💼 Management Samenvatting
Deze beveiligingsinstelling zorgt ervoor dat zogenoemde "tailored experiences" op Windows‑apparaten worden uitgeschakeld, zodat gebruikers geen gepersonaliseerde tips, aanbevelingen en advertenties ontvangen op basis van hun diagnostische gegevens.
Aanbeveling
IMPLEMENTEREN
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Door tailored experiences uit te schakelen wordt de hoeveelheid persoonsgegevens die voor personalisatiedoeleinden wordt verwerkt geminimaliseerd. Dit sluit aan bij het privacy‑by‑design principe, beperkt ongewenste profilering van ambtenaren en verkleint het risico dat gevoelige gebruiks- en diagnostische gegevens buiten de primaire doelstelling van de organisatie worden hergebruikt.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Met deze maatregel configureert de organisatie via Microsoft Intune dat tailored experiences standaard zijn uitgeschakeld op alle beheerde Windows endpoints. De instelling wordt centraal afgedwongen via apparaatconfiguratie- of compliancebeleid, zodat eindgebruikers dit niet zelfstandig kunnen inschakelen en alle werkplekken conform de Nederlandse Baseline voor Veilige Cloud zijn ingericht.
Vereisten
Voordat de instelling voor het uitschakelen van tailored experiences organisatiebreed kan worden ingevoerd, moet een aantal randvoorwaarden zijn ingevuld. Allereerst is een werkende Microsoft Intune-omgeving noodzakelijk waarin alle relevante Windows‑apparaten als beheerd device zijn opgenomen. Dit betekent dat endpoints zijn ingeschreven in Intune, dat er een duidelijke scheiding is aangebracht tussen beheerde en onbeheerde apparaten, en dat basisprofielen voor configuratie en naleving reeds zijn ingericht. Daarnaast moet er een actueel overzicht zijn van de Windows‑versies die in de organisatie worden gebruikt, zodat gecontroleerd kan worden of de betreffende beleidsinstelling op alle versies beschikbaar en ondersteund is. De instelling maakt in de praktijk vaak onderdeel uit van een bredere privacy‑ en telemetrieconfiguratie, zoals het beperken van diagnostische gegevens tot het strikt noodzakelijke niveau en het uitschakelen van aanvullende ervaring‑ en feedbackopties. Aan beleidskant is het belangrijk dat de Chief Information Security Officer (CISO), de Functionaris Gegevensbescherming (FG) en de werkplekbeheerorganisatie overeenstemming hebben over het uitgangspunt dat personaliserende clouddiensten op rijks- of gemeentelijke werkplekken standaard worden uitgeschakeld, tenzij er een aantoonbare business case en DPIA is die anders uitwijst. Dit wordt vastgelegd in het informatiebeveiligings- en privacybeleid en uitgewerkt in een concrete standaard voor werkplekinrichting. Tot slot zijn heldere communicatie en gebruikersdocumentatie vereist: medewerkers moeten begrijpen waarom deze functionaliteit is uitgeschakeld, welke impact dat wel of niet heeft op hun dagelijkse werk en via welk proces uitzonderingen eventueel kunnen worden aangevraagd.
Implementatie
De implementatie van het uitschakelen van tailored experiences start met het ontwerpen van een Intune‑beleid dat past binnen de bestaande werkplekinrichting. In de meeste omgevingen wordt gekozen voor een configuratieprofiel op basis van een beveiligingsbaseline of een instellingencatalogus, waarin de specifieke policy‑instelling voor tailored experiences op "uitgeschakeld" wordt gezet. Het is raadzaam om dit beleid eerst toe te passen op een beperkte pilotgroep met representatieve gebruikersprofielen (bijvoorbeeld kantoormedewerkers, beheerders en medewerkers met veelvuldig extern contact), zodat functionaliteit en impact zorgvuldig kunnen worden beoordeeld. Tijdens de pilot wordt gecontroleerd of gebruikers nog steeds toegang hebben tot alle benodigde applicaties en diensten, en of er geen onverwachte pop‑ups of foutmeldingen ontstaan doordat gepersonaliseerde tips of aanbevelingen ontbreken. Vervolgens wordt het beleid gekoppeld aan brede Azure AD‑groepen waarin alle beheerde Windows‑apparaten zijn opgenomen. Hierbij wordt gebruikgemaakt van dynamische groepen of bestaande device collections, zodat nieuwe apparaten automatisch onder het beleid vallen. Voor grotere organisaties is het verstandig een gefaseerde uitrol te hanteren: eerst de kantoorautomatisering, daarna specialistische werkplekken en ten slotte hoog‑risico-omgevingen zoals beheer- en ontwikkelwerkplekken. Tijdens en na de uitrol worden logbestanden, Intune‑rapportages en eventueel SIEM‑meldingen actief gemonitord om te verifiëren dat de instelling overal wordt afgedwongen. Eventuele uitzonderingen, bijvoorbeeld voor testomgevingen of specifieke applicaties die afhankelijk zijn van gepersonaliseerde ervaringen, worden expliciet vastgelegd, voorzien van een risicobeoordeling en periodiek herbeoordeeld.
Gebruik PowerShell-script tailored-experiences-disabled.ps1 (functie Invoke-Monitoring) – Monitoren.
monitoring
Structurele monitoring is essentieel om te borgen dat tailored experiences daadwerkelijk uitgeschakeld blijven op alle relevante apparaten. Binnen Microsoft Intune kunnen beheerders rapportages raadplegen waarin per apparaat de compliancestatus en toegepaste configuratieprofielen worden weergegeven. Door specifieke filters en opgeslagen weergaven te gebruiken, ontstaat een overzicht van systemen waar de policy correct is toegepast en van apparaten waar de configuratie ontbreekt of in conflict is met andere instellingen. Deze informatie kan worden gecombineerd met loggegevens uit een centraal logplatform of SIEM, waarin onder andere wijzigingen in privacyinstellingen en telemetrie worden vastgelegd. Door dashboards en alerts in te richten die afwijkingen in configuratie detecteren, kunnen beheerders snel reageren op terugkerende problemen, nieuwe device‑types of wijzigingen in Windows‑versies. Het is verstandig om periodiek steekproeven uit te voeren op fysieke werkplekken, bijvoorbeeld tijdens reguliere beheerrondes of audits, om te controleren of eindgebruikers zelf geen instellingen hebben aangepast buiten het beheer om. Waar PowerShell‑scripts worden ingezet, kunnen deze geautomatiseerd controleren of de relevante registersleutels en beleidsinstellingen de verwachte waarden hebben en de resultaten terugmelden aan Intune of een centraal rapportageplatform. Op die manier ontstaat een sluitende beheercyclus waarin configuratie, detectie en correctie elkaar versterken.
Gebruik PowerShell-script tailored-experiences-disabled.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer tijdens monitoring blijkt dat tailored experiences op bepaalde apparaten toch zijn ingeschakeld of niet conform beleid worden afgedwongen, moet er een gestandaardiseerd remediatieproces beschikbaar zijn. In de eerste stap wordt vastgesteld of het gaat om een tijdelijk probleem, bijvoorbeeld doordat een apparaat offline was tijdens de beleidsupdate, of om een structurele afwijking zoals conflicterende configuratieprofielen of lokaal aangepaste rechten. Vervolgens wordt de oorzaak geanalyseerd: is het apparaat wel correct ingeschreven in Intune, maakt het onderdeel uit van de juiste Azure AD‑groepen en wordt het juiste beleid daadwerkelijk toegepast? Voor bulkcorrecties kunnen beheerders gebruikmaken van geautomatiseerde PowerShell‑scripts die de gewenste instelling afdwingen, de resultaatstatus registreren en – waar nodig – aanvullende logging naar een centraal systeem sturen. In situaties waarin gebruikers zelf instellingen hebben gewijzigd, wordt de configuratie teruggezet naar de standaard en wordt de gebruiker geïnformeerd over het geldende beleid en de achterliggende privacy‑redenen. Bij herhaaldelijke afwijkingen of bij apparaten met verhoogde gevoeligheid, zoals werkplekken van bestuurders of systemen met toegang tot bijzondere persoonsgegevens, kan worden besloten het apparaat tijdelijk te blokkeren of alleen beperkte toegang tot cloudresources toe te staan totdat de configuratie aantoonbaar op orde is. Alle uitgevoerde herstelacties worden vastgelegd, zodat bij audits kan worden aangetoond dat afwijkingen niet alleen worden gedetecteerd, maar ook systematisch worden opgelost.
Gebruik PowerShell-script tailored-experiences-disabled.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Het uitschakelen van tailored experiences draagt direct bij aan naleving van Nederlandse privacywetgeving en aan de eisen uit kaders zoals de BIO en ISO 27001. Door het verwerken van diagnostische gegevens voor personalisatiedoeleinden te beperken, wordt het beginsel van dataminimalisatie beter ingevuld en wordt het eenvoudiger om in een DPIA aan te tonen dat alleen strikt noodzakelijke gegevens worden gebruikt. Voor auditdoeleinden is het belangrijk dat de organisatie kan laten zien welke beleidsinstellingen zijn geconfigureerd, op welke doelgroepen deze worden toegepast en hoe de werking hiervan periodiek wordt gecontroleerd. Dit omvat onder meer exporten van Intune‑configuratieprofielen, rapportages waaruit blijkt dat alle relevante apparaten onder het beleid vallen, en logbestanden van eventuele geautomatiseerde controlescripts. Daarnaast wordt in beleid en procedures vastgelegd dat gebruikers tailored experiences niet zelfstandig mogen inschakelen en dat uitzonderingen alleen na expliciete goedkeuring en vastlegging zijn toegestaan. Tijdens interne en externe audits kan worden verwezen naar de relevante controls in de BIO en ISO 27001, waarbij duidelijk wordt gemaakt hoe deze technische maatregel past binnen het bredere raamwerk van privacy‑ en securitymaatregelen op de werkplek. Door deze onderbouwing op orde te hebben, kan de organisatie aantonen dat zij zorgvuldig omgaat met gebruikersgegevens en dat commerciële of gebruiksgemak‑gedreven functionaliteit nooit boven wettelijke en maatschappelijke verplichtingen wordt geplaatst.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Privacy: Tailored Experiences Disabled
.DESCRIPTION
CIS - Tailored experiences (personalized content) moeten disabled.
.NOTES
Filename: tailored-experiences-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKCU:\SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableTailoredExperiencesWithDiagnosticData|Expected: 1
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\CloudContent"; $RegName = "DisableTailoredExperiencesWithDiagnosticData"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "tailored-experiences-disabled.ps1"; PolicyName = "Tailored Experiences"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Disabled"; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v) { $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Tailored experiences disabled" }else { $r.Details += "Tailored experiences enabled" } }else { $r.Details += "Niet geconfigureerd" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Tailored experiences disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder het uitschakelen van tailored experiences worden diagnostische gegevens onnodig voor personalisatiedoeleinden gebruikt, wat leidt tot extra privacyrisico's en moeilijkere aantoonbaarheid van naleving.
Management Samenvatting
Schakel tailored experiences standaard uit via Intune om privacyrisico's te beperken en te voldoen aan Nederlandse normen voor veilige cloudwerkplekken.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE