intune-licentie. Deze licentievereiste is niet alleen een technische kwestie, maar ook een organisatorische en financiële overweging die moet worden meegenomen in de besluitvorming over de implementatie. Zonder de juiste licentie kunnen beheerders geen apparaatconfiguratieprofielen maken of toewijzen aan apparaten, wat betekent dat de implementatie volledig wordt geblokkeerd. Daarnaast moeten beheerders beschikken over de juiste rollen binnen Microsoft Entra ID om beleidsregels te kunnen maken, toewijzen en beheren. De meest relevante rollen zijn Intune-beheerder en globale beheerder, waarbij elke rol verschillende niveaus van toegang biedt. Het is belangrijk om te begrijpen dat deze rolgebaseerde toegangscontrole een fundamenteel onderdeel is van de beveiliging van de Intune-omgeving, en dat organisaties moeten zorgen dat alleen bevoegde personen toegang hebben tot de configuratie. Dit vereist vaak een review van de huidige roltoewijzingen en mogelijk het aanpassen van rollen om ervoor te zorgen dat de juiste personen de juiste rechten hebben zonder onnodige toegang te verlenen. Vanuit organisatorisch perspectief is het belangrijk dat er een duidelijk beleid bestaat rondom privacy en gegevensbescherming voordat de technische implementatie begint. Dit beleid moet duidelijk beschrijven wat de reclame-ID inhoudt, waarom het uitschakelen hiervan belangrijk is voor privacybescherming, en hoe dit bijdraagt aan naleving van regelgeving zoals de Algemene Verordening Gegevensbescherming (AVG). De reclame-ID is een unieke identifier die door Windows wordt gegenereerd en die applicaties kunnen gebruiken om gebruikers te volgen voor gepersonaliseerde advertenties. Deze identifier maakt het mogelijk voor applicaties en advertentienetwerken om gebruikers te volgen tussen verschillende applicaties en websites, wat een significant privacyrisico vormt omdat het gebruikers kan identificeren zonder hun expliciete toestemming. Door deze identifier uit te schakelen, voorkomen organisaties dat gebruikersgegevens worden verzameld zonder expliciete toestemming, wat direct bijdraagt aan naleving van privacyregelgeving en het beschermen van de privacy van gebruikers. Het is belangrijk dat alle stakeholders binnen de organisatie begrijpen waarom deze maatregel wordt genomen en hoe deze bijdraagt aan de algehele privacybescherming, omdat dit helpt om draagvlak te creëren voor de implementatie en om te voorkomen dat gebruikers of andere stakeholders tegen de implementatie werken. Technisch gezien moeten alle Windows-apparaten die beheerd worden via Intune verbonden zijn met het netwerk en regelmatig communiceren met de Intune-service om beleidsupdates te ontvangen. Dit betekent dat apparaten minimaal één keer per 24 uur contact moeten maken met de Intune-service, hoewel dit interval kan worden aangepast afhankelijk van de specifieke behoeften van de organisatie. Voor apparaten die niet regelmatig online zijn, zoals laptops die langere tijd offline zijn of apparaten die worden gebruikt op locaties met beperkte netwerkconnectiviteit, kunnen langere synchronisatie-intervallen worden geconfigureerd, maar dit kan de tijd verlengen voordat wijzigingen worden doorgevoerd. Het is belangrijk om te begrijpen dat apparaten die niet regelmatig verbinding maken met Intune mogelijk niet de nieuwste privacy-instellingen ontvangen, wat een beveiligingsrisico kan vormen omdat deze apparaten mogelijk nog steeds de reclame-ID gebruiken terwijl andere apparaten deze al hebben uitgeschakeld. Organisaties moeten daarom een strategie ontwikkelen voor het beheren van apparaten die niet regelmatig online zijn, wat kan betekenen dat er aanvullende maatregelen nodig zijn om ervoor te zorgen dat deze apparaten ook de privacy-instellingen ontvangen zodra ze weer online zijn. Bovendien is het belangrijk dat de Windows-versie op de endpoints ondersteuning biedt voor privacy-instellingen via groepsbeleid of Intune. Moderne versies van Windows 10 en Windows 11 ondersteunen deze instellingen volledig, wat betekent dat organisaties die deze versies gebruiken geen aanvullende configuratie nodig hebben om de privacy-instellingen te kunnen implementeren. Voor oudere versies zoals Windows 8.1 of eerdere versies kan aanvullende configuratie nodig zijn of kunnen bepaalde privacy-instellingen niet beschikbaar zijn, wat betekent dat organisaties mogelijk moeten overwegen om deze apparaten te upgraden naar een nieuwere versie van Windows voordat ze de privacy-instellingen kunnen implementeren. Organisaties moeten daarom een inventarisatie uitvoeren van alle Windows-versies in hun omgeving en bepalen of upgrades nodig zijn voordat de privacy-instellingen worden geïmplementeerd. Deze inventarisatie moet niet alleen kijken naar de Windows-versie zelf, maar ook naar de hardwarevereisten voor upgrades en de kosten die gepaard gaan met het upgraden van apparaten. Het is ook belangrijk om te overwegen of er legacy-applicaties zijn die mogelijk afhankelijk zijn van de reclame-ID, hoewel dit zeldzaam is omdat de meeste moderne applicaties niet afhankelijk zijn van deze identifier voor hun functionaliteit. Vanuit compliance-perspectief is het uitschakelen van de reclame-ID een belangrijke maatregel om te voldoen aan het principe van gegevensminimalisatie zoals vereist door de AVG. Artikel 5 van de AVG vereist dat persoonsgegevens worden verzameld voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden, en dat de verzameling beperkt blijft tot wat noodzakelijk is voor die doeleinden. Door deze identifier uit te schakelen, minimaliseren organisaties de hoeveelheid gegevens die wordt verzameld en verwerkt, wat direct bijdraagt aan AVG-naleving en het beschermen van de privacy van gebruikers. Bovendien helpt het uitschakelen van de reclame-ID organisaties om te voldoen aan het principe van privacy by design, waarbij privacybescherming wordt ingebouwd in systemen en processen vanaf het begin in plaats van als een achteraf gedachte. Dit principe is niet alleen belangrijk voor AVG-naleving, maar ook voor het creëren van een cultuur waarin privacy wordt gewaardeerd en beschermd. Naast de AVG moeten Nederlandse overheidsorganisaties ook voldoen aan de Baseline Informatiebeveiliging Overheid (BIO), die specifieke eisen stelt aan privacybescherming en gegevensbeveiliging. Het uitschakelen van de reclame-ID draagt bij aan naleving van verschillende BIO-controles, waaronder controles gericht op privacybescherming en gegevensminimalisatie. Organisaties moeten daarom zorgvuldig documenteren waarom de reclame-ID is uitgeschakeld en hoe dit bijdraagt aan naleving van zowel de AVG als de BIO. Deze documentatie is niet alleen belangrijk voor interne compliance, maar ook voor externe audits door toezichthouders zoals de Autoriteit Persoonsgegevens, die kunnen vragen om bewijs dat organisaties adequate maatregelen hebben genomen om privacy te beschermen.
Implementatie
De implementatie van het uitschakelen van de reclame-ID via Microsoft Intune vereist een gestructureerde en methodische aanpak die begint met het maken van een apparaatconfiguratieprofiel in de Microsoft Intune-beheerconsole. Dit profiel vormt de technische basis voor het beheren en afdwingen van privacy-instellingen op alle Windows-apparaten binnen de organisatie, en het correct configureren van dit profiel is essentieel voor een succesvolle implementatie. Het implementatieproces begint met het navigeren naar de Apparaten-sectie in de Intune-portal, gevolgd door de Configuratieprofielen-sectie waar beheerders een nieuw profiel kunnen maken specifiek voor Windows 10 en latere versies. Deze stapsgewijze aanpak zorgt ervoor dat beheerders de juiste configuratieopties zien en dat het profiel wordt geconfigureerd volgens de beste praktijken voor Windows-privacy-instellingen. Bij het configureren van het apparaatconfiguratieprofiel selecteert de beheerder de categorie Privacy binnen de beschikbare configuratie-opties. Binnen deze categorie bevindt zich de specifieke instelling voor de reclame-ID, die kan worden geconfigureerd om deze identifier uit te schakelen. Deze configuratie voorkomt dat applicaties de reclame-ID kunnen gebruiken voor tracking en gepersonaliseerde advertenties, wat een belangrijke privacybeschermingsmaatregel is die direct bijdraagt aan naleving van de AVG door het voorkomen van ongewenste gegevensverzameling zonder expliciete toestemming van gebruikers. Wanneer de reclame-ID is uitgeschakeld, kunnen applicaties deze identifier niet meer gebruiken om gebruikers te volgen tussen verschillende applicaties en websites, wat de privacy van gebruikers aanzienlijk verbetert en ervoor zorgt dat organisaties voldoen aan het principe van gegevensminimalisatie zoals vereist door de AVG. Het is belangrijk om te begrijpen dat deze configuratie op apparaatniveau wordt toegepast, wat betekent dat alle gebruikers op het apparaat worden beschermd, ongeacht hun individuele privacy-instellingen. Na het configureren van de privacy-instelling moet het apparaatconfiguratieprofiel worden toegewezen aan de juiste groepen apparaten of gebruikers binnen de organisatie. Deze toewijzing gebeurt via Microsoft Entra ID-beveiligingsgroepen, wat organisaties flexibiliteit biedt in het toepassen van het beleid op verschillende delen van de organisatie. Deze flexibiliteit is belangrijk omdat verschillende afdelingen of gebruikersgroepen mogelijk verschillende privacyvereisten hebben, hoewel het uitschakelen van de reclame-ID over het algemeen als een beste praktijk wordt beschouwd voor alle gebruikers. Het is sterk aan te raden om eerst een testgroep te gebruiken voordat het beleid wordt uitgerold naar alle apparaten in de organisatie, omdat dit het mogelijk maakt om eventuele problemen te identificeren en op te lossen voordat de volledige implementatie plaatsvindt. Deze gefaseerde aanpak vermindert het risico op onverwachte problemen die de gebruikerservaring kunnen beïnvloeden of die kunnen leiden tot configuratiefouten die moeten worden gecorrigeerd. Tijdens de testfase moeten beheerders zorgvuldig monitoren of het beleid correct wordt toegepast op de testapparaten en of er geen onverwachte problemen optreden met applicaties of gebruikerservaring. Deze monitoring omvat het controleren van de nalevingsstatus in de Intune-portal, het testen van applicaties om te verifiëren dat ze nog steeds correct functioneren, en het verzamelen van feedback van gebruikers in de testgroep. Als er problemen worden geïdentificeerd tijdens de testfase, moeten deze worden opgelost voordat het beleid wordt uitgerold naar de rest van de organisatie. Deze voorzichtige aanpak helpt om te voorkomen dat problemen zich verspreiden naar alle apparaten, wat kan leiden tot een negatieve gebruikerservaring en mogelijk extra werk voor de IT-afdeling om problemen op te lossen. De PowerShell-scriptreferentie die beschikbaar is in deze sectie biedt geautomatiseerde ondersteuning voor het implementatieproces, wat vooral waardevol is voor grote organisaties met honderden of duizenden endpoints waar handmatige configuratie niet praktisch is. Het script kan worden gebruikt om de configuratie te valideren voordat deze wordt toegepast, om te testen of de configuratie correct werkt op testapparaten, en om de implementatie uit te voeren op meerdere apparaten tegelijk. Het script controleert of de registerwaarde die de reclame-ID-instelling controleert correct is geconfigureerd volgens de gewenste staat, en kan automatisch corrigerende acties uitvoeren wanneer nodig. Bovendien kan het script worden gebruikt om gedetailleerde rapporten te genereren over de implementatiestatus, wat helpt bij het bijhouden van de voortgang en het identificeren van problemen die moeten worden opgelost. Deze geautomatiseerde aanpak vermindert niet alleen de handmatige inspanning die vereist is voor de implementatie, maar helpt ook om menselijke fouten te voorkomen en zorgt ervoor dat de configuratie consistent wordt toegepast op alle apparaten. Na de implementatie is het belangrijk om te verifiëren dat de instellingen correct zijn toegepast op alle apparaten. Deze verificatie kan worden gedaan door de nalevingsstatus te controleren in de Intune-portal, waar organisaties een overzicht kunnen zien van alle apparaten die het beleid hebben ontvangen, welke apparaten succesvol zijn geconfigureerd, en of er eventuele fouten zijn opgetreden tijdens de implementatie. Apparaten die niet voldoen aan het beleid worden gemarkeerd als niet-nalevend, wat actie vereist van de IT-afdeling om de configuratie te corrigeren en ervoor te zorgen dat deze apparaten ook de privacy-instellingen ontvangen. Het is belangrijk om regelmatig de nalevingsstatus te controleren, vooral in de eerste weken na de implementatie, om ervoor te zorgen dat alle apparaten het beleid correct ontvangen en toepassen. Deze regelmatige monitoring helpt om problemen snel te identificeren en op te lossen voordat ze kunnen leiden tot privacyrisico's of compliance-problemen. Naast de technische verificatie is het ook belangrijk om gebruikers te informeren over de wijziging en de impact daarvan op hun dagelijkse werkzaamheden. Hoewel het uitschakelen van de reclame-ID over het algemeen geen directe impact heeft op de functionaliteit van applicaties, kunnen sommige apps mogelijk minder gepersonaliseerde advertenties tonen, wat gebruikers kunnen opmerken. Organisaties moeten gebruikers uitleggen waarom deze maatregel wordt genomen, hoe dit bijdraagt aan hun privacybescherming en naleving van regelgeving zoals de AVG, en wat ze kunnen verwachten in termen van veranderingen in hun gebruikerservaring. Gebruikers moeten begrijpen dat deze maatregel hun privacy beschermt en dat eventuele kleine veranderingen in advertentie-ervaring een acceptabele afweging zijn voor betere privacybescherming. Deze communicatie helpt om draagvlak te creëren voor de implementatie en om te voorkomen dat gebruikers vragen stellen of klachten indienen over de wijziging. Voor organisaties die moeten voldoen aan strikte compliance-vereisten, zoals Nederlandse overheidsorganisaties die moeten voldoen aan de AVG en de BIO, is het belangrijk om de implementatie zorgvuldig te documenteren. Deze documentatie moet beschrijven welke stappen zijn ondernomen tijdens de implementatie, welke apparaten het beleid hebben ontvangen, wat de resultaten waren van de implementatie, en welke problemen zijn geïdentificeerd en opgelost. Deze documentatie kan worden gebruikt als bewijs tijdens audits door toezichthouders zoals de Autoriteit Persoonsgegevens, en helpt organisaties om aan te tonen dat zij proactief werken aan het beschermen van gebruikersprivacy en het naleven van regelgeving. Bovendien helpt gedetailleerde documentatie bij toekomstige onderhoud en updates van het privacybeleid, omdat het een duidelijk overzicht geeft van hoe de configuratie is geïmplementeerd en wat er mogelijk moet worden aangepast in de toekomst.
Gebruik PowerShell-script app-privacy-advertising-id.ps1 (functie Invoke-Implementation) – Implementeren.
Monitoring
Effectieve monitoring van de reclame-ID-instelling vormt een cruciaal onderdeel van het beheer van privacy-instellingen, omdat het waarborgt dat alle Windows endpoints correct zijn geconfigureerd en blijven voldoen aan het privacybeleid van de organisatie. Monitoring omvat zowel proactieve controle waarbij beheerders regelmatig de configuratie controleren, als reactieve verificatie wanneer wijzigingen worden gedetecteerd of wanneer nieuwe apparaten worden toegevoegd aan de organisatie. Zonder adequate monitoring kunnen organisaties niet garanderen dat hun privacy-instellingen correct blijven geconfigureerd, wat kan leiden tot privacyrisico's waarbij gebruikers mogelijk nog steeds worden gevolgd via de reclame-ID, en compliance-problemen waarbij organisaties mogelijk niet voldoen aan regelgeving zoals de AVG. Het is daarom essentieel dat organisaties een uitgebreide monitoringstrategie implementeren die regelmatige controles, geautomatiseerde waarschuwingen en gedetailleerde rapportage omvat, zodat problemen snel worden gedetecteerd en opgelost voordat ze kunnen leiden tot privacyrisico's of compliance-problemen. De primaire monitoring vindt plaats via de Microsoft Intune-beheerconsole, waar beheerders een overzicht kunnen bekijken van de nalevingsstatus van alle apparaten binnen de organisatie. Deze nalevingsstatus geeft gedetailleerde informatie over of een apparaat het beleid heeft ontvangen, of de configuratie succesvol is toegepast, en of er eventuele fouten zijn opgetreden tijdens het toepassen van het beleid. Apparaten worden automatisch gecategoriseerd als nalevend, niet-nalevend, in conflict of fout, waarbij elke categorie specifieke aandacht vereist van de IT-afdeling om ervoor te zorgen dat alle apparaten correct zijn geconfigureerd. Nalevende apparaten zijn correct geconfigureerd met de reclame-ID uitgeschakeld en vereisen geen actie, terwijl niet-nalevende apparaten onmiddellijke aandacht vereisen om de privacybescherming te herstellen en ervoor te zorgen dat deze apparaten ook de privacy-instellingen ontvangen. Apparaten in conflict hebben meerdere beleidsregels die met elkaar conflicteren, wat handmatige interventie vereist om te bepalen welke configuratie prioriteit heeft en om de conflicten op te lossen zodat het privacybeleid correct kan worden toegepast. Voor niet-nalevende apparaten is het belangrijk om de onderliggende oorzaak te identificeren voordat corrigerende maatregelen worden genomen, omdat verschillende oorzaken verschillende oplossingen vereisen. Veelvoorkomende oorzaken zijn onder meer conflicterende groepsbeleidsinstellingen die de Intune-configuratie overschrijven, handmatige wijzigingen door gebruikers met lokale beheerdersrechten die de privacy-instellingen hebben gewijzigd, of technische problemen zoals netwerkconnectiviteitsproblemen die voorkomen dat het beleid correct wordt toegepast. Door regelmatig de nalevingsrapporten te controleren en te analyseren, kunnen beheerders trends identificeren die kunnen wijzen op systematische problemen, zoals een specifieke Windows-versie die problemen heeft met het ontvangen van het beleid, of een specifieke gebruikersgroep die regelmatig de instellingen wijzigt. Deze trendanalyse helpt beheerders om proactief problemen op te lossen voordat ze zich verspreiden naar andere apparaten, wat de algehele effectiviteit van de privacybescherming verbetert. Naast de Intune-portal kunnen organisaties gebruik maken van PowerShell-scripts om geautomatiseerde monitoring uit te voeren die verder gaat dan de standaard functionaliteit van de Intune-portal. Deze scripts kunnen worden gepland om regelmatig te draaien, bijvoorbeeld dagelijks of wekelijks, en kunnen gedetailleerde rapporten genereren over de nalevingsstatus van de reclame-ID-instelling op alle apparaten binnen de organisatie. Geavanceerde monitoring kan ook waarschuwingen configureren die automatisch worden verzonden naar beheerders wanneer apparaten niet-nalevend worden, waardoor beheerders onmiddellijk kunnen reageren op wijzigingen in de configuratie voordat deze kunnen leiden tot privacyrisico's. Deze geautomatiseerde monitoring vermindert niet alleen de handmatige inspanning die vereist is voor het bijhouden van de nalevingsstatus, maar zorgt er ook voor dat problemen sneller worden gedetecteerd en opgelost, wat bijdraagt aan een betere privacybescherming en compliance-naleving. Monitoring moet ook rekening houden met nieuwe apparaten die worden toegevoegd aan de organisatie, omdat deze apparaten automatisch het privacybeleid moeten ontvangen zodra ze zijn geregistreerd in Intune. Wanneer een nieuw Windows-apparaat wordt ingericht en geregistreerd in Intune, moet het binnen een redelijke tijdspanne, meestal binnen 24 uur, het privacybeleid ontvangen en correct configureren. Als dit niet gebeurt, kan dit wijzen op problemen met de apparaatregistratie, problemen met de beleidstoewijzing, of technische problemen die voorkomen dat het apparaat communiceert met de Intune-service. Organisaties moeten daarom processen implementeren om nieuwe apparaten te monitoren en te verifiëren dat ze het privacybeleid correct ontvangen en toepassen, wat kan worden gedaan door regelmatig de lijst van nieuwe apparaten te controleren en te verifiëren dat deze apparaten het beleid hebben ontvangen. Daarnaast moeten organisaties regelmatig audits uitvoeren om te verifiëren dat de reclame-ID-instelling daadwerkelijk is uitgeschakeld op de endpoints, omdat de nalevingsstatus in Intune alleen aangeeft of het beleid is ontvangen, maar niet altijd bevestigt dat de configuratie daadwerkelijk is toegepast. Deze audits kunnen worden gedaan door lokaal op een representatieve steekproef van apparaten te controleren of de registerwaarde die de reclame-ID-instelling controleert correct is geconfigureerd volgens de gewenste staat. Deze verificatie helpt om te bevestigen dat de Intune-configuratie daadwerkelijk wordt toegepast en dat er geen conflicterende instellingen zijn, zoals groepsbeleidsinstellingen of lokale configuraties, die de configuratie overschrijven. Regelmatige audits zijn vooral belangrijk voor organisaties die moeten voldoen aan strikte compliance-vereisten, zoals Nederlandse overheidsorganisaties die moeten voldoen aan de AVG en de BIO, omdat ze helpen om aan te tonen dat privacy-instellingen correct zijn geconfigureerd en blijven geconfigureerd, wat belangrijk is voor externe audits door toezichthouders. Voor organisaties die moeten voldoen aan strikte compliance-vereisten, zoals de AVG, is het belangrijk om gedetailleerde logs bij te houden van alle monitoringactiviteiten, omdat deze logs kunnen worden gebruikt als bewijs tijdens audits en helpen organisaties om aan te tonen dat zij proactief werken aan het beschermen van gebruikersprivacy en het naleven van regelgeving. De logs moeten informatie bevatten over wanneer monitoring is uitgevoerd, welke apparaten zijn gecontroleerd, wat de resultaten waren van de controles, en welke acties zijn ondernomen om problemen op te lossen wanneer niet-naleving werd gedetecteerd. Deze gedetailleerde documentatie is essentieel voor compliance en helpt organisaties om te voldoen aan auditvereisten door aan te tonen dat er adequate monitoring plaatsvindt en dat problemen proactief worden opgelost. Bovendien helpen deze logs organisaties om trends te identificeren en hun monitoringstrategie te verbeteren op basis van historische data. Bovendien moeten organisaties regelmatig de effectiviteit van hun monitoringstrategie evalueren en aanpassen waar nodig om ervoor te zorgen dat de monitoring optimaal blijft functioneren. Deze evaluatie omvat het analyseren van monitoringdata om trends te identificeren, zoals apparaten die regelmatig niet-nalevend worden of specifieke gebruikersgroepen die problemen hebben met het ontvangen van het beleid. Het omvat ook het evalueren van de responsetijden op niet-naleving om te bepalen of problemen snel genoeg worden opgelost, en het identificeren van gebieden waar de monitoring kan worden verbeterd, zoals het toevoegen van extra waarschuwingen of het verbeteren van de rapportage. Door continu de monitoringstrategie te verbeteren op basis van deze evaluaties, kunnen organisaties ervoor zorgen dat hun privacy-instellingen effectief worden bewaakt en dat problemen snel worden gedetecteerd en opgelost, wat bijdraagt aan een betere privacybescherming en compliance-naleving.
Gebruik PowerShell-script app-privacy-advertising-id.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring aangeeft dat apparaten niet voldoen aan het privacybeleid voor de reclame-ID, is snelle en effectieve remediatie essentieel om de privacybescherming van de organisatie te behouden en ervoor te zorgen dat alle apparaten correct zijn geconfigureerd. Remediatie omvat het identificeren van de specifieke oorzaak van niet-naleving en het toepassen van gerichte corrigerende maatregelen om de configuratie te herstellen naar de gewenste staat waarbij de reclame-ID is uitgeschakeld. Zonder effectieve remediatie kunnen niet-nalevende apparaten een significant privacyrisico vormen, omdat ze mogelijk nog steeds de reclame-ID gebruiken voor tracking en gegevensverzameling zonder expliciete toestemming van gebruikers, wat kan leiden tot privacyrisico's en compliance-problemen. Het is daarom cruciaal dat organisaties een goed gedefinieerd en getest remediatieproces hebben dat snel kan reageren op niet-naleving en dat ervoor zorgt dat problemen worden opgelost voordat ze kunnen leiden tot privacyrisico's of compliance-problemen. De eerste stap in het remediatieproces is het analyseren van de specifieke reden voor niet-naleving, omdat verschillende oorzaken verschillende oplossingen vereisen. Microsoft Intune biedt gedetailleerde foutmeldingen en diagnostische informatie die aangeven waarom een apparaat niet voldoet aan het beleid, wat beheerders helpt om de onderliggende oorzaak te identificeren. Deze foutmeldingen kunnen variëren van technische problemen zoals netwerkconnectiviteitsproblemen die voorkomen dat het apparaat communiceert met Intune, tot configuratiefouten zoals conflicterende instellingen die de Intune-configuratie overschrijven. Het is belangrijk om de specifieke oorzaak te identificeren voordat corrigerende maatregelen worden genomen, omdat het toepassen van de verkeerde oplossing kan leiden tot verdere problemen of kan voorkomen dat het echte probleem wordt opgelost. Veelvoorkomende oorzaken zijn onder meer conflicterende groepsbeleidsinstellingen die de Intune-configuratie overschrijven, handmatige wijzigingen door gebruikers met lokale beheerdersrechten die de privacy-instellingen hebben gewijzigd, of technische problemen zoals apparaatregistratieproblemen die voorkomen dat het beleid correct wordt toegepast. Voor conflicterende groepsbeleidsinstellingen moet de IT-afdeling de groepsbeleidsobjecten (GPO's) in Active Directory of Microsoft Entra ID controleren en identificeren welke specifieke instellingen conflicteren met het Intune-beleid voor de reclame-ID. In dergelijke gevallen moet worden bepaald welke configuratie prioriteit heeft en hoe de conflicten kunnen worden opgelost zonder de functionaliteit van andere beleidsregels te beïnvloeden. Over het algemeen heeft Intune-apparaatconfiguratie prioriteit boven groepsbeleid voor moderne Windows-versies, maar dit kan variëren afhankelijk van de specifieke configuratie en Windows-versie. Het oplossen van conflicten kan betekenen dat groepsbeleidsinstellingen moeten worden aangepast of verwijderd om ruimte te maken voor de Intune-configuratie, of dat de groepsbeleidsconfiguratie moet worden gewijzigd om consistent te zijn met het Intune-beleid. In sommige gevallen kan het nodig zijn om de groepsbeleidsconfiguratie volledig te herzien om ervoor te zorgen dat deze niet conflicteert met Intune-beleid en om toekomstige conflicten te voorkomen. Wanneer gebruikers handmatig privacy-instellingen hebben gewijzigd, is het belangrijk om te begrijpen waarom dit is gebeurd, omdat dit kan helpen om toekomstige problemen te voorkomen. In sommige gevallen kunnen gebruikers onbedoeld instellingen hebben gewijzigd tijdens het oplossen van problemen of bij het aanpassen van privacy-instellingen voor persoonlijke voorkeuren, zonder te beseffen dat deze wijzigingen in strijd zijn met het organisatiebeleid. In andere gevallen kan dit wijzen op een bewuste poging om privacybeleid te omzeilen, wat aanvullende maatregelen vereist zoals het beperken van lokale beheerdersrechten, het implementeren van aanvullende monitoring om toekomstige wijzigingen te detecteren, of het nemen van disciplinaire maatregelen wanneer gebruikers opzettelijk het beleid overtreden. Het is belangrijk om gebruikers te informeren over het privacybeleid en waarom bepaalde instellingen niet kunnen worden gewijzigd, om te voorkomen dat gebruikers onbedoeld privacy-instellingen wijzigen en om draagvlak te creëren voor het beleid. Technische problemen die remediatie vereisen kunnen variëren van netwerkconnectiviteitsproblemen die voorkomen dat apparaten communiceren met Intune, tot problemen met de apparaatregistratie zelf die voorkomen dat het apparaat het beleid ontvangt. Voor netwerkproblemen moeten beheerders verifiëren dat apparaten toegang hebben tot de vereiste Microsoft-services zoals de Intune-service en dat er geen firewallregels of proxy-instellingen zijn die de communicatie blokkeren. Dit kan betekenen dat firewallregels moeten worden aangepast of dat proxy-instellingen moeten worden geconfigureerd om ervoor te zorgen dat apparaten kunnen communiceren met Intune. Voor registratieproblemen kan het nodig zijn om apparaten opnieuw te registreren in Intune, om de apparaatidentiteit te herstellen, of om de apparaatregistratie volledig opnieuw uit te voeren. In sommige gevallen kan het nodig zijn om contact op te nemen met Microsoft-ondersteuning om complexe technische problemen op te lossen die niet kunnen worden opgelost met standaard troubleshooting-stappen. De PowerShell-scriptreferentie die beschikbaar is in deze sectie biedt geautomatiseerde remediatiecapaciteiten die kunnen worden gebruikt om niet-nalevende apparaten automatisch te corrigeren zonder handmatige interventie. Deze scripts kunnen worden geconfigureerd om regelmatig te draaien, bijvoorbeeld dagelijks of wekelijks, en kunnen automatisch corrigerende acties uitvoeren wanneer niet-naleving wordt gedetecteerd, zoals het opnieuw toepassen van het beleid of het corrigeren van de registerwaarde die de reclame-ID-instelling controleert. Dit vermindert niet alleen de handmatige inspanning die vereist is voor remediatie, maar zorgt er ook voor dat problemen sneller worden opgelost, wat bijdraagt aan een betere privacybescherming en compliance-naleving. Geautomatiseerde remediatie is vooral waardevol voor grote organisaties met honderden of duizenden apparaten, waar handmatige remediatie niet praktisch is en waar snelle responsetijden belangrijk zijn om privacyrisico's te minimaliseren. Na remediatie is het belangrijk om te verifiëren dat de corrigerende maatregelen succesvol zijn geweest en dat de apparaten nu correct zijn geconfigureerd met de reclame-ID uitgeschakeld. Deze verificatie wordt gedaan door de nalevingsstatus opnieuw te controleren in de Intune-portal na een redelijke wachttijd, meestal binnen enkele uren na de remediatie, om ervoor te zorgen dat het apparaat voldoende tijd heeft gehad om de configuratie te ontvangen en toe te passen. Als apparaten nog steeds niet-nalevend zijn na de remediatie, kan aanvullende troubleshooting nodig zijn om de onderliggende oorzaak te identificeren en aan te pakken, wat kan betekenen dat er dieper moet worden ingegaan op de specifieke configuratie van het apparaat of dat er aanvullende diagnostische stappen moeten worden genomen. Het is ook belangrijk om te documenteren welke remediatieacties zijn ondernomen en wat de resultaten waren, zodat deze informatie kan worden gebruikt voor toekomstige verbeteringen van het privacybeleid en om te leren van eerdere problemen. Deze documentatie helpt ook bij het identificeren van patronen en trends in niet-naleving, wat kan leiden tot proactieve maatregelen om toekomstige problemen te voorkomen, zoals het aanpassen van het beleid of het implementeren van aanvullende controles. Voor organisaties die moeten voldoen aan strikte compliance-vereisten, zoals Nederlandse overheidsorganisaties die moeten voldoen aan de AVG en de BIO, is het belangrijk om alle remediatieacties zorgvuldig te documenteren omdat deze documentatie kan worden gebruikt als bewijs tijdens audits. Deze documentatie moet beschrijven welke apparaten niet-nalevend waren, wat de specifieke oorzaak was van de niet-naleving, welke corrigerende maatregelen zijn genomen om het probleem op te lossen, en wat de resultaten waren van de remediatie. Deze documentatie helpt organisaties om aan te tonen dat zij proactief werken aan het oplossen van privacyproblemen en dat zij adequate processen hebben om niet-naleving te detecteren en op te lossen. Bovendien helpt gedetailleerde documentatie bij het identificeren van systematische problemen die moeten worden aangepakt om toekomstige niet-naleving te voorkomen, zoals problemen met specifieke Windows-versies of gebruikersgroepen die regelmatig problemen hebben met het ontvangen van het beleid.
Gebruik PowerShell-script app-privacy-advertising-id.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Compliance en auditing vormen een essentieel onderdeel van het beheer van privacy-instellingen, vooral voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte privacy- en beveiligingsregelgeving zoals de Algemene Verordening Gegevensbescherming (AVG) en de Baseline Informatiebeveiliging Overheid (BIO). De implementatie van het uitschakelen van de reclame-ID draagt direct bij aan naleving van verschillende compliance-frameworks en regelgevingsvereisten door ervoor te zorgen dat organisaties voldoen aan het principe van gegevensminimalisatie en privacy by design. Zonder adequate compliance en auditing kunnen organisaties niet garanderen dat hun privacy-instellingen correct zijn geconfigureerd en blijven geconfigureerd, wat kan leiden tot privacyrisico's waarbij gebruikers mogelijk nog steeds worden gevolgd, en mogelijke boetes van toezichthouders zoals de Autoriteit Persoonsgegevens wanneer organisaties niet voldoen aan de AVG. Het is daarom cruciaal dat organisaties een uitgebreide compliance- en auditingstrategie implementeren die regelmatige controles, gedetailleerde documentatie en proactieve monitoring omvat, zodat ze kunnen aantonen dat ze adequate maatregelen hebben genomen om privacy te beschermen. Vanuit het perspectief van de Algemene Verordening Gegevensbescherming (AVG) is het uitschakelen van de reclame-ID een belangrijke maatregel om te voldoen aan het principe van gegevensminimalisatie zoals beschreven in Artikel 5 van de AVG. Dit artikel vereist dat persoonsgegevens worden verzameld voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden, en dat de verzameling beperkt blijft tot wat noodzakelijk is voor die doeleinden. Door de reclame-ID uit te schakelen, minimaliseren organisaties de hoeveelheid gegevens die wordt verzameld en verwerkt voor advertentiedoeleinden, wat direct bijdraagt aan AVG-naleving en het beschermen van gebruikersprivacy door ervoor te zorgen dat alleen essentiële gegevens worden verzameld. Bovendien helpt het uitschakelen van de reclame-ID organisaties om te voldoen aan het principe van privacy by design, waarbij privacybescherming wordt ingebouwd in systemen en processen vanaf het begin in plaats van als een achteraf gedachte, wat een fundamenteel onderdeel is van de AVG en wat organisaties helpt om proactief privacy te beschermen in plaats van reactief te reageren op privacyproblemen. De BIO Baseline Informatiebeveiliging Overheid, specifiek controle 16.01 over gebeurtenissenlogging en audittrails, vereist dat organisaties adequate logging en monitoring implementeren om beveiligingsgebeurtenissen te kunnen volgen en analyseren. Hoewel het uitschakelen van de reclame-ID niet direct gerelateerd is aan logging, draagt het bij aan de algehele beveiligingspostuur door ervoor te zorgen dat alleen essentiële gegevens worden verzameld, wat de privacyrisico's vermindert en de focus legt op kritieke beveiligingsgebeurtenissen die daadwerkelijk monitoring vereisen. Bovendien vereist de BIO dat organisaties adequate controles implementeren om privacy te beschermen, en het uitschakelen van de reclame-ID is een belangrijke controle die bijdraagt aan deze vereiste door ervoor te zorgen dat gebruikers niet worden gevolgd zonder hun expliciete toestemming. Nederlandse overheidsorganisaties moeten daarom zorgvuldig documenteren hoe het uitschakelen van de reclame-ID bijdraagt aan naleving van de BIO en hoe deze maatregel past binnen hun algehele beveiligings- en privacystrategie. ISO 27001:2022 controle A.12.4.1 over logging en monitoring vereist dat organisaties gebeurtenissen loggen en monitoren om beveiligingsincidenten te detecteren en te analyseren, wat betekent dat organisaties een balans moeten vinden tussen het verzamelen van voldoende informatie voor beveiligingsdoeleinden en het respecteren van privacyvereisten. Het correct configureren van privacy-instellingen zoals het uitschakelen van de reclame-ID is onderdeel van een bredere strategie voor gegevensbescherming die deze balans helpt te vinden. Het uitschakelen van de reclame-ID helpt organisaties om deze balans te vinden door ervoor te zorgen dat alleen essentiële gegevens worden verzameld voor beveiligingsdoeleinden, terwijl nog steeds voldoende informatie beschikbaar is voor beveiligingsmonitoring zonder dat gebruikers onnodig worden gevolgd. Organisaties die gecertificeerd zijn volgens ISO 27001 moeten daarom zorgvuldig documenteren hoe privacy-instellingen zoals het uitschakelen van de reclame-ID bijdragen aan hun algehele informatiebeveiligingsmanagementsysteem en hoe deze maatregelen helpen om te voldoen aan de ISO 27001-vereisten voor gegevensbescherming. Voor auditing doeleinden is het belangrijk dat organisaties uitgebreide documentatie bijhouden die beschrijft hoe privacy-instellingen zijn geconfigureerd, welke apparaten het beleid hebben ontvangen, wat de nalevingsstatus is van alle apparaten, en welke acties zijn ondernomen wanneer niet-naleving werd gedetecteerd. Deze documentatie moet regelmatig worden bijgewerkt om ervoor te zorgen dat deze actueel blijft en moet beschikbaar zijn voor zowel interne als externe audits door toezichthouders zoals de Autoriteit Persoonsgegevens. De Microsoft Intune-beheerconsole biedt uitgebreide rapportagefunctionaliteiten die kunnen worden gebruikt om nalevingsbewijs te genereren voor auditdoeleinden, zoals rapporten die aangeven welke apparaten het beleid hebben ontvangen, welke apparaten niet-nalevend zijn, en welke acties zijn ondernomen om problemen op te lossen. Deze rapporten kunnen worden gebruikt om aan te tonen dat privacy-instellingen correct zijn geconfigureerd en dat er adequate monitoring plaatsvindt, wat belangrijk is voor externe audits. Het is belangrijk om deze rapporten regelmatig te genereren en op te slaan in een beveiligde locatie, zodat ze beschikbaar zijn wanneer ze nodig zijn voor audits en zodat organisaties kunnen aantonen dat ze proactief werken aan het beschermen van privacy. Beleidsdocumentatie moet duidelijk en uitgebreid beschrijven waarom de reclame-ID is uitgeschakeld, welke specifieke privacyrisico's worden gemitigeerd door deze maatregel, en hoe de configuratie bijdraagt aan de algehele beveiligings- en privacystrategie van de organisatie. Deze documentatie moet toegankelijk zijn voor alle relevante stakeholders binnen de organisatie, inclusief IT-beheerders die verantwoordelijk zijn voor de technische implementatie, security officers die verantwoordelijk zijn voor beveiligingsstrategie, privacy officers die verantwoordelijk zijn voor privacybescherming, en compliance-medewerkers die verantwoordelijk zijn voor naleving van regelgeving. De documentatie moet ook uitleggen hoe de configuratie bijdraagt aan naleving van specifieke regelgeving zoals de AVG en de BIO, hoe deze wordt gemonitord om ervoor te zorgen dat deze correct blijft geconfigureerd, en hoe deze wordt geaudit om te verifiëren dat de configuratie effectief is. Bovendien moet de documentatie beschrijven welke stappen zijn ondernomen om de configuratie te implementeren, hoe deze wordt gemonitord om problemen te detecteren, en welke remediatieprocessen zijn geïmplementeerd voor het geval dat apparaten niet-nalevend worden, zodat alle stakeholders begrijpen hoe de privacybescherming wordt gewaarborgd. Regelmatige compliance-controles moeten worden uitgevoerd om te verifiëren dat privacy-instellingen correct blijven geconfigureerd en dat nieuwe apparaten automatisch het beleid ontvangen zodra ze zijn geregistreerd in Intune. Deze controles kunnen worden geautomatiseerd met behulp van monitoringtools en PowerShell-scripts die regelmatig de nalevingsstatus controleren, maar moeten ook periodiek handmatig worden geverifieerd door beheerders om te waarborgen dat de configuratie overeenkomt met de gedocumenteerde beleidsvereisten en dat er geen onverwachte problemen zijn die door geautomatiseerde monitoring niet worden gedetecteerd. Tijdens deze controles moeten organisaties ook verifiëren dat er geen conflicterende instellingen zijn, zoals groepsbeleidsinstellingen of lokale configuraties, die de privacyconfiguratie kunnen overschrijven en ervoor zorgen dat apparaten niet-nalevend worden. Het is belangrijk om deze controles regelmatig uit te voeren, bijvoorbeeld maandelijks of kwartaal, om ervoor te zorgen dat privacy-instellingen correct blijven geconfigureerd en om problemen snel te detecteren en op te lossen voordat ze kunnen leiden tot privacyrisico's of compliance-problemen. Voor Nederlandse overheidsorganisaties is het bijzonder belangrijk om te kunnen aantonen dat privacy-instellingen correct zijn geconfigureerd en dat er adequate monitoring en auditing plaatsvindt, omdat deze organisaties onderworpen zijn aan strikte regelgeving en regelmatige audits door toezichthouders. Dit is niet alleen belangrijk voor interne compliance, maar ook voor externe audits door toezichthouders zoals de Autoriteit Persoonsgegevens, die kunnen vragen om bewijs dat organisaties adequate maatregelen hebben genomen om privacy te beschermen en te voldoen aan de AVG. Door gedetailleerde documentatie en regelmatige controles kunnen organisaties aantonen dat zij proactief werken aan het beschermen van gebruikersprivacy en het naleven van regelgeving, wat belangrijk is voor het behouden van vertrouwen van burgers en andere stakeholders. Bovendien helpt dit organisaties om te voldoen aan de verwachtingen van burgers en andere stakeholders die verwachten dat overheidsorganisaties hun privacy serieus nemen en adequate maatregelen nemen om privacy te beschermen, wat bijdraagt aan het behouden van vertrouwen in de overheid en aan het waarborgen van de privacyrechten van burgers.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Privacy: Advertising ID Disabled
.DESCRIPTION
CIS - Advertising ID moet disabled voor privacy.
.NOTES
Filename: app-privacy-advertising-id.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Windows\AdvertisingInfo\DisabledByGroupPolicy|Expected: 1
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\AdvertisingInfo"; $RegName = "DisabledByGroupPolicy"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "advertising-id-disabled.ps1"; PolicyName = "Advertising ID"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Disabled"; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v) { $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Advertising ID disabled" }else { $r.Details += "Advertising ID enabled" } }else { $r.Details += "Niet geconfigureerd" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Advertising ID disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Verhoogd privacyrisico door ongewenste tracking en gegevensverzameling voor advertentiedoeleinden zonder expliciete toestemming van gebruikers.
Management Samenvatting
Schakel de reclame-ID uit via Intune om privacy te beschermen en te voldoen aan AVG-vereisten.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE