L1 BIO 16.01 ISO A.12.4.1 CIS 18.9.19.2

Telemetry Data Collection Limited

📅 2025-10-30
⏱️ 2 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Deze beveiligingsmaatregel waarborgt dat Windows-endpoints alleen een beperkt en privacybewust niveau van telemetriegegevens naar Microsoft verzenden. Daarmee wordt onnodige blootstelling van gebruiks- en configuratiegegevens voorkomen en blijft de organisatie beter in controle over welke informatie het netwerk verlaat.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Windows

Als overheidsorganisatie verwerkt u grote hoeveelheden gevoelige informatie, waaronder persoonsgegevens, vertrouwelijke beleidsdocumenten en operationele gegevens over uw infrastructuur. Zonder duidelijke begrenzing van telemetrie en diagnostische data kunnen meer gegevens dan noodzakelijk worden gedeeld met externe partijen, wat de privacy van medewerkers en burgers onder druk zet en mogelijke non‑compliance met de AVG of interne privacyrichtlijnen veroorzaakt. Door telemetrie expliciet te beperken en centraal te beheren, verkleint u het aanvalsoppervlak, voorkomt u ongewenste profilering en voldoet u beter aan eisen rond dataminimalisatie en transparantie.

PowerShell Modules Vereist
Primary API: Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

Deze maatregel configureert via Microsoft Intune het niveau van Windows-telemetrie zodanig dat alleen strikt noodzakelijke diagnostische gegevens worden verzameld en verzonden. U richt beleidsregels in voor apparaatconfiguratie of compliance zodat alle beheerde Windows-apparaten automatisch het gewenste telemetriniveau gebruiken, afwijkingen worden gesignaleerd en niet-conforme systemen kunnen worden hersteld. Het resultaat is een gecontroleerd, consistent en aantoonbaar privacyvriendelijk telemetriebeleid dat aansluit op de Nederlandse Baseline voor Veilige Cloud en de interne governance-eisen van uw organisatie.

Vereisten

Voor een succesvolle implementatie van beperkte telemetrieverzameling is het essentieel dat de basisrandvoorwaarden binnen de organisatie goed zijn ingericht. Allereerst moet Microsoft Intune als centraal beheersplatform zijn ingericht voor de relevante Windows-endpoints, inclusief een duidelijke hiërarchie van beheergroepen, test- en productieomgevingen en een eigenaarschapstructuur voor het Intune-beheer. Zonder deze fundamenten wordt het moeilijk om beleid gecontroleerd uit te rollen, te testen en terug te draaien indien nodig. Daarnaast moet er een helder privacy- en informatiebeveiligingsbeleid bestaan waarin is vastgelegd welke typen diagnostische gegevens wel en niet zijn toegestaan, welke wettelijke kaders van toepassing zijn (zoals AVG en BIO) en welke rollen verantwoordelijk zijn voor de besluitvorming. Dit beleid vormt het referentiekader waartegen de gekozen telemetrie-instellingen worden getoetst. Betrek daarbij minimaal de CISO, de functionaris gegevensbescherming, het Intune-beheerteam en vertegenwoordigers van de lijnorganisatie, zodat zowel juridische, technische als operationele belangen worden meegenomen. Vanuit technisch perspectief is het belangrijk dat alle doelapparaten correct zijn opgenomen in Intune, dat zij regelmatig verbinding maken met de Intune-service en dat er geen verouderde, conflicterende configuratiemechanismen actief zijn, zoals oude groepsbeleidinstellingen die een ander telemetriniveau afdwingen. Zorg dat documentatie beschikbaar is over de huidige configuratie van telemetrie, bijvoorbeeld welke Windows-versies in gebruik zijn, welke edities draaien (Enterprise, Education, etc.) en welke bestaande beleidsregels al actief zijn. Tot slot zijn heldere processen noodzakelijk voor wijzigingsbeheer, testen en ondersteuning van gebruikers. Er moet een testgroep bestaan waarin nieuwe telemetrieconfiguraties eerst worden uitgerold en gemonitord, voordat de instelling organisatiebreed wordt toegepast. De servicedesk moet zijn geïnformeerd over mogelijke impact, bijvoorbeeld gewijzigde foutdiagnosemogelijkheden, en beschikt over duidelijke instructies om meldingen van gebruikers of beheerders te registreren en door te zetten. Door deze organisatorische, juridische en technische vereisten vooraf goed te borgen, kan de beperking van telemetrie gecontroleerd, reproduceerbaar en aantoonbaar conform beleid worden ingevoerd.

Implementatie

De implementatie van beperkte telemetrieverzameling begint met een zorgvuldige analyse van het huidige configuratieniveau en de behoeften van de organisatie. Start met een inventarisatie: bepaal welke Windows-versies en edities in uw omgeving aanwezig zijn en controleer in de Intune-portaal welke configuratieprofielen en compliance policies al instellingen rondom diagnostische gegevens bevatten. Documenteer eventuele conflicterende instellingen, bijvoorbeeld wanneer een oud configuratieprofiel nog volledige telemetrie toestaat terwijl nieuw beleid dit juist beperkt. Vervolgens definieert u, samen met security- en privacyverantwoordelijken, het gewenste doelbeeld voor telemetrie. In veel overheidsomgevingen betekent dit dat alleen het minimale, voor beheer noodzakelijke niveau van diagnostische gegevens wordt toegestaan. Leg vast welke telemetriniveaus per apparaatgroep zijn toegestaan en hoe uitzonderingen worden afgehandeld, bijvoorbeeld voor specialistische werkplekken waar uitgebreide diagnostiek tijdelijk noodzakelijk is. Dit doelbeeld vormt de basis voor de concrete Intune-configuratie. Daarna maakt u in Intune één of meerdere configuratieprofielen aan voor Windows-apparaten, waarin u expliciet het gewenste telemetriniveau instelt. Koppel deze profielen aan testgroepen met representatieve apparaten uit verschillende organisatieonderdelen. Monitor gedurende een afgesproken periode of applicaties, beheerprocessen en monitoringoplossingen correct blijven functioneren. Documenteer alle bevindingen, zoals situaties waarin aanvullende loggegevens nodig blijken te zijn, en bepaal of dit via andere, beter controleerbare loggingmechanismen (bijvoorbeeld centrale SIEM-logging) kan worden opgelost in plaats van door telemetrie weer te verhogen. Als de testfase succesvol is afgerond, rolt u de configuratie gefaseerd uit naar grotere groepen apparaten. Gebruik change- en releaseprocedures die passen bij de governance van uw organisatie en communiceer helder naar beheerders en sleutelgebruikers wat er verandert en waarom. Registreer in uw configuratiemanagementsysteem welke profielen verantwoordelijk zijn voor de telemetrieconfiguratie en leg vast hoe afwijkingen worden beheerd. Voor organisaties die ook gebruikmaken van ondersteunende PowerShell-scripts, zoals het script dat bij deze maatregel hoort, is het raadzaam deze scripts in te zetten voor validatie en rapportage. Het script kan bijvoorbeeld controleren of apparaten daadwerkelijk het gewenste telemetriniveau gebruiken en een overzicht genereren voor auditors of het securityteam. Op deze manier vormt de technische implementatie een logisch geheel van beleid, Intune-configuratie en geautomatiseerde controle.

Gebruik PowerShell-script telemetry-data-collection-limited.ps1 (functie Invoke-Monitoring) – Het bijbehorende PowerShell-script kan worden gebruikt om de actuele configuratie van telemetrie-instellingen op beheerde Windows-apparaten uit te lezen, resultaten te consolideren en overzichtelijke rapportages te genereren voor beheer- en auditdoeleinden..

monitoring

Nadat het gewenste telemetriebeleid is uitgerold, is doorlopend toezicht noodzakelijk om te borgen dat apparaten conform de afspraken blijven functioneren. Monitoring begint met het inrichten van dashboards en rapportages in Intune of aanvullende beheertooling, waarin u in één oogopslag ziet welk percentage van de apparaten het juiste telemetriniveau gebruikt en waar afwijkingen optreden. Door deze informatie periodiek te analyseren, bijvoorbeeld wekelijks of maandelijks, kunnen trends worden gesignaleerd en kan tijdig worden ingegrepen wanneer nieuwe apparaten of specifieke organisatorische eenheden achterblijven. Een belangrijk aandachtspunt is het meten van de impact op beheerprocessen. Wanneer telemetrie wordt beperkt, kan dit gevolgen hebben voor probleemdiagnose of geautomatiseerde ondersteuning. Richt daarom indicatoren in die inzicht geven in het aantal incidenten waarbij gebrek aan diagnostische gegevens wordt genoemd als mogelijke oorzaak. Evalueer samen met de servicedesk en het beheerteam of deze incidenten structureel zijn en of aanvullende maatregelen nodig zijn, zoals betere logging op applicatieniveau of gerichte exceptions voor bepaalde systemen. Dit voorkomt dat telemetrie ongemerkt weer wordt verhoogd buiten het formele wijzigingsproces om. Naast technische monitoring is ook governance-monitoring essentieel. Maak afspraken over de frequentie waarmee rapportages over telemetriecompliance worden besproken in bijvoorbeeld het security-overleg of het privacyboard. Koppel de uitkomsten aan risicobeoordelingen: apparaten die structureel niet voldoen aan de telemetrie-eisen kunnen bijvoorbeeld een hogere risicoscore krijgen, waardoor zij extra aandacht krijgen in pentests, audits of verbeterplannen. Leg besluiten en geconstateerde afwijkingen vast, zodat bij toekomstige audits kan worden aangetoond dat de organisatie actief stuurt op naleving van het beleid. Het meegeleverde PowerShell-script kan een belangrijk hulpmiddel zijn binnen deze monitoringaanpak. Door het script periodiek te draaien, bijvoorbeeld via een geautomatiseerde taak of vanuit een rapportagepipeline, wordt een actueel beeld verkregen van de feitelijke configuratie op endpoints. De resultaten kunnen worden vergeleken met de configuratie die via Intune is uitgerold, waardoor eventuele drifts of lokale aanpassingen snel zichtbaar worden. Deze combinatie van beleidsmatig toezicht, technische rapportages en gestructureerde besluitvorming zorgt ervoor dat beperkte telemetrie geen eenmalige actie blijft, maar een duurzaam geborgde maatregel in de dagelijkse praktijk.

Gebruik PowerShell-script telemetry-data-collection-limited.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Wanneer uit monitoring blijkt dat een deel van de Windows-apparaten niet voldoet aan het gewenste telemetriniveau, moet remediatie gericht, controleerbaar en herhaalbaar plaatsvinden. Begin met het analyseren van de oorzaak van de afwijking: gaat het om apparaten die niet of onvoldoende contact maken met Intune, om verouderde configuratieprofielen, of om lokaal aangepaste instellingen door beheerders of gebruikers? Door deze categorisering kunt u gerichte herstelacties plannen in plaats van generieke maatregelen te nemen die mogelijk nieuwe bijwerkingen introduceren. Voor apparaten die nog wel in beheer zijn maar een verkeerde instelling hebben, is het vaak voldoende om de juiste configuratieprofielen opnieuw toe te wijzen en een geforceerde synchronisatie te initiëren. Documenteer welke groepen zijn aangepast en controleer na verloop van tijd of de wijziging daadwerkelijk is doorgevoerd. In situaties waarin groepsbeleid nog actief is naast Intune, is het belangrijk om eventuele conflicterende beleidsinstellingen af te bouwen. Dit kan betekenen dat oude GPO's worden uitgefaseerd of herschreven, zodat Intune het primaire stuurmiddel wordt voor telemetrie-instellingen. Voor endpoints die langere tijd niet hebben aangesloten, zoals laptops van medewerkers die zelden op kantoor komen, is een aparte aanpak nodig. Overweeg om bij het volgende aanmeldmoment op het bedrijfsnetwerk of via een VPN-verbinding een verplichte synchronisatie en health check uit te voeren, waarbij onder andere wordt gecontroleerd of telemetrie correct is beperkt. Indien apparaten structureel geen verbinding meer maken en mogelijk buiten beheer zijn geraakt, dient te worden beoordeeld of deze uit de beheeromgeving moeten worden verwijderd en welke aanvullende maatregelen nodig zijn, bijvoorbeeld het blokkeren van toegang tot gevoelige resources. Het PowerShell-script dat aan deze maatregel is gekoppeld, kan remediatie ondersteunen door niet-conforme systemen te identificeren en waar mogelijk automatisch te corrigeren. Bijvoorbeeld door telemetrie-instellingen lokaal aan te passen of door duidelijke rapportages te leveren aan het beheerteam zodat zij gerichte acties kunnen plannen. Zorg er steeds voor dat remediatieactiviteiten worden vastgelegd in het wijzigings- of incidentmanagementsysteem, inclusief een korte risicobeoordeling en de reden voor de gekozen aanpak. Zo ontstaat een aantoonbaar spoor waaruit blijkt dat de organisatie actief en gestructureerd optreedt wanneer telemetriebeleid wordt overtreden.

Gebruik PowerShell-script telemetry-data-collection-limited.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance en Auditing

Beperking van telemetrie is nauw verbonden met naleving van privacy- en beveiligingskaders zoals de AVG, de BIO en interne richtlijnen van de organisatie. Een auditor zal willen zien dat de gekozen telemetrieniveaus aansluiten op formeel vastgesteld beleid en dat dataminimalisatie daadwerkelijk is geborgd in de technische configuratie. Dit betekent dat u niet alleen moet kunnen aantonen welke instellingen in Intune zijn geconfigureerd, maar ook dat deze instellingen consequent worden afgedwongen op alle relevante apparaten en dat afwijkingen worden opgevolgd. Voor goede auditbaarheid is het belangrijk om een overzichtelijke set bewijsstukken te onderhouden. Denk hierbij aan beleidsdocumenten waarin het gewenste niveau van diagnostische gegevens is vastgelegd, besluitvormingsnotities van bijvoorbeeld het privacy- of securityoverleg, configuratieoverzichten uit Intune en rapportages die laten zien in welke mate apparaten voldoen aan het ingestelde beleid. Het meegeleverde PowerShell-script en aanvullende monitoringoplossingen kunnen worden gebruikt om periodieke overzichten te genereren van de feitelijke situatie, inclusief de mate van afwijking en de uitgevoerde herstelacties. Bij externe audits of interne reviews rond informatiebeveiliging en privacy kan telemetrie worden beoordeeld in samenhang met andere maatregelen, zoals logging, incidentrespons en toegangsbeheer. Leg daarom duidelijk uit hoe de beperking van telemetrie past in de bredere beveiligingsarchitectuur: enerzijds wordt dataminimalisatie gerealiseerd, anderzijds blijft voldoende zicht op de gezondheid en veiligheid van systemen behouden via andere logging- en monitoringmechanismen. Benoem expliciet welke risico's zijn geaccepteerd en welke aanvullende beheersmaatregelen zijn getroffen om eventuele verlies aan detailinformatie te compenseren. Tot slot hoort bij goed nAleefbeheer dat de organisatie periodiek evalueert of de gekozen configuratie nog aansluit op de actuele stand van de techniek en gewijzigde wet- en regelgeving. Nieuwe Windows-versies of wijzigingen in het aanbod van Microsoft kunnen aanleiding zijn om de inrichting van telemetrie opnieuw te beoordelen. Documenteer deze evaluaties en eventuele bijstellingen, zodat u bij toekomstige audits kunt laten zien dat beperkte telemetrie geen statische keuze is, maar onderdeel van een continu verbeterproces binnen de Nederlandse Baseline voor Veilige Cloud.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Intune Privacy: Telemetry Data Collection Limited .DESCRIPTION CIS - Telemetry data collection op minimum (Security level 0). .NOTES Filename: telemetry-data-collection-limited.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection"; $RegName = "AllowTelemetry"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "telemetry-limited.ps1"; PolicyName = "Telemetry Collection"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "0 (Security)"; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v) { $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Telemetry: Security (0)" }else { $r.Details += "Telemetry: $($v.$RegName)" } }else { $r.Details += "Niet geconfigureerd" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Telemetry limited to Security (0)" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder duidelijke begrenzing van telemetrie kunnen meer diagnostische en gebruiksgegevens dan strikt noodzakelijk het overheidsdomein verlaten, wat leidt tot verhoogde privacyrisico's, mogelijke non-compliance met AVG en BIO en minder controle over de digitale voetafdruk van de organisatie.

Management Samenvatting

Beperk Windows-telemetrie via Intune tot het minimaal noodzakelijke niveau, borg dit centraal en monitor continu op afwijkingen zodat privacy, beveiliging en compliance aantoonbaar worden versterkt.