Het onderzoek werd uitgevoerd op verzoek van de Tweede Kamer en richtte zich op de vraag of gegevens van ambtenaren buiten de overheid terecht kunnen komen. Daarbij is gekeken naar de aard van datastromen, de betrokken partijen en mogelijke privacyrisico’s. Hoewel de algemene conclusie is dat alleen noodzakelijke datastromen plaatsvinden, signaleren de onderzoekers dat gebruikersgedrag in verschillende situaties toch zichtbaar kan worden voor externe partijen.
Nieuwe digitale werkplek Rijk voldoet aan privacy-eisen
De nieuwe digitale werkplek van de Rijksoverheid (DWR 2.0) vertoont geen ongewenste datalekken naar externe partijen, maar er zijn wel meerdere privacy-aandachtspunten aangetroffen. Dat blijkt uit een analyse van Privacy Company en de bijbehorende Kamerbrief.
Standaard browsers
Een belangrijk aandachtspunt is bijvoorbeeld het gebruik van websites via de standaard browsers. Tijdens tests bleek dat het bezoeken van websites kan leiden tot communicatie met advertentie- en trackingnetwerken. Dit gebeurt via cookies die worden geplaatst wanneer gebruikers doorklikken op websites, waardoor gegevens over surfgedrag bij derde partijen terecht kunnen komen. Daarnaast kan ook via DNS-verkeer informatie uitlekken over het surfgedrag van gebruikers. DNS-verkeer vertaalt domeinnamen naar IP-adressen en kan zichtbaar zijn voor netwerkbeheerders. Vooral op onbeveiligde netwerken, zoals thuis of onderweg, kan dit betekenen dat zichtbaar wordt welke websites worden bezocht.
Updates en aanvullende functionaliteiten
Een ander aandachtspunt betreft telemetriegegevens die door software worden verzonden. Deze gegevens hebben betrekking op het functioneren van systemen en applicaties, bijvoorbeeld bij updates. Hoewel deze datastromen als noodzakelijk worden beschouwd, bevatten ze onder meer informatie over het apparaat en het gebruik ervan. Ook is vastgesteld dat bepaalde onderdelen van besturingssystemen en applicaties automatisch verbinding maken met externe diensten. Dit gebeurt onder meer voor updates en aanvullende functionaliteiten. In sommige gevallen treden leveranciers hierbij op als zelfstandige verantwoordelijke voor de verwerking van gegevens.
Standaardinstellingen
Verder blijkt dat standaardinstellingen van software invloed hebben op datastromen. Zo kunnen zoekfuncties binnen besturingssystemen of browsers gegevens versturen naar externe partijen wanneer online suggesties zijn ingeschakeld. Dit kan leiden tot extra dataverkeer dat niet direct noodzakelijk is voor het primaire gebruik van de werkplek. Het onderzoek laat ook zien dat beveiligingsmaatregelen zoals een versleutelde netwerkverbinding het moeilijker maken om dataverkeer te analyseren. Hierdoor is aanvullende testmethodiek nodig om zicht te krijgen op de daadwerkelijke gegevensstromen naar externe partijen.
Geen ongewenste datastromen
Ondanks deze aandachtspunten concludeert het kabinet dat er geen ongewenste datastromen zijn aangetroffen. De geconstateerde datastromen worden als noodzakelijk beschouwd voor het functioneren, beveiligen en up-to-date houden van de systemen. De overheid heeft daarnaast maatregelen genomen om risico’s verder te beperken, onder meer door het toepassen van privacyvriendelijke configuraties en het doorvoeren van aanbevelingen uit het onderzoek, voor zover technisch mogelijk.
De nieuwe werkplek maakt deel uit van de modernisering van de digitale werkomgeving binnen de Rijksoverheid. De Tweede Kamer kan later nog nader worden geïnformeerd over de technische details van het onderzoek.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Microsoft 365 vereist een MS account en inloggen.
Niet inloggen heeft beperkte functionaliteit tot gevolg