💼 Management Samenvatting
Microsoft Teams-opnamefunctie standaard uitgeschakeld - vereist expliciete actie van de organisator om op te nemen (privacy en AVG-naleving).
Aanbeveling
IMPLEMENTEER
Risico zonder
Low
Risk Score
4/10
Implementatie
3u (tech: 1u)
Van toepassing op:
✓ Microsoft Teams
Het opnemen van vergaderingen vormt een aanzienlijk privacyrisico voor organisaties, vooral wanneer deze functie standaard is ingeschakeld. Wanneer opname automatisch start zonder dat deelnemers hiervan op de hoogte zijn, schendt dit fundamentele privacybeginselen zoals vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). Deelnemers hebben het recht om te weten wanneer zij worden opgenomen en moeten expliciet toestemming kunnen geven voordat een opname start. Zonder deze transparantie en toestemming kan het opnemen van vergaderingen leiden tot ernstige privacyovertredingen, vooral bij gevoelige besprekingen zoals HR-gesprekken, juridische consultaties of medische overleggen. Deze situaties vereisen bijzondere bescherming van persoonsgegevens en het opnemen zonder expliciete toestemming kan zelfs illegaal zijn volgens AVG-vereisten. Daarnaast creëren opgenomen vergaderingen nieuwe datastromen die moeten worden beheerd volgens gegevensretentiebeleid, wat extra compliance-verplichtingen met zich meebrengt. Door de opnamefunctie standaard uit te schakelen, wordt de organisator gedwongen om bewust en expliciet de opname te starten, wat zorgt voor transparantie en geïnformeerde toestemming van alle deelnemers. Deelnemers zien een duidelijke visuele indicator wanneer een vergadering wordt opgenomen, wat hen in staat stelt om geïnformeerde beslissingen te nemen over hun deelname. Deze aanpak voldoet aan AVG Artikel 6, dat vereist dat gegevensverwerking plaatsvindt op basis van toestemming of een andere legitieme grondslag, waarbij transparantie en geïnformeerde toestemming essentieel zijn.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: MicrosoftTeams
Connection:
Connect-MgGraphRequired Modules: MicrosoftTeams
Implementatie
Deze maatregel configureert Microsoft Teams zodanig dat de opnamefunctie standaard is uitgeschakeld, maar wel beschikbaar blijft voor gebruik wanneer nodig. De cloud-opnamefunctie wordt ingeschakeld in het meetingbeleid, wat betekent dat organisatoren de mogelijkheid hebben om vergaderingen op te nemen, maar de opname start niet automatisch bij elke vergadering. De organisator moet expliciet op de opnameknop klikken om de opname te starten, wat zorgt voor bewuste besluitvorming en transparantie. Wanneer een opname actief is, zien alle deelnemers een duidelijke rode 'Opname'-indicator in de vergadering, wat hen informeert dat de vergadering wordt opgenomen. Opgenomen vergaderingen worden opgeslagen in OneDrive of SharePoint, afhankelijk van de organisator, waarbij alle Data Loss Prevention (DLP)-beleidsregels van toepassing zijn op deze opgeslagen content. De transcriptiefunctie kan optioneel worden ingeschakeld, maar dit brengt extra privacyoverwegingen met zich mee omdat gesproken tekst wordt omgezet naar geschreven tekst, wat aanvullende gegevensverwerking en opslag vereist.
Vereisten
Voordat u de opnamefunctie standaard uitschakelt voor Microsoft Teams-vergaderingen, moet uw organisatie beschikken over de juiste infrastructuur, licenties en beleidsregels. Deze vereisten zijn essentieel voor een succesvolle implementatie en om te voldoen aan privacy- en compliance-standaarden.
De primaire technische vereiste is een actieve Microsoft Teams-omgeving met de juiste licenties. Alle gebruikers die vergaderingen organiseren of deelnemen aan vergaderingen moeten beschikken over een geldige Microsoft Teams-licentie. Voor organisaties die gebruikmaken van Microsoft 365 of Office 365-abonnementen is Teams standaard inbegrepen, maar het is belangrijk om te verifiëren dat alle gebruikers toegang hebben tot de cloud-opnamefunctie. Voor organisaties met specifieke licentievereisten, zoals Teams voor overheid of Teams voor onderwijs, kunnen aanvullende configuraties nodig zijn om ervoor te zorgen dat de opnamefunctie correct functioneert.
Een tweede kritieke vereiste is de configuratie van Teams meeting policies. Deze policies bepalen welke functies beschikbaar zijn voor gebruikers tijdens vergaderingen, inclusief de opnamefunctie. Organisaties moeten beschikken over de juiste beheerdersrechten om meeting policies te kunnen configureren. Teams-beheerders of globale beheerders hebben de benodigde rechten om meeting policies aan te passen. Het is belangrijk om te begrijpen dat meeting policies kunnen worden toegepast op verschillende niveaus: globaal voor alle gebruikers, of specifiek voor bepaalde gebruikersgroepen. Voor organisaties met complexe organisatiestructuren kan het nodig zijn om meerdere meeting policies te configureren voor verschillende afdelingen of gebruikersgroepen.
Organisaties moeten een duidelijk gegevensretentiebeleid hebben voor opgenomen vergaderingen. Opgenomen vergaderingen worden opgeslagen als video- en audiobestanden in OneDrive of SharePoint, afhankelijk van wie de vergadering heeft georganiseerd. Deze bestanden bevatten vaak gevoelige informatie, inclusief persoonsgegevens, bedrijfsgeheimen of andere vertrouwelijke informatie. Zonder een duidelijk retentiebeleid kunnen deze bestanden onbeperkt worden bewaard, wat leidt tot onnodige datastorage, verhoogde compliance-risico's en potentiële privacyovertredingen. Het retentiebeleid moet specificeren hoe lang opgenomen vergaderingen worden bewaard, wanneer ze moeten worden verwijderd, en wie verantwoordelijk is voor het beheer van deze bestanden. Dit beleid moet worden geïntegreerd met bestaande gegevensretentiebeleidsregels en moet voldoen aan relevante compliance-vereisten zoals AVG, BIO of sectorspecifieke regelgeving.
Voor organisaties die gebruikmaken van Data Loss Prevention (DLP) moet het DLP-beleid worden geconfigureerd om opgenomen vergaderingen te monitoren en te beschermen. DLP-beleidsregels kunnen worden ingesteld om te detecteren wanneer opgenomen vergaderingen gevoelige informatie bevatten, zoals creditcardnummers, burgerservicenummers of andere geclassificeerde gegevens. Wanneer dergelijke informatie wordt gedetecteerd, kunnen DLP-beleidsregels automatische acties uitvoeren, zoals het blokkeren van delen, het verzenden van waarschuwingen aan beheerders, of het vereisen van extra goedkeuring voordat de opname kan worden gedeeld. Het is belangrijk om DLP-beleidsregels te testen met opgenomen vergaderingen om ervoor te zorgen dat ze correct functioneren en geen onnodige blokkades veroorzaken voor legitiem gebruik.
Organisaties moeten beschikken over een duidelijk privacybeleid dat specificeert wanneer en onder welke omstandigheden vergaderingen mogen worden opgenomen. Dit beleid moet worden gecommuniceerd aan alle medewerkers en moet deel uitmaken van de algemene privacy- en gegevensbeschermingsrichtlijnen van de organisatie. Het privacybeleid moet specificeren welke soorten vergaderingen kunnen worden opgenomen, wie toestemming moet geven voor opname, en hoe deelnemers worden geïnformeerd over opname. Voor gevoelige vergaderingen, zoals HR-gesprekken, juridische consultaties of medische overleggen, kan het nodig zijn om aanvullende beperkingen op te leggen of om expliciete schriftelijke toestemming te vereisen voordat een opname mag starten.
Ten slotte moeten organisaties beschikken over de juiste training en documentatie voor gebruikers. Organisatoren van vergaderingen moeten worden getraind in het gebruik van de opnamefunctie, inclusief wanneer het gepast is om een vergadering op te nemen, hoe deelnemers moeten worden geïnformeerd, en hoe opgenomen vergaderingen moeten worden beheerd. Gebruikers moeten ook worden geïnformeerd over hun privacyrechten en over hoe zij bezwaar kunnen maken tegen het opnemen van vergaderingen wanneer zij hier niet mee instemmen. Deze training moet regelmatig worden herhaald en moet worden bijgewerkt wanneer er wijzigingen zijn in het beleid of de technologie.
Implementatie
Gebruik PowerShell-script recording-off-default.ps1 (functie Invoke-Remediation) – Automatiseert de configuratie van Teams meeting policies om opname standaard uit te schakelen.
De implementatie van de maatregel om opname standaard uit te schakelen in Microsoft Teams begint met toegang tot het Teams Admin Center. Navigeer naar het Teams Admin Center via de Microsoft 365 Admin Portal of direct via admin.teams.microsoft.com. Zorg ervoor dat u bent aangemeld met een account dat beschikt over Teams-beheerdersrechten of globale beheerdersrechten. Deze rechten zijn essentieel omdat meeting policies alleen kunnen worden gewijzigd door gebruikers met de juiste beheerdersrol.
In het Teams Admin Center, navigeer naar de sectie 'Meetings' in het linkermenu. Selecteer vervolgens 'Meeting policies' om een overzicht te krijgen van alle geconfigureerde meeting policies. Organisaties kunnen beschikken over meerdere meeting policies voor verschillende gebruikersgroepen, of een enkele globale policy die van toepassing is op alle gebruikers. Het is belangrijk om eerst te bepalen welke policy moet worden aangepast. Voor de meeste organisaties is dit de globale policy, maar voor organisaties met specifieke vereisten voor verschillende afdelingen kan het nodig zijn om meerdere policies aan te passen.
Selecteer de meeting policy die u wilt aanpassen en klik op 'Edit' of 'Bewerken'. In de policy-instellingen, zoek naar de sectie 'Recording & transcription'. Deze sectie bevat verschillende instellingen die betrekking hebben op de opnamefunctie. De belangrijkste instelling is 'Cloud recording', die moet worden ingesteld op 'On' of 'Aan'. Dit betekent dat de opnamefunctie beschikbaar is voor gebruikers, maar het betekent niet dat opname automatisch start. Het is cruciaal om te begrijpen dat 'On' hier betekent dat de functie beschikbaar is, niet dat deze automatisch wordt geactiveerd.
De instelling 'Allow transcription' moet worden ingesteld op 'Off' of 'Uit', tenzij uw organisatie specifieke behoeften heeft voor automatische transcriptie van vergaderingen. Transcriptie brengt extra privacyoverwegingen met zich mee omdat gesproken tekst wordt omgezet naar geschreven tekst, wat aanvullende gegevensverwerking en opslag vereist. Voor de meeste organisaties is transcriptie niet nodig en kan het worden uitgeschakeld om privacyrisico's te minimaliseren. Als transcriptie wel nodig is voor specifieke use cases, zoals toegankelijkheid of compliance-documentatie, kan deze worden ingeschakeld, maar dit moet worden gedaan met volledige bewustwording van de privacy-implicaties.
Na het configureren van de policy-instellingen, klik op 'Save' of 'Opslaan' om de wijzigingen op te slaan. De wijzigingen worden direct toegepast op alle gebruikers die zijn toegewezen aan deze policy. Het kan enkele minuten duren voordat de wijzigingen volledig zijn doorgevoerd in de Teams-omgeving. Gebruikers hoeven niet opnieuw in te loggen of Teams opnieuw te starten om de wijzigingen te zien. De nieuwe instellingen zijn direct actief voor nieuwe vergaderingen.
Het is belangrijk om te verifiëren dat de configuratie correct is toegepast. Test de configuratie door een testvergadering te starten en te verifiëren dat de opnamefunctie beschikbaar is, maar niet automatisch start. De organisator van de vergadering moet expliciet op de opnameknop moeten klikken om de opname te starten. Wanneer de opname start, moeten alle deelnemers een duidelijke visuele indicator zien, zoals een rode banner of een melding dat de vergadering wordt opgenomen. Deze verificatie is essentieel om ervoor te zorgen dat de implementatie correct is en dat gebruikers de verwachte functionaliteit ervaren.
Voor organisaties met meerdere meeting policies is het belangrijk om een consistente aanpak te hanteren. Alle policies moeten worden geconfigureerd met dezelfde instellingen voor opname, tenzij er specifieke bedrijfsvereisten zijn die verschillende configuraties rechtvaardigen. Documenteer welke policies zijn aangepast en welke gebruikersgroepen zijn toegewezen aan elke policy. Deze documentatie is essentieel voor toekomstige onderhoud en voor compliance-audits.
Na de technische implementatie moet er aandacht worden besteed aan gebruikerscommunicatie en training. Organisatoren van vergaderingen moeten worden geïnformeerd over de wijziging en moeten worden getraind in het gebruik van de opnamefunctie. Communiceer duidelijk dat opname niet meer automatisch start en dat organisatoren expliciet de opname moeten starten wanneer dit nodig is. Verstrek training over wanneer het gepast is om een vergadering op te nemen, hoe deelnemers moeten worden geïnformeerd, en hoe opgenomen vergaderingen moeten worden beheerd. Deze training kan worden gegeven via e-learning modules, live training sessies, of via documentatie en handleidingen.
Het is ook belangrijk om gebruikers te informeren over hun privacyrechten en over hoe zij bezwaar kunnen maken tegen het opnemen van vergaderingen. Gebruikers moeten weten dat zij het recht hebben om te weigeren deel te nemen aan een vergadering die wordt opgenomen, of om te vragen dat de opname wordt gestopt. Communiceer duidelijk hoe gebruikers bezwaar kunnen maken en wat de procedure is voor het afhandelen van dergelijke verzoeken. Deze transparantie is essentieel voor het waarborgen van privacy en voor het voldoen aan AVG-vereisten.
Compliance
Het uitschakelen van automatische opname in Microsoft Teams en het vereisen van expliciete toestemming voor opname is essentieel voor het voldoen aan verschillende compliance-frameworks en privacywetgeving die van toepassing zijn op Nederlandse organisaties. Deze maatregel helpt organisaties te voldoen aan vereisten voor geïnformeerde toestemming, transparantie in gegevensverwerking, en privacybescherming zoals gespecificeerd in internationale standaarden en Nederlandse wetgeving.
De Algemene Verordening Gegevensbescherming (AVG), ook wel bekend als GDPR, vereist in Artikel 6 dat gegevensverwerking plaatsvindt op basis van een legitieme grondslag, waarbij toestemming een van de belangrijkste grondslagen is. Voor het opnemen van vergaderingen betekent dit dat organisaties moeten kunnen aantonen dat deelnemers geïnformeerde toestemming hebben gegeven voordat een opname start. Wanneer opname automatisch start zonder dat deelnemers hiervan op de hoogte zijn, schendt dit de vereisten voor geïnformeerde toestemming zoals vastgelegd in AVG Artikel 6. Door opname standaard uit te schakelen en te vereisen dat organisatoren expliciet de opname starten, zorgt de organisatie ervoor dat deelnemers op de hoogte zijn van de opname en kunnen beslissen of zij willen deelnemen. De visuele indicator die wordt getoond wanneer een opname actief is, draagt bij aan deze transparantie en helpt organisaties te voldoen aan de AVG-vereisten voor geïnformeerde toestemming. Het niet implementeren van deze maatregel kan resulteren in niet-naleving van AVG-vereisten, wat kan leiden tot boetes tot 4 procent van de wereldwijde jaaromzet of 20 miljoen euro, afhankelijk van wat hoger is.
De Baseline Informatiebeveiliging Overheid (BIO) specificeert in Thema 08.01 dat organisaties passende maatregelen moeten implementeren om privacy te waarborgen. Deze maatregelen omvatten het beschermen van persoonsgegevens tegen onbevoegde toegang, het waarborgen van transparantie in gegevensverwerking, en het respecteren van de privacyrechten van individuen. Voor Nederlandse overheidsorganisaties is de BIO-baseline verplicht, en het niet voldoen aan deze vereisten kan leiden tot beveiligingsincidenten en compliance-problemen. Het uitschakelen van automatische opname en het vereisen van expliciete toestemming helpt overheidsorganisaties te voldoen aan BIO-vereisten door transparantie te waarborgen en door ervoor te zorgen dat deelnemers geïnformeerd zijn over gegevensverwerking. Organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om privacy te waarborgen, en deze maatregel is een belangrijk onderdeel van deze inspanningen.
ISO 27001 controle A.8.11 richt zich op het beveiligen van gegevens tijdens overdracht en opslag. Deze controle vereist dat organisaties passende maatregelen implementeren om gegevens te beschermen wanneer deze worden overgedragen of opgeslagen. Voor opgenomen vergaderingen betekent dit dat organisaties moeten kunnen aantonen dat opgenomen content veilig wordt opgeslagen, dat toegang tot opgenomen vergaderingen wordt gecontroleerd, en dat opgenomen content wordt beheerd volgens gegevensretentiebeleid. Door opname standaard uit te schakelen en te vereisen dat organisatoren expliciet de opname starten, helpt de organisatie ervoor te zorgen dat alleen vergaderingen worden opgenomen wanneer dit nodig is en wanneer passende beveiligingsmaatregelen zijn geïmplementeerd. Deze aanpak draagt bij aan het voldoen aan ISO 27001 A.8.11 door ervoor te zorgen dat gegevensverwerking plaatsvindt op basis van bewuste besluitvorming en door te waarborgen dat alleen noodzakelijke gegevens worden opgeslagen.
Naast deze specifieke compliance-frameworks zijn er ook sectorspecifieke vereisten die van toepassing kunnen zijn. Organisaties in de gezondheidszorg die patiëntgegevens verwerken moeten voldoen aan de Wet op de geneeskundige behandelingsovereenkomst (WGBO) en moeten kunnen aantonen dat opname van vergaderingen plaatsvindt met volledige transparantie en geïnformeerde toestemming. Financiële instellingen die onder toezicht staan van De Nederlandsche Bank (DNB) of de Autoriteit Financiële Markten (AFM) moeten vaak kunnen aantonen dat zij passende privacy- en beveiligingsmaatregelen hebben geïmplementeerd voor alle gegevensverwerking, inclusief het opnemen van vergaderingen. Organisaties in kritieke infrastructuren moeten vaak voldoen aan aanvullende beveiligingsvereisten die transparantie en geïnformeerde toestemming vereisen voor alle gegevensverwerking.
Voor auditdoeleinden moeten organisaties kunnen aantonen dat zij passende maatregelen hebben genomen om privacy te waarborgen en om te voldoen aan compliance-vereisten. Dit omvat het documenteren van het meetingbeleid, het bijhouden van wanneer en waarom vergaderingen worden opgenomen, het loggen van alle opname-activiteiten, en het regelmatig reviewen van het opnamebeleid. Organisaties moeten ook kunnen aantonen dat gebruikers zijn geïnformeerd over het opnamebeleid en dat er procedures zijn voor het afhandelen van bezwaar tegen opname. Deze documentatie is essentieel voor het succesvol doorstaan van compliance-audits en voor het aantonen van due diligence bij privacy-incidenten.
Monitoring
Gebruik PowerShell-script recording-off-default.ps1 (functie Invoke-Monitoring) – Automatiseert monitoring van Teams meeting policies om te verifiëren dat opname standaard is uitgeschakeld.
Effectieve monitoring van de Teams-opnameconfiguratie is essentieel om te waarborgen dat het beleid correct wordt gehandhaafd en dat er geen onbedoelde wijzigingen plaatsvinden die de privacybescherming kunnen ondermijnen. Monitoring omvat het continu volgen van meeting policy-configuraties, het detecteren van wijzigingen in opname-instellingen, het verifiëren dat gebruikers de juiste policies hebben toegewezen, en het waarborgen dat alle opname-activiteiten worden gelogd voor auditdoeleinden.
De basis van monitoring wordt gevormd door regelmatige verificatie van meeting policy-configuraties. Teams-beheerders moeten maandelijks controleren dat alle meeting policies correct zijn geconfigureerd met opname standaard uitgeschakeld. Dit kan worden gedaan via het Teams Admin Center door handmatig elke policy te controleren, of via geautomatiseerde scripts die gebruikmaken van de Microsoft Graph API of PowerShell-cmdlets. Geautomatiseerde monitoring heeft de voorkeur omdat het consistentie waarborgt en tijd bespaart, vooral voor organisaties met meerdere meeting policies. Het monitoring-script moet verifiëren dat de 'Cloud recording' instelling is ingesteld op 'On' (wat betekent dat de functie beschikbaar is) en dat er geen automatische opname is geconfigureerd. Het script moet ook controleren dat de 'Allow transcription' instelling correct is geconfigureerd volgens het organisatiebeleid.
Azure Monitor of Microsoft 365 audit logs moeten worden gebruikt om alle wijzigingen in meeting policies te volgen. Wanneer een beheerder een meeting policy wijzigt, wordt deze actie gelogd in de audit logs, inclusief wie de wijziging heeft gemaakt, wanneer deze is gemaakt, en welke instellingen zijn gewijzigd. Deze logs moeten regelmatig worden gereviewd om onbevoegde of onbedoelde wijzigingen te detecteren. Configureer alert rules die automatisch waarschuwingen genereren wanneer meeting policies worden gewijzigd, zodat beheerders onmiddellijk kunnen reageren op potentiële problemen. Deze waarschuwingen moeten worden verzonden naar het security operations center of naar designated Teams-beheerders.
Het is belangrijk om te monitoren welke gebruikers zijn toegewezen aan welke meeting policies. Gebruikers die zijn toegewezen aan een policy met onjuiste opname-instellingen kunnen onbedoeld vergaderingen opnemen zonder de juiste transparantie. Regelmatige verificatie van gebruikers-toewijzingen helpt ervoor te zorgen dat alle gebruikers de juiste policy hebben en dat er geen gebruikers zijn die per ongeluk zijn toegewezen aan een verkeerde policy. Dit kan worden gedaan via het Teams Admin Center of via geautomatiseerde scripts die alle gebruikers en hun toegewezen policies inventariseren.
Monitoring van daadwerkelijke opname-activiteiten is ook belangrijk om te verifiëren dat het beleid correct wordt gevolgd. Microsoft 365 audit logs bevatten informatie over wanneer vergaderingen worden opgenomen, wie de opname heeft gestart, en waar de opname wordt opgeslagen. Deze logs moeten regelmatig worden gereviewd om te verifiëren dat opname alleen plaatsvindt wanneer dit nodig is en wanneer deelnemers correct zijn geïnformeerd. Abnormale patronen, zoals een plotselinge toename in opname-activiteiten of opname-activiteiten buiten normale kantooruren, kunnen wijzen op misbruik of onjuiste configuratie en moeten worden onderzocht.
Organisaties moeten een dashboard creëren dat een overzicht geeft van de opname-configuratie en -activiteiten. Dit dashboard moet visualisaties bevatten van het aantal meeting policies met correcte configuratie, het aantal gebruikers per policy, het aantal opgenomen vergaderingen per periode, en trends in opname-activiteiten. Het dashboard moet ook waarschuwingen tonen voor configuratiewijzigingen of afwijkingen van het normale patroon. Dit dashboard helpt beheerders snel problemen te identificeren en te reageren op potentiële compliance-issues.
Kwartaalreviews van de opname-configuratie en -activiteiten zijn essentieel om te waarborgen dat het beleid correct wordt gehandhaafd en dat er geen onbedoelde wijzigingen zijn. Tijdens deze reviews moeten beheerders alle meeting policies controleren, alle configuratiewijzigingen sinds de laatste review documenteren, alle opname-activiteiten analyseren op afwijkingen, en verifiëren dat gebruikers correct zijn geïnformeerd over het opnamebeleid. Deze reviews moeten worden gedocumenteerd en alle bevindingen moeten worden geadresseerd. De reviews moeten ook worden gebruikt om het opnamebeleid te evalueren en te verbeteren op basis van lessons learned en veranderende bedrijfsvereisten.
Remediatie
Gebruik PowerShell-script recording-off-default.ps1 (functie Invoke-Remediation) – Automatiseert de configuratie van Teams meeting policies om opname standaard uit te schakelen.
Remediatie van de Teams-opnameconfiguratie omvat het corrigeren van meeting policies die onjuist zijn geconfigureerd met automatische opname ingeschakeld, of het implementeren van de maatregel voor organisaties die deze nog niet hebben geïmplementeerd. Het proces begint met een assessment van de huidige configuratie om te identificeren welke meeting policies moeten worden aangepast en welke gebruikers zijn toegewezen aan deze policies.
De eerste stap in het remediatieproces is het identificeren van alle meeting policies die moeten worden aangepast. Gebruik het Teams Admin Center of PowerShell-scripts om een overzicht te krijgen van alle meeting policies en hun huidige configuratie. Identificeer policies waarbij automatische opname is ingeschakeld of waarbij de opname-instellingen niet voldoen aan het organisatiebeleid. Documenteer welke policies moeten worden aangepast en welke gebruikers zijn toegewezen aan elke policy. Deze documentatie is essentieel voor het plannen van de remediatie en voor het communiceren van wijzigingen aan gebruikers.
Voor elke policy die moet worden aangepast, navigeer naar het Teams Admin Center en selecteer de betreffende policy. Wijzig de 'Cloud recording' instelling naar 'On' (wat betekent dat de functie beschikbaar is, niet dat deze automatisch start). Zorg ervoor dat er geen automatische opname is geconfigureerd. Wijzig de 'Allow transcription' instelling naar 'Off' tenzij uw organisatie specifieke behoeften heeft voor transcriptie. Sla de wijzigingen op en verifieer dat de nieuwe configuratie correct is toegepast. Het kan enkele minuten duren voordat de wijzigingen volledig zijn doorgevoerd in de Teams-omgeving.
Voor organisaties met meerdere meeting policies is het belangrijk om een gestructureerde aanpak te hanteren. Begin met de globale policy die van toepassing is op de meeste gebruikers, en werk vervolgens door naar specifieke policies voor verschillende afdelingen of gebruikersgroepen. Documenteer alle wijzigingen die worden gemaakt, inclusief welke policies zijn aangepast, wanneer de wijzigingen zijn gemaakt, en wie verantwoordelijk was voor de wijzigingen. Deze documentatie is essentieel voor toekomstige referentie en voor compliance-audits.
Na het aanpassen van de policies, moet u verifiëren dat de wijzigingen correct zijn toegepast. Test de configuratie door een testvergadering te starten en te verifiëren dat de opnamefunctie beschikbaar is, maar niet automatisch start. De organisator van de vergadering moet expliciet op de opnameknop moeten klikken om de opname te starten. Wanneer de opname start, moeten alle deelnemers een duidelijke visuele indicator zien. Deze verificatie is essentieel om ervoor te zorgen dat de remediatie correct is en dat gebruikers de verwachte functionaliteit ervaren.
Het is belangrijk om gebruikers te informeren over de wijzigingen in het opnamebeleid. Communiceer duidelijk dat opname niet meer automatisch start en dat organisatoren expliciet de opname moeten starten wanneer dit nodig is. Verstrek training over wanneer het gepast is om een vergadering op te nemen, hoe deelnemers moeten worden geïnformeerd, en hoe opgenomen vergaderingen moeten worden beheerd. Deze communicatie moet plaatsvinden voordat de wijzigingen worden doorgevoerd, zodat gebruikers voorbereid zijn op de nieuwe configuratie. Na de implementatie moet er follow-up communicatie plaatsvinden om ervoor te zorgen dat gebruikers begrijpen hoe de nieuwe configuratie werkt.
Voor organisaties die al gebruikmaken van automatische opname kan remediatie een grotere impact hebben. In deze gevallen is het belangrijk om een migratieplan te ontwikkelen dat rekening houdt met bestaande opgenomen vergaderingen en met gebruikers die afhankelijk zijn van automatische opname. Plan een overgangsperiode waarin gebruikers kunnen wennen aan de nieuwe configuratie, en verstrek extra training en ondersteuning voor gebruikers die moeite hebben met de overgang. Monitor de impact van de wijzigingen en pas het beleid aan indien nodig op basis van feedback van gebruikers.
Na de remediatie moet er continue monitoring plaatsvinden om ervoor te zorgen dat de configuratie correct blijft en dat er geen onbedoelde wijzigingen plaatsvinden. Configureer geautomatiseerde monitoring die regelmatig controleert of meeting policies correct zijn geconfigureerd en die waarschuwingen genereert wanneer wijzigingen worden gedetecteerd. Voer regelmatige reviews uit om te verifiëren dat het beleid correct wordt gehandhaafd en dat gebruikers de juiste configuratie hebben. Deze continue monitoring is essentieel voor het waarborgen van langetermijncompliance en voor het voorkomen van toekomstige problemen.
Compliance & Frameworks
- BIO: 08.01.01 -
- ISO 27001:2022: A.8.11 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Recording Off by Default
.DESCRIPTION
Ensures Teams recording is controlled and not enabled by default
.NOTES
NL Baseline v2.0
#>
#Requires -Version 5.1
#Requires -Modules MicrosoftTeams
[CmdletBinding()]
param([switch]$Monitoring)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Recording Off by Default" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Invoke-Monitoring {
try {
Connect-MicrosoftTeams -ErrorAction Stop
$policy = Get-CsTeamsMeetingPolicy -Identity Global
$result = @{
isCompliant = $true
recordingAllowed = $policy.AllowCloudRecording
transcriptionAllowed = $policy.AllowTranscription
}
Write-Host " Cloud Recording: $(if($policy.AllowCloudRecording){'ALLOWED'}else{'DISABLED'})" -ForegroundColor $(
if ($policy.AllowCloudRecording) { 'Yellow' }else { 'Green' }
)
Write-Host " Transcription: $(if($policy.AllowTranscription){'ALLOWED'}else{'DISABLED'})" -ForegroundColor $(
if ($policy.AllowTranscription) { 'Yellow' }else { 'Green' }
)
Write-Host "`n Security Benefits:" -ForegroundColor Cyan
Write-Host " • Controlled recording access" -ForegroundColor Gray
Write-Host " • Prevents unauthorized recording" -ForegroundColor Gray
Write-Host " • Maintains privacy" -ForegroundColor Gray
Write-Host " • Reduces data exposure risk" -ForegroundColor Gray
Write-Host "`n Note: Recording/transcription can be enabled but controlled via policies" -ForegroundColor Gray
Write-Host "`n[OK] COMPLIANT - Recording controlled via policies" -ForegroundColor Green
exit 0
}
catch {
Write-Host "ERROR: $_" -ForegroundColor Red
exit 2
}
}
try {
if ($Monitoring) { Invoke-Monitoring }
else { Write-Host "Use: -Monitoring" -ForegroundColor Yellow }
}
catch { throw }
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Low: Wanneer de opnamefunctie in Microsoft Teams standaard is ingeschakeld en automatisch start zonder dat deelnemers hiervan op de hoogte zijn, schendt dit fundamentele privacybeginselen zoals vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). Automatische opname zonder geïnformeerde toestemming van deelnemers is een directe schending van AVG Artikel 6, dat vereist dat gegevensverwerking plaatsvindt op basis van toestemming of een andere legitieme grondslag. Deze schending kan leiden tot boetes tot 4 procent van de wereldwijde jaaromzet of 20 miljoen euro, afhankelijk van wat hoger is. Daarnaast creëren automatisch opgenomen vergaderingen nieuwe datastromen die moeten worden beheerd volgens gegevensretentiebeleid, wat extra compliance-verplichtingen met zich meebrengt. Voor gevoelige vergaderingen zoals HR-gesprekken, juridische consultaties of medische overleggen kan het opnemen zonder expliciete toestemming zelfs illegaal zijn. Het risico is laag voor algemene vergaderingen maar hoog voor vergaderingen met gevoelige informatie of persoonsgegevens waar privacybescherming essentieel is.
Management Samenvatting
Microsoft Teams-opnamefunctie standaard uitschakelen en vereisen dat organisatoren expliciet de opname starten. Deze maatregel waarborgt privacy en AVG-naleving door transparantie en geïnformeerde toestemming te vereisen voordat vergaderingen worden opgenomen. Deelnemers zien een duidelijke visuele indicator wanneer een vergadering wordt opgenomen, wat hen in staat stelt om geïnformeerde beslissingen te nemen over hun deelname. Deze maatregel is VERPLICHT voor alle organisaties die moeten voldoen aan AVG-vereisten, AANBEVOLEN voor organisaties met gevoelige vergaderingen zoals HR-gesprekken of juridische consultaties, en OPTIONEEL voor organisaties met alleen niet-gevoelige vergaderingen. Belangrijke vereisten zijn Microsoft Teams-licenties, Teams-beheerdersrechten voor het configureren van meeting policies, en een duidelijk gegevensretentiebeleid voor opgenomen vergaderingen. Implementatie-inspanning is 1-3 uur inclusief configuratie van meeting policies, verificatie van de configuratie, en gebruikerscommunicatie. Doorlopende inspanning van 2-4 uur per kwartaal voor monitoring en reviews. Kosten zijn verwaarloosbaar. Return on investment komt van compliance-bereiking, verminderde privacyrisico's, verminderde auditbevindingen, en verbeterde privacybescherming voor gevoelige vergaderingen.
- Implementatietijd: 3 uur
- FTE required: 0.01 FTE