De discussie laait opnieuw op: is Office 365 veilig voor gebruik in het onderwijs? Het korte antwoord is ‘nee’. Het lange antwoord is complexer dan dat; Microsoft biedt gewoonweg niet genoeg bescherming wanneer het aankomt op het versturen van gevoelige gegevens, zo blijkt uit een nieuw rapport in opdracht van ministerie van Justitie en Veiligheid en SURF, de ICT-inkooporganisatie van hogescholen en universiteiten.
Wat is dan eigenlijk het probleem met Microsoft? Daar duiken we in deze blog voor je in!
Microsoft moet zich houden aan de Amerikaanse CLOUD Act
De discussie omtrent Microsoft en de veiligheid van gevoelige gegevens is verre van nieuw, die loopt al sinds de totstandkoming van de CLOUD Act in 2018. Nu horen we je denken... Wat is de CLOUD Act dan precies?
De CLOUD Act geeft Amerikaanse autoriteiten het recht om gevoelige gegevens van gebruikers op te vragen bij Amerikaanse providers. Het maakt dan niet eens uit of deze gegevens op een Europese server of een Amerikaanse server staan, zolang het bedrijf maar Amerikaans is. We hoeven je niet uit te leggen dat de CLOUD Act daarmee in strijd is met de AVG.
Omdat Microsoft een Amerikaans bedrijf is, betekent dit dat ook zij zich gewoon moeten houden aan de CLOUD Act. Maak jij gebruik van Office 365? En stuur je daarbij gevoelige gegevens via de e-mail? Dan kan het dat je in strijd bent met de AVG.
DPIA-scan overheid roept vragen op
Zo dacht de overheid er waarschijnlijk ook over toen zij een ‘data protection impact assessment’ (DPIA) onderzoek lieten uitvoeren naar de databescherming van Microsoftdiensten. De uitkomst van dat rapport was niet mals: gebruik je Microsoft in het onderwijs? Dan ben je niet veilig genoeg.
Zo zijn er zes veiligheidsrisico's die het rapport heeft geïdentificeerd:
- Verlies van controle en heridentificatie van pseudonieme persoonsgegevens door structurele doorgifte van gegevens naar de VS
- Verlies van controle en oneigenlijke verdere verwerking van gegevens zoals padnamen, gebruikersnamen en e-mailadressen in Onedrive
- Verlies van controle en gebrek aan transparantie over telemetriegegevens uit de browser
- Beperkingen op het recht van inzage voor betrokkenen
- Oneigenlijke verdere verwerking door derde partijen
- Personeelsvolgsysteem wat gedetailleerde inzichten aan systeembeheerders geeft over individueel werkgedrag
Hoewel Microsoft zegt aan de slag te gaan met deze zes ‘lage’ veiligheidsrisico's, blijkt er nog een veel groter risico te spelen: het versturen van gevoelige persoonsgegevens die niet met een eigen encryptiesleutel zijn versleuteld.
Zo stelt het rapport dat Europese servers niet genoeg zijn om deze gegevens te beschermen. Door de Amerikaanse CLOUD Act loop je alsnog een hoog risico dat deze gevoelige data door de Amerikaanse overheid buitgemaakt kan worden. Ook de versleuteling die Microsoft gebruikt is niet voldoende omdat ook de sleutel gewoon door de Amerikaanse overheid kan worden opgevraagd.
En dat is zorgelijk, gezien het merendeel van scholen (80%) gebruik maakt van Microsoft Office. Ook universiteiten en hogescholen maken veel gebruik van Microsoft producten, waardoor de persoonsgegevens die in deze onderwijsinstellingen rondgaan een groot risico lopen.
Hoe kun je dan wél veilig bestanden versturen?
De enige manier om gevoelige gegevens veilig te houden in het onderwijs is zelf een externe versleuteling te gebruiken, zo stelt het DPIA-rapport. Zo heeft namelijk niemand toegang tot jouw encryptiesleutels en blijft jouw data alleen voor jouw ogen bestemd.
Ons advies is om een e-mailprovider te kiezen die dit voor je kan verzorgen. We zetten de voordelen voor je op een rijtje:
Maak gebruik van zero knowledge end-to-end versleuteling
We hebben het al eerder gezegd: de ene encryptie is de andere niet! Zo ben je namelijk pas écht veilig als je zero knowledge end-to-end versleuteling gebruikt.
End-to-end encryptie zorgt ervoor dat je data versleuteld verstuurd wordt (encryptie in transitie) en ook als het opgeslagen is (encryptie in rust). Microsoft maakt gebruik van end-to-end encryptie zodat je veilig kan e-mailen. Jouw e-mails zijn daarom onleesbaar als je ze verstuurt, tot de Amerikaanse overheid deze gegevens wil inzien dan. Zelfs als je gebruik maakt van encryptiesleutels kunnen deze worden opgevraagd als je ze bewaart in een Amerikaanse Cloud (zoals SharePoint).
Dus wat doe je dan? Gebruik maken van zero knowledge end-to-end versleuteling!
Het sleutelwoord is hier ‘zero knowledge'. Met zero knowledge end-to-end encryptie maak je namelijk gebruik van encryptiesleutels die apart worden opgeslagen van de Cloud. Zo heeft niemand, ook de Amerikaanse overheid niet, toegang tot jouw encryptiesleutels.
Smartlockr maakt daarom gebruik van zero knowledge end-to-end versleuteling zodat alleen jij toegang hebt tot je gegevens.
Zorg ervoor dat je je e-mails kan intrekken
Natuurlijk is het niet alleen de Amerikaanse overheid die jouw gegevens onder ogen kan krijgen. Soms kun je ook zélf een foutje maken, door bijvoorbeeld gevoelige informatie naar de verkeerde persoon te sturen.
Wat doe je dan? Probeer je e-mail terug te halen of te blokkeren. Dat kan alleen niet altijd bij Microsoft: in Outlook kun je verzonden e-mails alleen intrekken als jouw ontvanger ook gebruik maakt van Outlook. Gebruikt je ontvanger Gmail? Dan heb je helaas pech.
Bij Smartlockr bieden we je de mogelijkheid om je e-mail in te trekken, zélfs als deze e-mail al is gelezen. Dit doe je makkelijk door naar je verzonden berichten te gaan waar je de afzender, het bestand óf het e-mailbericht kan blokkeren.
Maak gebruik van een uploadportaal
Het ene uploadportaal is de andere niet: wist je dat bij Microsoft Outlook maar maximaal 25MB aan bestanden kunt versturen? Ter vergelijking: Smartlockr heeft een limiet van 5TB! Om nog maar niet te spreken van onveilige sites als WeTransfer, welke ook gebruik maakt van opslagservers in Amerika trouwens!
Het is uiteraard mogelijk bestanden te versturen met een veilige e-mailoplossing, maar bij het verzenden van meerdere bestanden naar verschillende contactpersonen kun je al snel het overzicht kwijtraken. Wie, wat, moet waar heen? En soms wil je ook een bestand veilig opvragen, zelfs als de ontvanger geen gebruik maakt van een veilige e-mailoplossing.
Een beveiligd uploadportaal biedt daarom uitkomst. Zo kan jij bestanden makkelijk en veilig versturen én opvragen zonder het overzicht te verliezen.
Een gebruiksvriendelijke e-mailoplossing is key
Tot slot, zorg ervoor dat je e-mailoplossing gebruiksvriendelijk is. Docenten in het onderwijs hebben het namelijk al druk genoeg. Als je gekozen e-mailoplossing tien stappen vereist voordat je een e-mail kan versturen, loop je namelijk het risico dat mensen om de oplossing heen gaan werken (zoals in het geval van Hugo de Jonge).
Daar schiet niemand wat mee op. Kies daarom een oplossing die makkelijk te integreren is, gebruiksvriendelijk is én zo min mogelijk tijd kost voor je gebruikers. Smartlockr maakt daarom gebruik van een toggle die je makkelijk aan en out kan vinken. Handig, toch?
Meer weten over encryptie en jezelf beschermen tegen de CLOUD Act? Download dan onze whitepaper "Zijn Amerikaanse cloud providers veilig voor jouw data?" om alles te weten te komen over encryptie én de CLOUD Act. Download hem hieronder!