BIO 05.01.01

Edge-verzending Van Site-informatie Uitschakelen

📅 2025-10-30
⏱️ 2 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Deze beveiligingsmaatregel voorkomt dat Microsoft Edge bezoekersinformatie, bezochte URL's en diagnostische metadata automatisch deelt met Microsoft-diensten, zodat vertrouwelijke browsepatronen van overheden binnen de eigen tenant blijven.

Aanbeveling
Dwing via Intune en groepsbeleid af dat Send site information to improve services permanent is uitgeschakeld, leg de privacyafweging vast en borg monitoring zodat browsegegevens van Nederlandse overheidsmedewerkers uitsluitend binnen de eigen tenant blijven.
Risico zonder
Low
Risk Score
2/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Edge

Publieke organisaties verwerken regelmatig gevoelige beleidsinformatie via webportalen; door telemetrie over sitebezoeken uit te schakelen voorkomen zij dat dienstnamen, intranetlocaties of zoekopdrachten de organisatie verlaten en behouden zij volledige controle over de datastromen die onder Europese privacywetgeving vallen.

PowerShell Modules Vereist
Primary API: Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

Configureer centraal een Intune- of groepsbeleid waarmee de instellingen SendSiteInformationToImproveServices en DiagnosticData beide permanent in de uit-stand worden gezet, documenteer de onderliggende risicoafweging en borg het beheerproces binnen het privacy-governanceraamwerk.

Vereisten

Succesvol uitschakelen van de instelling Send site information to improve services vereist allereerst een beheerde Microsoft 365-omgeving waarin Edge for Business via Azure AD Conditional Access wordt afgedwongen en apparaten minimaal Windows 10 22H2 of Windows 11 23H2 draaien. Alleen met deze consistente versievoet kan het beleid uniform worden uitgerold, omdat oudere Edge-builds de betreffende beleidsnaam niet herkennen en daardoor inconsistent gedrag vertonen. Controleer daarom vooraf of alle beheerde clients deel uitmaken van een Intune device-collectie of Configuration Manager-pilot waarin policy-evaluaties tweemaal daags plaatsvinden en ongecoördineerde lokale instellingen worden overschreven. Voer een hardware-inventarisatie uit zodat duidelijk is welke werkplekken tijdelijk handmatig moeten worden bijgewerkt, en plan onderhoudsvensters waarin Edge buiten kantooruren kan worden geüpdatet. Daarnaast moet de organisatie beschikken over een actueel baselineregister waarin alle privacygevoelige browserinstellingen zijn opgenomen, inclusief de verantwoordelijke eigenaar binnen het securityteam en de aangewezen vervanger. Deze governance-structuur zorgt ervoor dat veranderingen in Edge-policies altijd gekoppeld worden aan een risicoanalyse, zodat de privacy officer kan toetsen of het uitschakelen van telemetrie aansluit bij de verwerkingsregisters en dataminimalisatieprincipes. Leg in dit register ook de technische referenties naar Intune device configuration-profielen of naar de ADMX ingestelde policy-naam SendSiteInformationToImproveServicesEnabled vast. Het is raadzaam om het baselineregister te koppelen aan het organisatiebrede risicodashboard zodat bestuurders real-time zien dat deze privacymaatregel deel uitmaakt van de Nederlandse Baseline voor Veilige Cloud. Voor de technische implementatie zijn serviceaccounts met de rol Intune Administrator of Endpoint Security Manager noodzakelijk. Zij hebben toegang nodig tot de tenant waarin de beleidswijziging plaatsvindt en tot het Git-repository waarin de PowerShell-scripts uit de map code/edge/compliance worden beheerd. Deze scripts controleren de huidige status van het beleid en bieden waar nodig remediatie. Omdat de scriptuitvoering Microsoft Graph DeviceManagement-permissies vereist, moet de module Microsoft.Graph.DeviceManagement op het beheerstation aanwezig zijn en moet er een app-registratie of gebruikerscontext bestaan die de scope DeviceManagementConfiguration.ReadWrite.All mag consenten. Controleer bovendien of de beheeromgeving een veilige secret-store gebruikt voor de opgeslagen referenties; zonder die randvoorwaarde is de technische toegang tot Graph niet toegestaan. Naast technische toegang vraagt deze maatregel om duidelijke afspraken over logging en audittrail. Alle wijzigingen aan Edge-policies dienen gelogd te worden in het veranderregister, waarbij minimaal wordt vastgelegd op welke devicegroep het beleid is toegepast, welke controlemetingen zijn uitgevoerd en welke uitzonderingen zijn goedgekeurd. Ook moet vooraf worden bepaald hoe apparaten buiten beheer worden opgevangen; vaak bestaat hiervoor een isolatiebeleid waarbij Edge alleen toegang krijgt tot publieke sites totdat het apparaat compliant is. Documenteer deze fallback-scenario's en voorzie het SOC van een procesbeschrijving zodat afwijkingen snel worden opgevolgd. Zorg ervoor dat auditlogs minimaal één jaar beschikbaar blijven zodat inspecties door de Algemene Rekenkamer of interne auditteams kunnen aantonen dat het besluit aantoonbaar en herleidbaar is. Tot slot moeten communicatie en training worden georganiseerd omdat het uitschakelen van site-informatietelemetrie invloed kan hebben op ondersteuningsprocessen, bijvoorbeeld wanneer Microsoft Support aanvullende logbestanden vraagt. Servicedeskteams moeten weten dat deze gegevens bewust niet beschikbaar zijn en hoe zij alternatieve diagnostische stappen kunnen inzetten, zoals lokaal verzamelen van F12-tracebestanden. Plan daarom een korte kennissessie, actualiseer het privacybeleid en zorg dat de Chief Information Security Officer het besluit bekrachtigt voordat de uitrol start. Neem het onderwerp ook op in onboarding van nieuwe beheerders, zodat het bewustzijn niet verdwijnt zodra projectleden doorstromen naar andere trajecten. Wanneer aan al deze voorwaarden is voldaan, is de organisatie voorbereid op een consistente en juridisch houdbare configuratie.

Implementatie

De implementatie start met een gedegen impactanalyse waarin het securityteam samen met de privacy officer bepaalt welke processtromen afhankelijk zijn van Edge-diagnostische data. Tijdens deze sessies worden alle applicaties, webportalen en SaaS-diensten geïnventariseerd die mogelijk profiteren van Microsofts telemetrieoptimalisaties. Door reeds in deze fase alternatieve monitoringmogelijkheden te definiëren, bijvoorbeeld lokale browserlogboeken of NetLogger-traces, voorkomt men dat de maatregel later wordt teruggedraaid. Documenteer bovendien welke stakeholders geïnformeerd moeten worden en sluit de analyse af met een expliciete goedkeuring van de Functionaris Gegevensbescherming. Gebruik de resultaten om te onderbouwen waarom de maatregel noodzakelijk is richting het directieteam en stel een communicatiepakket op dat de voordelen voor burgers en ambtenaren benadrukt. Binnen Microsoft Intune wordt vervolgens een nieuw configuratieprofiel aangemaakt op basis van Administrative Templates of een aangepaste ingestelde ADMX. In dit profiel worden de instellingen SendSiteInformationToImproveServicesEnabled en AllowTelemetry beide op Disabled gezet, samen met diagnostische datalimieten. Gebruik beschrijvende naamgevingsconventies zoals GOV-EDGE-Privacy-SendSiteInfoOff zodat het eenvoudiger is om rapportages te bouwen. Koppel het profiel eerst aan een kleine pilotgroep met representatieve devices, waaronder een VDI-werkplek en een mobiele laptop die buiten het rijksnetwerk verbinding maakt via VPN. Wanneer organisaties Group Policy blijven gebruiken voor on-premises systemen moet hetzelfde ADMX-template worden bijgewerkt, zodat hybride scenario's geen afwijkende instellingen introduceren. Het script edge-send-site-info-disabled.ps1 uit de map code/edge/compliance wordt gebruikt om de configuratie te valideren en waar nodig af te dwingen. De beheerder opent een PowerShell 7-sessie, installeert indien nodig de module Microsoft.Graph.DeviceManagement en voert vervolgens Connect-MgGraph uit met de juiste scopes. De functie Invoke-Monitoring haalt daarna de actuele policy-status op per device en vergelijkt deze met de gewenste instelling. Bij afwijkingen kan dezelfde scriptset worden uitgebreid met Invoke-Remediation, waarmee via Graph API de juiste configuratie wordt gepusht zonder op de Intune-console te wachten. Leg in het scriptlogboek vast welke apparaatgroepen zijn aangestuurd en welke API-responses zijn ontvangen, zodat auditors kunnen herleiden dat er geen datalekken optreden tijdens het beheerproces. Na het toepassen van het beleid op de pilotgroep worden gebruikers gedurende minimaal vijf werkdagen gevolgd. Het team verzamelt feedback via het reguliere incidentmanagementproces en controleert of er applicaties zijn die aanvullende logging eisen. Wanneer er geen blokkades zijn, wordt de uitrol gefaseerd opgeschaald naar alle apparaten per organisatieonderdeel. Elke fase wordt afgesloten met een korte review waarin wordt bevestigd dat het compliance-percentage boven de 98 procent ligt en dat er geen kritieke uitzonderingen zijn geregistreerd. Het is verstandig om tijdens elke uitrolgolf een fallbackplan klaar te hebben waarmee de instelling tijdelijk kan worden versoepeld voor bedrijfskritische applicaties, mits de privacy officer toestemming geeft en de afwijking wordt voorzien van een duidelijke einddatum. Documenteer elke stap in het implementatie-dossier van de Nederlandse Baseline voor Veilige Cloud. Voeg screenshots van de Intune-profielen, exportbestanden van het script en de goedkeuringsmail van de CISO toe. Werk daarnaast de operationele runbooks bij zodat beheerders weten hoe het beleid moet worden geactualiseerd wanneer Microsoft toekomstige Edge-versies uitbrengt. Zo blijft het dossier aantoonbaar compleet en wordt voorkomen dat kennis verdwijnt wanneer beheerders wisselen. Met deze gestructureerde aanpak wordt de maatregel niet alleen uitgerold, maar ook duurzaam geborgd binnen de reguliere beheerprocessen.

Gebruik PowerShell-script edge-send-site-info-disabled.ps1 (functie Invoke-Monitoring) – Monitoren.

Monitoring

Effectieve monitoring begint met het vaststellen van concrete prestatie-indicatoren: elk apparaat moet het beleid SendSiteInformationToImproveServicesEnabled binnen 24 uur na toewijzing hebben toegepast en mag geen registry-waarde bevatten die het verzamelen van site-informatie toestaat. Deze KPI's worden opgenomen in het privacy-dashboard zodat bestuurders realtime zicht houden op de naleving van deze maatregel. Het Security Operations Center krijgt toegang tot dezelfde cijfers, zodat afwijkingen snel worden gecorreleerd met andere signalen, bijvoorbeeld ongebruikelijke outbound-verbindingen of gebruikersklachten over ontbrekende suggesties. Leg de definities vast in het monitoringhandboek en beschrijf hoe escalaties verlopen wanneer de KPI onder de 98 procent zakt. Gebruik voor de technische datavergaring de DeviceConfigurationPolicyStatus-rapporten in Intune en vul deze aan met aangepaste Graph-queries vanuit het script edge-send-site-info-disabled.ps1. De monitoringfunctie in dit script haalt de actuele instelling per apparaat op en exporteert de resultaten naar een beveiligde opslaglocatie, zoals een Azure Storage-account met private endpoint. Doordat de rapportage zowel het laatst gemeten tijdstip als de naam van het toegepaste profiel bevat, is direct zichtbaar of een apparaat nog op een oud beleid draait. Automatiseer deze metingen via een geplande taak, maar zorg dat de totale uitvoeringstijd onder de vijftien seconden blijft om aan de projectafspraken te voldoen. Stel retentieregels in zodat ruwe meetdata minimaal een jaar beschikbaar blijft voor audits. Het SOC vertaalt de ruwe gegevens naar bruikbare alerts. Wanneer een apparaat herhaaldelijk laat zien dat telemetrie alsnog is ingeschakeld, wordt automatisch een incident aangemaakt in het ticketsysteem en gekoppeld aan de verantwoordelijke lijnorganisatie. Combineer dit met gegevens uit Defender for Endpoint, zodat zichtbaar wordt of hetzelfde apparaat verdachte browserextensies heeft geladen die mogelijk proberen de instelling terug te zetten. Deze context-gedreven aanpak voorkomt false positives en helpt bij het prioriteren van opvolgacties. Automatiseer waar mogelijk de classificatie van alerts en gebruik playbooks om repeterende stappen te stroomlijnen. Monitoring richt zich niet alleen op technische configuraties, maar ook op gebruikerservaring. Verzamel feedback van sleutelgebruikers binnen beleidsafdelingen en ontwikkelteams om te beoordelen of het uitschakelen van site-informatietelemetrie invloed heeft op functionaliteiten zoals Enterprise Site Discovery of interne debugtools. Wanneer blijkt dat bepaalde processen extra diagnostische gegevens nodig hebben, documenteer je de uitzondering, voer je een privacybeoordeling uit en bepaal je of een tijdelijke uitlevering van logbestanden toelaatbaar is binnen de kaders van de AVG. Documenteer alle inzichten in het kennisportaal zodat toekomstige projecten profiteren van eerdere ervaringen. Plan tenslotte een periodieke review, bijvoorbeeld elk kwartaal, waarin privacy, security en operations gezamenlijk de resultaten bespreken. Evalueer of de gekozen monitoringmethoden nog toereikend zijn, of dat het nodig is om aanvullende bronnen zoals Windows Event Logs of browser management services te koppelen. Werk de rapportages bij en communiceer de bevindingen naar het directieteam, zodat de maatregel zichtbaar blijft in de bredere uitvoering van de Nederlandse Baseline voor Veilige Cloud. Deze continue verbetercyclus waarborgt dat monitoring niet een momentopname is, maar een volwassen onderdeel van het beheerproces. Leg de uitkomsten vast in het auditdossier zodat externe toezichthouders inzicht hebben in de trendanalyse.

Gebruik PowerShell-script edge-send-site-info-disabled.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Wanneer monitoring afwijkingen detecteert, start het remediatieproces met een triage waarin wordt gecontroleerd of het om een technisch probleem, een bewust aangevraagde uitzondering of een mogelijk beveiligingsincident gaat. Deze beoordeling gebeurt binnen twee werkuren door het Endpoint Security-team, dat de informatie uit Intune, het script en het SOC-dashboard combineert. Door de oorzaak direct te bepalen, wordt voorkomen dat apparaten onnodig worden heropgebouwd of dat gebruikersproductiviteit daalt. Leg de beslisboom vast in een runbook zodat nieuwe analisten exact weten welke stappen ze moeten zetten. Het script edge-send-site-info-disabled.ps1 bevat de functie Invoke-Remediation, die gericht de juiste instelling terugzet via Microsoft Graph. De beheerder voert het script uit vanuit een gecontroleerde beheer-VNet of een beheerde werkplek, waarbij eerst Connect-MgGraph wordt aangeroepen met minimaal Application-bevoegdheden. Het script schrijft naar de change-log welke apparaten zijn aangestuurd, welk resultaat de API-call opleverde en welke beheerder verantwoordelijk was. Voeg hieraan toe dat elk script runbookgebaseerd wordt uitgevoerd, inclusief verplichte screenshot of transcript upload naar het ticketsysteem. Dankzij deze volledige sporen is de maatregel traceerbaar en voldoet het beheer aan de eisen van de Algemene Rekenkamer. In situaties waarin Graph-aansturing niet volstaat, bijvoorbeeld omdat een apparaat offline is of een gebruiker lokale adminrechten heeft misbruikt, wordt een handmatige route gevolgd. De servicedesk neemt contact op met de gebruiker, verifieert de compliance-eisen en voert indien nodig een remote assist-sessie uit om de Edge-instellingen te resetten. Wanneer vermoedens bestaan van kwaadwillende manipulatie, schakelt het team direct de forensische onderzoeksgroep in en wordt het apparaat in quarantaine geplaatst via Defender for Endpoint. Wanneer een offline apparaat weer online komt, controleert het script automatisch of de instelling blijvend is gewijzigd. Communicatie vormt een integraal onderdeel van remediatie. Gebruikers worden geïnformeerd over de reden van de wijziging, het belang van privacybescherming en eventuele tijdelijke beperkingen. Tegelijkertijd ontvangt het privacyteam een melding zodat zij kunnen controleren of de afwijking invloed heeft gehad op lopende verwerkingsactiviteiten. Door deze feedbacklus leren zowel security als privacy van incidenten en kunnen zij het beleid verder aanscherpen. Documenteer alle communicatie in het centrale klantcontactsysteem zodat terugkerende vragen eenvoudig kunnen worden hergebruikt in FAQ's. Een remediatie wordt pas afgesloten wanneer alle bewijsstukken zijn opgeslagen in het auditdossier: het incidentticket, de scriptlogs, eventuele e-mailcorrespondentie en de bevestiging dat het apparaat weer voldoet aan het beleid. Tijdens de maandelijkse kwaliteitscontrole worden de afgeronde dossiers steekproefsgewijs beoordeeld om te verifiëren of de procedures consequent zijn gevolgd. Zo blijft de organisatie aantoonbaar in control en kan zij tijdens audits laten zien dat afwijkingen binnen duidelijke termijnen worden opgelost. Koppel bovendien de lessons learned terug aan de ontwerpteams van Edge-policies, zodat toekomstige configuraties sneller en consistenter worden uitgerold.

Gebruik PowerShell-script edge-send-site-info-disabled.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance en Auditing

Deze maatregel is geworteld in de verplichtingen die voortkomen uit Europese privacywetgeving en de Nederlandse Baseline voor Veilige Cloud. Overheidsorganisaties moeten aantonen dat zij dataminimalisatie toepassen en dat zij niet meer persoonsgegevens delen met leveranciers dan strikt noodzakelijk is voor het leveren van diensten. Door site-informatietelemetrie in Edge uit te schakelen, voorkomen zij dat URL's van intranetpagina's, casusdossiers of vertrouwelijke beleidsdocumenten buiten de organisatie terechtkomen. Dit sluit aan bij de basisprincipes van privacy by design en by default. Het beleidsstuk benadrukt bovendien dat burgers moeten kunnen vertrouwen op een browserconfiguratie die hun digitale voetafdruk beperkt. De Algemene Verordening Gegevensbescherming vereist dat verwerkingsverantwoordelijken passende technische en organisatorische maatregelen treffen (Artikel 32). Deze Edge-instelling vormt een concreet voorbeeld van zo'n maatregel, omdat hij het risico vermindert dat persoonsgegevens ongemerkt naar de Verenigde Staten of andere jurisdicties worden verstuurd. Documenteer in de Data Protection Impact Assessment dat de instelling is geactiveerd, inclusief de datum, de verantwoordelijke en de scope. Hiermee kan men richting Autoriteit Persoonsgegevens aantonen dat er bewust is gekozen voor het weglaten van niet-essentiële diagnostische gegevens. Noteer ook welke alternatieve telemetrie wél wordt gebruikt, zodat helder is dat functionaliteit behouden blijft zonder privacy op te offeren. Ook de Baseline Informatiebeveiliging Overheid stelt eisen aan logging, toegangsbeveiliging en privacy. Door telemetrie te beperken, beheerst de organisatie de BIO-maatregelen 05.01.01 en 08.01.01 beter, omdat gevoelige gegevens niet zonder noodzaak extern worden opgeslagen. Neem deze maatregel op in het jaarlijkse BIO-assessment en beschrijf hoe de technische configuratie, het monitoringproces en de remediatie elkaar versterken. Toon auditors het scriptlogboek en de Intune-rapportages als objectief bewijs. Wanneer uitzonderingen worden toegestaan, moet dit worden vastgelegd als gecontroleerde afwijking met een einddatum en herstelactie. NIS2 en de Wet beveiliging netwerk- en informatiesystemen benadrukken dat essentiële en belangrijke entiteiten zorgvuldige omgang met netwerkverkeer moeten borgen. Hoewel het uitschakelen van site-informatietelemetrie in eerste instantie een privacydoel dient, ondersteunt het tevens de integriteit van vertrouwelijke netwerkarchitecturen doordat minder metadata de organisatie verlaat. Combineer deze maatregel daarom met afspraken over gegevensuitwisseling met leveranciers en zorg dat contracten met Microsoft verwijzen naar EU Data Boundary-afspraken. Zorg dat leveranciersverklaringen expliciet benoemen dat Edge-telemetrie uitstaat, zodat audits niet alleen leunen op interne assurance. Maak tenslotte duidelijke afspraken over documentatie en versiebeheer. Iedere wijziging aan het beleid moet worden geregistreerd in het centrale compliance-dossier, inclusief verwijzing naar de juiste versie van dit JSON-bestand en de gekoppelde PowerShell-scripts. Voeg screenshots of exports toe aan SharePoint of het gekozen recordsmanagementsysteem en stel retentieregels in die overeenkomen met de wettelijke bewaartermijnen. Door deze discipline blijft de organisatie aantoonbaar compliant en kan zij tijdens audits verwijzen naar eenduidige, bijgewerkte documentatie. Door het compliance-dossier te koppelen aan het organisatiebrede kwaliteitsmanagementsysteem ontstaat een integraal overzicht dat eenvoudig is te delen met toezichthouders.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Policy: Send Site Info To Improve Services Disabled - Privacy bescherming .DESCRIPTION CIS Microsoft Edge Benchmark - Control 1.84 Voorkomt dat Edge site informatie naar Microsoft stuurt. Deze policy voorkomt het verzenden van informatie over bezochte websites naar Microsoft voor service verbetering. In enterprise omgevingen is dit een privacy en compliance risico. RATIONALE: Het versturen van site informatie kan: - Vertrouwelijke corporate URLs onthullen - Privacy schenden - Compliance issues veroorzaken (GDPR, etc.) - Internal netwerk informatie lekken IMPACT: Edge stuurt geen site informatie naar Microsoft. Dit beschermt privacy zonder functionaliteit te beperken. .NOTES Filename: edge-send-site-info-disabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 1.84 (Level 1) Category: Compliance Registry Path: HKLM:\SOFTWARE\Policies\Microsoft\Edge Registry Value: SendSiteInfoToImproveServices (DWORD) Expected Value: 0 (Disabled) #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge" $RegName = "SendSiteInfoToImproveServices" $ExpectedValue = 0 $PolicyName = "Send Site Info Disabled" function Connect-RequiredServices { $currentPrincipal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()) return $currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $result = [PSCustomObject]@{ ScriptName = "edge-send-site-info-disabled.ps1" PolicyName = $PolicyName CISControl = "1.84" IsCompliant = $false CurrentValue = $null ExpectedValue = $ExpectedValue Details = @() } if (-not (Test-Path $RegPath)) { $result.Details += "Registry pad bestaat niet" return $result } try { $regValue = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop $result.CurrentValue = $regValue.$RegName if ($result.CurrentValue -eq $ExpectedValue) { $result.IsCompliant = $true $result.Details += "Site informatie wordt niet naar Microsoft gestuurd" $result.Details += "Privacy en compliance zijn beschermd" } else { $result.Details += "Site informatie wordt mogelijk gedeeld met Microsoft" } } catch { $result.Details += "Policy niet geconfigureerd - mogelijk data leakage" } return $result } function Invoke-Remediation { if (-not (Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null } Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force Write-Host "Send site info to Microsoft disabled" -ForegroundColor Green } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`nPolicy: $($result.PolicyName)" -ForegroundColor Cyan Write-Host "Status: $(if ($result.IsCompliant) { 'COMPLIANT' } else { 'NON-COMPLIANT' })" -ForegroundColor $(if ($result.IsCompliant) { 'Green' } else { 'Red' }) return $result } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not (Connect-RequiredServices)) { exit 1 } if ($Monitoring) { $result = Invoke-Monitoring exit $(if ($result.IsCompliant) { 0 } else { 1 }) } elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance exit $(if ($result.IsCompliant) { 0 } else { 1 }) } } catch { Write-Error $_ exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Laat de instelling ongemoeid, dan blijft Edge URL- en gebruikstelemetrie naar Microsoft sturen; daarmee kunnen interne projectnamen, classificaties en mogelijk persoonsgegevens de EU Data Boundary verlaten, wat zowel AVG-risico's als reputatieschade oplevert en audits bemoeilijkt.

Management Samenvatting

Zet het Edge-beleid SendSiteInformationToImproveServices via Intune en het script edge-send-site-info-disabled.ps1 geforceerd uit; dit kost enkele uren, voorkomt ongewenste data-export en versterkt privacy en datasoevereiniteit.