💼 Management Samenvatting
Schakel de automatische invulfunctie voor adressen in Microsoft Edge uit om lekkage van persoonlijke identificeerbare informatie (PII) te voorkomen en de privacy van gebruikers te beschermen tegen gegevenslekken.
Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
6/10
Implementatie
1.5u (tech: 0.5u)
Van toepassing op:
✓ Edge
Het automatisch invullen van adressen is een gemaksfunctie die volledige adresgegevens opslaat in de browser, waaronder naam, straat, postcode, stad, land en telefoonnummer. Deze gegevens worden vervolgens automatisch ingevuld in webformulieren. Hoewel dit gebruikers tijd bespaart, vormt deze functionaliteit meerdere beveiligings- en privacyrisico's die niet over het hoofd mogen worden gezien. Ten eerste worden persoonsgegevens lokaal opgeslagen in de browserdatabase, die toegankelijk is voor malware en lokale aanvallers. Ten tweede kunnen phishingwebsites onzichtbare formuliervelden gebruiken om alle adresgegevens te stelen zonder dat de gebruiker dit doorheeft. Ten derde kan bij gedeelde apparaten of gecompromitteerde eindpunten persoonsgegevens worden geëxfiltreerd. Ten vierde worden autofill-gegevens gesynchroniseerd via Edge Sync, wat een aanvullend aanvalsoppervlak creëert. Ten vijfde kan het automatisch invullen van formulieren op verschillende websites leiden tot onbedoelde gegevensopenbaarmaking. De Algemene Verordening Gegevensbescherming (AVG) classificeert volledige adresgegevens als persoonsgegevens die beschermd moeten worden. In een realistisch scenario bezoekt een gebruiker een phishingwebsite die een legitieme checkoutpagina imiteert. De website bevat verborgen velden voor alle adrescomponenten. Bij het gebruik van autofill worden naam, adres en telefoonnummer automatisch ingevuld in zowel zichtbare als onzichtbare velden. De aanvaller oogst zo een complete dataset met persoonsgegevens zonder enige interactie van de gebruiker. Voor bedrijfsomgevingen met mobiele werknemers en BYOD (Bring Your Own Device) is het automatisch invullen van adressen een vector voor gegevenslekken. Organisaties die AVG-compliant moeten zijn, dienen de opslag van persoonsgegevens in browsers te minimaliseren conform het privacy-by-design principe.
PowerShell Modules Vereist
Primary API: Intune/GPO
Connection:
Required Modules:
Connection:
N/ARequired Modules:
Implementatie
Deze controle configureert de AutofillAddressEnabled-beleidsregel op waarde 0 (uitgeschakeld) via het register. Het registerpad is HKLM:\SOFTWARE\Policies\Microsoft\Edge\AutofillAddressEnabled met waarde 0. Dit voorkomt dat gebruikers adresgegevens kunnen opslaan in Edge en voorkomt het automatisch invullen van adresformuliervelden. Gebruikers kunnen adresgegevens nog steeds handmatig invullen per formulier. Voor organisaties die beheerd automatisch invullen willen toestaan, wordt aanbevolen om centrale identiteitsbeheersystemen te gebruiken, zoals Entra ID-attributen, gecombineerd met applicatiespecifieke single sign-on (SSO) in plaats van automatisch invullen op browserniveau.
Vereisten
Voor het succesvol implementeren van deze controle zijn verschillende technische en organisatorische vereisten van essentieel belang. Deze vereisten zorgen ervoor dat de implementatie soepel verloopt en dat de organisatie volledig kan profiteren van de beveiligings- en privacyvoordelen die deze controle biedt.
Op technisch niveau is het noodzakelijk dat Microsoft Edge browser versie 77 of hoger is geïnstalleerd op alle beheerde apparaten. Deze versievereiste is belangrijk omdat oudere versies mogelijk niet alle benodigde beleidsregels ondersteunen of andere implementatiemethoden vereisen. Daarnaast moet het besturingssysteem Windows 10, Windows 11 of Windows Server 2016 of hoger zijn. Deze versievereisten zijn essentieel voor de ondersteuning van moderne beheertools en beleidsregels.
Voor de implementatie zelf zijn administratorrechten vereist, zowel voor Group Policy Object (GPO) als voor Microsoft Intune deployment. Deze rechten zijn nodig om de beleidsregels te kunnen configureren en toe te wijzen aan de juiste gebruikersgroepen of organisatie-eenheden. Zonder deze rechten kan de implementatie niet worden uitgevoerd.
Op organisatorisch niveau is een gegevensclassificatiebeleid vereist dat de vereisten voor de opslag van persoonsgegevens definieert. Dit beleid moet duidelijk maken waarom het automatisch invullen van adressen moet worden uitgeschakeld en hoe dit past binnen de bredere privacy- en beveiligingsstrategie van de organisatie. Het beleid dient ook richtlijnen te bevatten voor het omgaan met uitzonderingen en alternatieve werkstromen.
Gebruikersbewustwording over de risico's van automatisch invullen en alternatieve werkstromen is cruciaal voor het succes van deze implementatie. Gebruikers moeten begrijpen waarom deze functie wordt uitgeschakeld en hoe ze efficiënt kunnen werken zonder deze functionaliteit. Training en communicatie zijn essentieel om weerstand te minimaliseren en acceptatie te bevorderen.
Ten slotte is een inventarisatie van bedrijfsapplicaties die adresinvoer vereisen belangrijk om te bepalen welke alternatieve oplossingen nodig zijn. Deze inventarisatie helpt bij het identificeren van applicaties die mogelijk SSO of andere geautomatiseerde invulmethoden kunnen gebruiken, waardoor de impact op gebruikers wordt geminimaliseerd.
Implementatie
Het automatisch invullen van adressen kan worden uitgeschakeld via verschillende methoden, afhankelijk van de beheerinfrastructuur van de organisatie. De keuze tussen Microsoft Intune, Group Policy Objects of geautomatiseerde scripts hangt af van de bestaande IT-omgeving en de voorkeuren van de organisatie.
Gebruik PowerShell-script autofill-adressen-disabled.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische uitschakeling van automatisch invullen van adressen.
Voor organisaties die Microsoft Intune gebruiken voor apparaatbeheer, biedt deze methode de meest geïntegreerde en schaalbare aanpak. De implementatie begint met het openen van het Microsoft Intune-beheercentrum via https://intune.microsoft.com. Vanuit het beheercentrum navigeert de beheerder naar Devices, vervolgens naar configuratieprofiels en maakt een nieuw profiel aan. Bij het selecteren van het platform kiest men voor Windows 10 en later, en als profieltype wordt Settings catalog geselecteerd. Binnen de settings catalog zoekt men naar Microsoft Edge, vervolgens naar Privacy en Services, en selecteert AutofillAddressEnabled. Deze instelling wordt geconfigureerd op False (0), wat de functie uitschakelt. Het profiel wordt vervolgens toegewezen aan alle relevante gebruikersgroepen. Na de implementatie dient de deployment te worden gemonitord via Intune Nalevingsrapports om te verifiëren dat de beleidsregel correct wordt toegepast op alle beheerde apparaten.
Voor organisaties die Group Policy gebruiken, begint de implementatie met het downloaden van de Microsoft Edge Administrative Templates via de officiële Microsoft Edge Business Download-pagina. Deze templates moeten worden geïnstalleerd op de Group Policy Management Server. Vervolgens opent de beheerder de Group Policy Management Console (gpmc.msc) en bewerkt een Group Policy Object voor computerconfiguratie. Binnen het GPO navigeert men naar Computer Configuration, vervolgens naar Policies, Administrative Templates en Microsoft Edge. Hier wordt de instelling 'Schakel automatisch invullen van adressen in' gevonden en ingesteld op Disabled. Het GPO wordt vervolgens gekoppeld aan de relevante organisatie-eenheden (OUs). Na de implementatie dient de configuratie te worden geverifieerd met behulp van gpupdate /force om de beleidsregels te vernieuwen en gpresult /h report.html om een rapport te genereren dat de toegepaste beleidsregels toont.
Voor legitieme gebruikssituaties waarbij gebruikers toch een vorm van geautomatiseerde adresinvoer nodig hebben, zijn er verschillende alternatieve oplossingen beschikbaar. Ten eerste kunnen organisaties gebruikmaken van wachtwoordbeheerders met veilige notities voor adresopslag, zoals LastPass, 1Password of Entra ID. Deze oplossingen bieden encryptie en beveiligde opslag, wat een betere beveiliging biedt dan browsergebaseerde opslag. Ten tweede kan single sign-on (SSO) worden geïmplementeerd met identiteitsattributen voor bedrijfsapplicaties. Dit maakt het mogelijk om adresgegevens centraal te beheren en automatisch in te vullen via geautoriseerde applicaties zonder dat deze gegevens in de browser worden opgeslagen. Ten derde kan applicatiespecifieke formuliervoorinvulling worden geconfigureerd via backendintegratie, waarbij adresgegevens worden opgehaald uit een beveiligd systeem wanneer dat nodig is. Ten slotte dienen gebruikers te worden getraind om adresgegevens handmatig in te voeren voor beveiligingskritieke formulieren, waarbij de nadruk ligt op het belang van privacy en beveiliging.
Monitoring
Gebruik PowerShell-script autofill-addresses-disabled.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van de nalevingsstatus vereist een gestructureerde aanpak waarbij regelmatig wordt gecontroleerd of de beveiligingsmaatregel correct is geïmplementeerd en actief blijft op alle beheerde apparaten. Het monitoringproces begint met het verifiëren van de registerinstellingen op representatieve apparaten, waarbij het registerpad HKLM:\SOFTWARE\Policies\Microsoft\Edge wordt gecontroleerd op de aanwezigheid van de waarde AutofillAddressEnabled. De verwachte waarde voor deze instelling is 0 (DWORD), wat aangeeft dat de functie is uitgeschakeld. Deze verificatie kan worden uitgevoerd via geautomatiseerde scripts of handmatig via de Register-editor. Voor organisaties die Microsoft Intune gebruiken, biedt het platform uitgebreide rapportage via device configuration reports, die inzicht geven in de nalevingsstatus per apparaat, gebruiker en configuratieprofiel. Deze rapporten tonen niet alleen of het beleid is toegepast, maar ook wanneer het voor het laatst is gesynchroniseerd en of er fouten zijn opgetreden tijdens de implementatie. Beheerders moeten regelmatig het nalevingspercentage controleren over alle beheerde apparaten, waarbij een streefwaarde van minimaal 95% naleving wordt nagestreefd. Daarnaast is het belangrijk om helpdesktickets te monitoren die betrekking hebben op problemen met het invullen van formulieren, omdat deze kunnen wijzen op gebruikers die moeite hebben met de nieuwe workflow of die proberen de beveiligingsmaatregel te omzeilen.
Eindgebruikers kunnen zelf verifiëren of de beveiligingsmaatregel correct is geïmplementeerd door de Microsoft Edge-browser te openen en te navigeren naar de speciale URL edge://policy/. Op deze pagina worden alle actieve beleidsregels weergegeven, inclusief hun configuratiestatus. Gebruikers kunnen zoeken naar de beleidsregel 'AutofillAddressEnabled' en verifiëren dat de status is ingesteld op False of 0, wat aangeeft dat de functie is uitgeschakeld. Een alternatieve verificatiemethode is het navigeren naar edge://settings/adressen, waar gebruikers kunnen controleren of de optie 'Save en fill adressen' is uitgeschakeld en grijs wordt weergegeven, wat betekent dat de functie niet kan worden geactiveerd door de gebruiker. De meest praktische verificatiemethode is het testen op een daadwerkelijk webformulier, waarbij gebruikers kunnen bevestigen dat automatische invulsuggesties voor adressen niet verschijnen wanneer ze beginnen met typen in adresvelden. Deze verificatiemethoden helpen gebruikers te begrijpen dat de beveiligingsmaatregel actief is en bieden tegelijkertijd bewijs voor auditdoeleinden dat de implementatie succesvol is voltooid.
Remediatie
Gebruik PowerShell-script autofill-addresses-disabled.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer afwijkingen van de beveiligingsmaatregel worden gedetecteerd, is het belangrijk om systematisch te werk te gaan om de oorzaak te identificeren en het probleem op te lossen. Niet-naleving kan verschillende oorzaken hebben, variërend van technische problemen met de implementatie tot opzettelijke pogingen om het beleid te omzeilen. Een gestructureerde aanpak voor remediatie helpt bij het efficiënt oplossen van problemen en het voorkomen van herhaling.
De eerste stap in het remediatieproces is het verifiëren dat het Group Policy Object of het Intune-configuratieprofiel correct is toegewezen aan het betreffende apparaat of de gebruiker. Dit omvat het controleren van de toewijzingen in de beheerconsole, het verifiëren van groepslidmaatschappen, en het bevestigen dat de scope van de toewijzing correct is geconfigureerd. Soms kan het probleem worden opgelost door simpelweg de toewijzing opnieuw te configureren of door te verifiëren dat het apparaat of de gebruiker daadwerkelijk binnen de scope van de toewijzing valt.
Een veelvoorkomende oorzaak van niet-naleving is de prioriteit van beleidsregels, waarbij lokale beleidsregels bedrijfsbeleidsregels kunnen overschrijven. Het is belangrijk om de beleidsprioriteit te controleren en te verifiëren dat bedrijfsbeleidsregels de juiste prioriteit hebben ten opzichte van lokale instellingen. In sommige gevallen kan het nodig zijn om lokale beleidsregels te verwijderen of aan te passen om ervoor te zorgen dat de bedrijfsbeleidsregels correct worden toegepast.
Als de toewijzingen correct zijn, kan het forceren van een beleidsvernieuwing helpen om het probleem op te lossen. Voor Group Policy Objects kan dit worden bereikt door het uitvoeren van gpupdate /force op het betreffende apparaat, wat een onmiddellijke vernieuwing van alle Group Policy-instellingen forceert. Voor Microsoft Intune kan de gebruiker worden gevraagd om handmatig te synchroniseren via de Company Portal-app, of kan een beheerder een synchronisatie forceren vanuit het Intune-beheercentrum. In sommige gevallen kan het nodig zijn om het apparaat opnieuw op te starten om ervoor te zorgen dat alle instellingen correct worden toegepast.
Een andere belangrijke controle is het verifiëren van registermachtigingen, waarbij domeincomputers lees- en schrijfrechten moeten hebben op de beleidssleutels. Als de machtigingen onjuist zijn geconfigureerd, kan het apparaat mogelijk de beleidsinstellingen niet correct toepassen. Het controleren en corrigeren van registermachtigingen kan dit probleem oplossen. Daarnaast is het belangrijk om te controleren op conflicterende beleidsregels door middel van een gedetailleerd rapport via gpresult /h report.html, wat inzicht geeft in alle actieve beleidsregels en hun prioriteiten.
Als het probleem aanhoudt na deze stappen, kan het nodig zijn om het configuratieprofiel in Intune opnieuw aan te maken of het Group Policy Object opnieuw te configureren. Soms kunnen er subtiele configuratiefouten zijn die alleen worden opgelost door een volledige herconfiguratie. In dergelijke gevallen is het belangrijk om alle stappen zorgvuldig te documenteren en eventuele uitzonderingen met een zakelijke rechtvaardiging te documenteren via het wijzigingsbeheerproces.
Voor apparaten met lokale beheerdersrechten die beleidsregels kunnen overschrijven, zijn aanvullende maatregelen nodig om ervoor te zorgen dat de beveiligingsmaatregel effectief blijft. Een eerste maatregel is het implementeren van Application Control via Windows Defender Application Control (WDAC) om registerwijzigingen te blokkeren. Dit voorkomt dat gebruikers met lokale beheerdersrechten de registerinstellingen kunnen wijzigen om de beveiligingsmaatregel te omzeilen. Een tweede maatregel is het bewaken van registerwijzigingen via Microsoft Defender voor Endpoint wijzigingsdetectie, wat waarschuwingen genereert wanneer er pogingen worden gedaan om beveiligingsinstellingen te wijzigen. Een derde maatregel is het gebruik van Intune-herstelscripts met geplande uitvoeringen voor geautomatiseerde handhaving, wat ervoor zorgt dat de instelling automatisch wordt hersteld wanneer deze wordt gewijzigd. Ten slotte moet aanhoudende niet-naleving worden geëscaleerd naar het beveiligingsoperatieteam voor verdere analyse en mogelijke disciplinaire maatregelen.
Compliance en Auditing
Deze controle draagt bij aan naleving van verschillende belangrijke beveiligings- en privacyframeworks die relevant zijn voor Nederlandse overheidsorganisaties en bedrijven die met persoonsgegevens werken. Het uitschakelen van automatisch invullen van adressen is niet alleen een technische beveiligingsmaatregel, maar ook een essentiële stap in het voldoen aan wettelijke en normatieve vereisten.
Binnen het CIS Microsoft Edge Benchmark v2.0 draagt deze controle bij aan privacybeheer door beperkingen op te leggen aan automatisch invullen. De CIS-benchmark identificeert automatisch invullen als een privacyrisico en beveelt aan om deze functionaliteit uit te schakelen om onnodige opslag van persoonsgegevens te voorkomen. Deze aanbeveling is gebaseerd op het principe van gegevensminimalisatie, waarbij alleen de minimale hoeveelheid gegevens wordt verzameld en opgeslagen die nodig is voor het beoogde doel.
De Algemene Verordening Gegevensbescherming (AVG) bevat verschillende artikelen die relevant zijn voor deze controle. Artikel 5 van de AVG bevat de beginselen inzake verwerking van persoonsgegevens, waaronder het beginsel van gegevensminimalisatie. Dit beginsel vereist dat persoonsgegevens toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Door automatisch invullen van adressen uit te schakelen, minimaliseert een organisatie de hoeveelheid persoonsgegevens die in browsers wordt opgeslagen, wat direct bijdraagt aan naleving van dit beginsel. Artikel 25 van de AVG betreft ingebouwde gegevensbescherming en privacy-by-design. Dit artikel vereist dat organisaties passende technische en organisatorische maatregelen nemen om de beginselen van gegevensbescherming te waarborgen. Het uitschakelen van automatisch invullen is een voorbeeld van een technische maatregel die privacy-by-design implementeert door standaard de opslag van persoonsgegevens te minimaliseren. Artikel 32 van de AVG betreft de beveiliging van de verwerking en vereist dat organisaties passende technische maatregelen nemen om persoonsgegevens te beveiligen. Door automatisch invullen uit te schakelen, vermindert een organisatie het risico op gegevenslekken via phishingaanvallen of gecompromitteerde eindpunten.
Binnen het BIO-kader (Baseline Informatiebeveiliging Overheid) draagt deze controle bij aan Thema 11.01, dat zich richt op privacy en bescherming van persoonsgegevens. Het BIO-kader is specifiek ontwikkeld voor Nederlandse overheidsorganisaties en bevat concrete maatregelen voor het beschermen van persoonsgegevens. Het uitschakelen van automatisch invullen is een praktische implementatie van de BIO-vereisten voor gegevensminimalisatie en privacybescherming.
De ISO 27001:2022-norm bevat verschillende controles die relevant zijn voor deze maatregel. Controle A.5.34 richt zich op privacy en bescherming van persoonsgegevens (PII) en vereist dat organisaties maatregelen nemen om persoonsgegevens te beschermen tegen onbevoegde toegang, gebruik of openbaarmaking. Controle A.8.11 betreft gegevensmaskering en richt zich op het voorkomen van onnodige blootstelling van persoonsgegevens. Door automatisch invullen uit te schakelen, voorkomt een organisatie dat persoonsgegevens onnodig worden blootgesteld aan risico's zoals phishingaanvallen of gegevenslekken.
De NIS2-richtlijn (Richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cybersecurity in de Unie) bevat in Artikel 21 vereisten voor cybersecurity-risicobeheer. Deze richtlijn vereist dat organisaties passende maatregelen nemen om cybersecurity-risico's te beheersen, waaronder maatregelen voor het voorkomen van gegevenslekken. Het uitschakelen van automatisch invullen is een concrete maatregel die bijdraagt aan het voorkomen van gegevenslekken door het verminderen van het aanvalsoppervlak en het minimaliseren van de hoeveelheid persoonsgegevens die lokaal worden opgeslagen.
Compliance & Frameworks
- CIS M365: Control 2.1.8 (L1) - Zorg ervoor dat autofill voor adressen is uitgeschakeld
- BIO: 11.01.01, 11.01.03 - Privacy bescherming en gegevensminimalisatie van persoonsgegevens
- ISO 27001:2022: A.5.34, A.8.11 - Privacy en bescherming van PII, gegevensmaskering
- NIS2: Artikel - Cybersecurity risicobeheer voor data lekkage preventie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Privacy: Autofill Addresses Disabled
.DESCRIPTION
CIS - Autofill van adressen moet disabled (privacy).
.NOTES
Filename: autofill-addresses-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\AutofillAddressEnabled|Expected: 0
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "AutofillAddressEnabled"; $ExpectedValue = 0
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "autofill-addresses-disabled.ps1"; PolicyName = "Autofill Addresses Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Address autofill disabled" }else { $r.Details += "Address autofill enabled" } }catch { $r.Details += "Niet geconfigureerd" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Autofill addresses disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Medium: Het niet uitschakelen van automatisch invullen van adressen brengt een gemiddeld privacy- en beveiligingsrisico met zich mee door de opslag van persoonsgegevens in de browser. De functie voor automatisch invullen van adressen slaat volledige persoonsgegevens op die kunnen worden gestolen door phishingwebsites via onzichtbare formuliervelden, geëxfiltreerd kunnen worden bij een gecompromitteerd eindpunt, of gelekt kunnen worden via malware. Voor bedrijfsomgevingen met mobiele werknemers vormt in de browser opgeslagen persoonsgegevens een vector voor gegevenslekken. De Algemene Verordening Gegevensbescherming (AVG) vereist gegevensminimalisatie en privacy-by-design - onbeperkte opslag van persoonsgegevens in browsers is niet conform de AVG. Phishingaanvallen kunnen complete adresdatasets verzamelen zonder dat gebruikers zich hiervan bewust zijn.
Management Samenvatting
Schakel automatisch invullen van adressen uit (AutofillAddressEnabled ingesteld op 0) om lekkage van persoonsgegevens te voorkomen. Deze maatregel voorkomt exfiltratie via phishing door onzichtbare formuliervelden en voldoet aan de AVG-vereiste voor gegevensminimalisatie. Gebruikers kunnen adressen nog steeds handmatig invoeren; voor bedrijfsapplicaties wordt aanbevolen om single sign-on (SSO) te gebruiken met identiteitsattributen. De implementatie duurt 30 minuten tot 1 uur via Microsoft Intune of Group Policy Objects (GPO).
- Implementatietijd: 1.5 uur
- FTE required: 0.01 FTE