💼 Management Samenvatting
Het blokkeren van de mogelijkheid om browsergeschiedenis te verwijderen zorgt ervoor dat een complete audittrail van internetactiviteit behouden blijft voor naleving, beveiligingsonderzoeken en forensische analyses.
Aanbeveling
OVERWEG MET VOORZICHTIGHEID
Risico zonder
Medium
Risk Score
5/10
Implementatie
22u (tech: 2u)
Van toepassing op:
✓ Edge
In omgevingen met hoge beveiligingseisen en nalevingsvereisten is een ononderbroken audittrail van alle gebruikersactiviteiten van cruciaal belang. Deze controle speelt een essentiële rol in verschillende kritieke scenario's die organisaties dagelijks tegenkomen. Forensische onderzoeken vormen het eerste en meest kritieke gebruik van browsergeschiedenis. Bij beveiligingsincidenten zoals malware-infecties, datalekken of interne dreigingen vormt browsergeschiedenis essentieel bewijsmateriaal. Het toont aan welke websites werden bezocht vóór of tijdens het incident, waar malware werd gedownload, welke phishing-sites werden bezocht en wat de infectievector was. Wanneer gebruikers hun geschiedenis kunnen verwijderen, gaat dit cruciale bewijsmateriaal permanent verloren en kunnen beveiligingsteams niet meer vaststellen wat er is gebeurd. Dit kan leiden tot onvolledige incidentrespons en het onvermogen om de volledige omvang van een beveiligingsincident te begrijpen. Nalevingsvereisten vormen een tweede kritiek gebied. Veel nalevingskaders en sectorregelgeving vereisen complete logging van gebruikersactiviteiten. In de financiële sector vereisen MiFID II en SEC-voorschriften dat alle handelsgerelateerde webactiviteit traceerbaar is, inclusief onderzoek naar markttrends, toegang tot handelsplatforms en financiële nieuwsbronnen. In de gezondheidszorg vereist HIPAA dat patiëntentoegang via webportals wordt gelogd. In de juridische sector moeten advocaat-cliëntcommunicatie en onderzoek documenteerbaar zijn voor facturering en audits. Bij overheid en defensie moet alle internetactiviteit op geclassificeerde systemen worden gelogd voor veiligheidsonderzoeken. In het onderwijs vereisen COPPA en FERPA tracking van studententoegang tot gegevens. Detectie van interne dreigingen vormt een derde belangrijk gebruik. Gedragsanalyses vereisen complete historische gegevens om afwijkende patronen te detecteren. Plotselinge interesse in concurrentenwebsites kan wijzen op potentiële bedrijfsspionage. Toegang tot vacaturesites kan een vluchtrisico-indicator zijn. Downloads van verdachte bestandsdeling-sites kunnen wijzen op pogingen tot data-exfiltratie. Toegangspatronen die inconsistent zijn met de functie kunnen wijzen op ongeautoriseerde activiteit. Wanneer gebruikers hun geschiedenis kunnen verwijderen, kunnen zij verdachte activiteit verbergen, waardoor deze detectie onmogelijk wordt. Juridische bewaarplichten en elektronische ontdekking vormen het vierde kritieke gebied. Bij juridische procedures moeten organisaties alle relevante gegevens bewaren. Browsergeschiedenis kan bewijsmateriaal zijn bij arbeidsgeschillen, intimidatiezaken, onderzoeken naar intellectueel eigendom en andere juridische procedures. Wanneer een gebruiker zijn geschiedenis heeft verwijderd, kan de organisatie niet voldoen aan juridische bewaarplichten, wat kan leiden tot sancties, boetes en nadelige gevolgtrekkingen in juridische procedures. Productiviteitsmonitoring vormt een vijfde gebied, hoewel dit controversieel is. Sommige organisaties hebben een legitieme bedrijfsbehoefte om werknemersproductiviteit te monitoren binnen de grenzen van privacywetten. Dit omvat het monitoren van excessief persoonlijk browsen tijdens werktijd, tijd besteed aan niet-werkgerelateerde websites en naleving van acceptabel gebruikbeleid. Een praktijkvoorbeeld illustreert het belang: een werknemer downloadt ransomware van een gecompromitteerde website. Het IT-team moet de infectiebron bepalen om andere mogelijk geïnfecteerde gebruikers te identificeren. De gebruiker had echter zijn browsergeschiedenis verwijderd, waardoor het onmogelijk is om te bepalen welke andere gebruikers dezelfde site hebben bezocht. Hierdoor verspreidt de ransomware zich verder door de organisatie. Deze controle is echter controversieel omdat het inbreuk maakt op gebruikersprivacy en kan worden gezien als excessieve monitoring. Implementatie vereist daarom een zorgvuldige aanpak met duidelijke bedrijfsbeleidsregels die aan werknemers worden gecommuniceerd, een privacy impact assessment volgens AVG Artikel 35 DPIA voor EU-operaties, betrokkenheid van de ondernemingsraad of werknemersvertegenwoordiging waar van toepassing, een duidelijk gedocumenteerd legitiem bedrijfsdoel, strikte toegangscontrole op wie browsergeschiedenisgegevens mag inzien (zeer restrictief - alleen beveiligings- of complianceteam bij incidenten), en gegevensretentielimieten (niet onbeperkt - bijvoorbeeld 90 dagen voor normaal browsen, langer voor gemarkeerde verdachte activiteit).
PowerShell Modules Vereist
Primary API: Intune/GPO
Connection:
Required Modules:
Connection:
N/ARequired Modules:
Implementatie
Deze controle configureert de Edge-beleidsregel AllowDeletingBrowserHistory en stelt deze in op 0 (uitgeschakeld). Technisch gezien wordt dit geïmplementeerd via het Windows-register, waarbij de registerwaarde HKLM:\SOFTWARE\beleidsregels\Microsoft\Edge\AllowDeletingBrowserHistory wordt ingesteld op 0 (DWORD). Wanneer deze controle is uitgeschakeld, kunnen gebruikers hun geschiedenis niet meer verwijderen via verschillende methoden. De Edge-instellingeninterface toont de optie "Browsinggegevens wissen" voor geschiedenis als grijs of verborgen. Toetsenbordsnelkoppelingen zoals Ctrl+Shift+Delete tonen geen geschiedenischeckbox of deze is grijs. Extensies en scripts van derden kunnen de Edge-geschiedenis niet verwijderen omdat de browser deze functionaliteit blokkeert. Handmatige bestandsverwijdering is evenmin mogelijk omdat Edge de geschiedenisdatabasebestanden vergrendelt. Belangrijk om te begrijpen is dat dit beleid alleen handmatige verwijdering door gebruikers voorkomt. Automatische opschoning blijft mogelijk via verschillende mechanismen. Browser-geschiedenisretentiebeleid kan automatisch geschiedenis verwijderen na een bepaald aantal dagen via een apart beleid. Organisatie-opschoningsscripts kunnen via verhoogde machtigingen geschiedenis opschonen indien nodig voor opslagbeheer. Na afloop van juridische bewaarplichten kan geschiedenis worden opgeschoond na sluiting van de juridische zaak. Wat wordt bewaard omvat browsergeschiedenis met alle bezochte URL's en tijdstempels, downloadgeschiedenis met informatie over welke bestanden, van waar en wanneer, zoekgeschiedenis met queries in zoekmachines, en formuliergegevens met automatisch invulinformatie. Dit beleid heeft geen effect op gecachte afbeeldingen en bestanden, wat wordt beheerd via een apart beleid genaamd ClearCachedImagesAndFilesOnExit. Cookies worden beheerd via het aparte beleid DefaultCookiesSetting. Wachtwoorden worden beheerd via het PasswordManagerUitgeschakeld-beleid. Autofill-gegevens worden beheerd via een apart beleid voor formuliergegevens. Actieve inlogsessies blijven intact omdat cookies behouden blijven en gebruikers ingelogd blijven. De gebruikersimpact is aanzienlijk. Gebruikers kunnen hun geschiedenis niet meer verwijderen voor privacyredenen zoals persoonlijk browsen op een werkapparaat. Ze kunnen geschiedenis niet meer opschonen voor prestatie-redenen wanneer de geschiedenisdatabase groot wordt. Ze kunnen niet-werkgerelateerde browseactiviteit niet meer verbergen. Alternatieven voor gebruikers die privacy nodig hebben, omvatten het gebruik van InPrivate-modus voor persoonlijk browsen indien toegestaan via een apart beleid, het aanvragen van een apart persoonlijk apparaat van de werkgever via BYOD-beleid, en het begrijpen dat een werkapparaat een gemonitorde omgeving is. Opslagoverwegingen zijn belangrijk omdat browsergeschiedenisdatabases aanzienlijk kunnen groeien in de loop van de tijd. De Edge-geschiedenis SQLite-database kan groeien tot honderden megabytes, wat de browserprestaties en schijfruimte kan beïnvloeden. Mitigatie omvat het implementeren van automatisch retentiebeleid dat geschiedenis ouder dan 90 dagen automatisch verwijdert, het monitoren van schijfgebruik en het genereren van waarschuwingen wanneer de geschiedenisdatabase groter wordt dan 500 MB.
Vereisten
Voor het implementeren van deze controversiële controle zijn strikte vereisten van toepassing die niet overgeslagen mogen worden. Deze controle raakt fundamentele privacyrechten van werknemers en vereist daarom uitgebreide juridische, privacy- en HR-voorbereiding voordat technische implementatie kan plaatsvinden. Juridische en HR-vereisten vormen de basis voor elke implementatie. Organisaties moeten een expliciet bedrijfsbeleidsdocument opstellen dat duidelijk stelt dat browseractiviteit wordt gemonitord en dat geschiedenisretentie wordt afgedwongen. Dit document moet worden goedgekeurd door de juridische afdeling en HR en moet deel uitmaken van het formele bedrijfsbeleid. Het document moet de legitieme bedrijfsdoelen uitleggen, de proportionaliteit van de maatregel rechtvaardigen en alternatieven beschrijven die zijn overwogen. Werknemersnotificatie is een absolute vereiste en moet plaatsvinden voordat de implementatie begint. Alle werknemers moeten op meerdere manieren worden geïnformeerd: via e-mail, updates in het werknemershandboek, en ondertekende acceptabel gebruikbeleidsregels. De notificatie moet minimaal 30 dagen vóór de daadwerkelijke handhaving plaatsvinden om werknemers de gelegenheid te geven vragen te stellen en feedback te geven. De communicatie moet transparant zijn over wat wordt gemonitord, waarom dit gebeurt, wie toegang heeft tot de gegevens, en hoe lang gegevens worden bewaard. Een privacy impact assessment volgens AVG artikel 35 is verplicht voor EU-operaties. Deze assessment moet de proportionaliteit evalueren, de noodzaak beoordelen, risico's voor werknemersprivacy identificeren, en mitigerende maatregelen beschrijven. De PIA moet worden uitgevoerd door een gekwalificeerde privacyprofessional en moet worden goedgekeurd door de functionaris gegevensbescherming of privacyofficer. In veel jurisdicties, waaronder Nederland en Duitsland, is goedkeuring van de ondernemingsraad of werknemersvertegenwoordiging verplicht voor monitoringbeleidsregels. Deze goedkeuring moet formeel worden vastgelegd en kan niet worden overgeslagen. Zonder deze goedkeuring kan implementatie leiden tot juridische uitdagingen en sancties. Toegangsbeheer moet zeer strikt zijn. Alleen het beveiligings- of nalevingsteam mag browsergeschiedenisgegevens inzien, en alleen tijdens actieve onderzoeken met een geldige casusnummer of incidentticket. Managers en HR-medewerkers mogen geen algemene toegang hebben. Toegang moet worden beheerd via een goedkeuringsworkflow waarbij elke toegang moet worden gerechtvaardigd en goedgekeurd door een bevoegde functionaris. Retentiebeleid moet duidelijk definiëren hoe lang geschiedenis wordt bewaard. Dit mag niet onbeperkt zijn. Voor normale browseactiviteit wordt doorgaans een retentieperiode van 90 dagen aanbevolen. Voor gemarkeerde verdachte activiteit kan een langere periode nodig zijn, bijvoorbeeld 7 jaar voor compliance- of juridische doeleinden. Automatische opschoning moet worden geconfigureerd om te voorkomen dat gegevens langer worden bewaard dan noodzakelijk. Auditlogging is essentieel voor elke toegang tot browsergeschiedenisgegevens. Elke keer dat iemand geschiedenisgegevens inziet, moet worden gelogd wie de gegevens heeft bekeken, welke gegevens zijn bekeken, wanneer dit gebeurde, en waarom (met casusnummer of incidentticket). Deze logs moeten zelf worden beveiligd en bewaard voor auditdoeleinden. Alternatieve opties moeten worden geboden aan werknemers die privacy nodig hebben. Dit kan bestaan uit richtlijnen voor het gebruik van persoonlijke apparaten (BYOD-beleid) of InPrivate-modusbeleidsregels. Deze alternatieven moeten duidelijk worden gecommuniceerd en toegankelijk zijn. Technische vereisten omvatten Microsoft Edge-browser, Windows 10 of 11, Intune of GPO voor beleidsdistributie, en beheerdersrechten voor configuratie. De organisatie moet ervoor zorgen dat alle doelapparaten aan deze vereisten voldoen voordat implementatie begint. Waarschuwing: implementatie zonder goede juridische en privacyvoorbereiding kan leiden tot werknemersklachten en juridische uitdagingen, AVG-overtredingen en boetes tot €20 miljoen, beschadigde werknemersvertrouwen en moraal, sancties van de ondernemingsraad, en negatieve publiciteit. Raadpleeg altijd juridische, privacy- en HR-afdelingen voordat u begint met implementatie.
Implementatie
Implementatie van deze controle vereist een gefaseerde aanpak waarbij voorbereidende stappen niet overgeslagen mogen worden. De technische configuratie is relatief eenvoudig, maar de organisatorische voorbereiding is complex en tijdrovend. Stap 0: Pre-implementatievoorbereiding (verplicht) vormt de basis voor een succesvolle en juridisch veilige implementatie. Deze stap begint met een juridische review waarbij moet worden geverifieerd dat de organisatie voldoet aan lokale arbeidswetgeving en privacyregelgeving. In Nederland betekent dit onder meer naleving van de AVG, de Wet bescherming persoonsgegevens, en eventuele sectorale regelgeving. De juridische afdeling moet een formele goedkeuring geven die wordt vastgelegd in een memo. Een privacy impact assessment (PIA) volgens AVG artikel 35 moet worden uitgevoerd en gedocumenteerd. Deze assessment moet het legitieme bedrijfsdoel documenteren, de proportionaliteit van de maatregel rechtvaardigen, en alternatieven beschrijven die zijn overwogen. De PIA moet worden goedgekeurd door de functionaris gegevensbescherming of privacyofficer. Zonder deze goedkeuring mag implementatie niet doorgaan. Beleidsdocumentatie moet worden bijgewerkt voordat implementatie begint. Dit omvat updates in het werknemershandboek, het acceptabel gebruikbeleid, en privacyverklaringen. Alle documenten moeten duidelijk uitleggen wat wordt gemonitord, waarom, wie toegang heeft, en hoe lang gegevens worden bewaard. Deze documenten moeten worden goedgekeurd door HR en juridische afdeling. Werknemerscommunicatie moet minimaal 30 dagen vóór handhaving plaatsvinden. Dit geeft werknemers de gelegenheid om vragen te stellen en feedback te geven. De communicatie moet transparant zijn en moet worden gedaan via meerdere kanalen: e-mail, intranet, werknemershandboek, en teamvergaderingen. Organisaties moeten een feedbackperiode toestaan en serieus reageren op zorgen van werknemers. Training van werknemers is essentieel. Werknemers moeten worden geïnformeerd over de reikwijdte van monitoring, hoe gegevens worden gebruikt, en hun rechten onder de AVG. Training kan worden gegeven via e-learningmodules, teamvergaderingen, of informatieve sessies. Werknemers moeten begrijpen waarom deze maatregel wordt genomen en wat de gevolgen zijn voor hun privacy. Toegangsbeheer moet worden opgezet voordat implementatie begint. Dit omvat configuratie van wie geschiedenisgegevens kan inzien (alleen beveiligingsteam), en implementatie van een goedkeuringsworkflow. Elke toegang moet worden gerechtvaardigd en goedgekeurd. Toegangslogs moeten worden geconfigureerd om alle toegang te registreren. Stap 1: Technische implementatie via Intune begint met toegang tot het Microsoft Intune-beheercentrum. Navigeer naar Apparaten en vervolgens naar Configuratieprofielen. Maak een nieuw profiel aan en selecteer Platform: Windows 10 en later. Kies Profieltype: Sjablonen en vervolgens Beheersjablonen. Zoek in de instellingen naar Microsoft Edge en selecteer AllowDeletingBrowserHistory. Configureer deze instelling op Uitgeschakeld (waarde is 0), wat betekent dat gebruikers hun geschiedenis niet kunnen verwijderen. Toewijzing moet gefaseerd gebeuren via een pilotgroep eerst, gevolgd door bredere implementatie. Begin met een kleine groep gebruikers, monitor feedback en naleving, en pas indien nodig aan voordat u uitbreidt naar de volledige organisatie. Monitoring van gebruikersfeedback en naleving moet continu plaatsvinden, vooral in de eerste weken na implementatie. Een PowerShell-script kan worden gebruikt voor geautomatiseerde beleidsafdwinging via het register. Dit script kan worden gebruikt voor bulkconfiguratie of voor het afdwingen van het beleid op apparaten die Intune niet gebruiken. Stap 2: Begeleidende beleidsregels worden sterk aanbevolen om een complete oplossing te bieden. Configureer automatische geschiedenisretentie door ervoor te zorgen dat SavingBrowserHistoryUitgeschakeld op false staat, wat betekent dat geschiedenis wordt opgeslagen. Stel een geschiedenisretentieperiode in door een opschoningsscript te implementeren dat geschiedenis ouder dan 90 dagen automatisch verwijdert via IT-automatisering, niet door gebruikers geïnitieerd. Overweeg InPrivate-modusbeleid toe te staan voor legitiem persoonlijk browsen via een apart beleid (InPrivateModeAvailability). Dit biedt werknemers een alternatief voor privacy terwijl werkgerelateerde activiteit nog steeds wordt gemonitord. Schakel synchronisatie uit om te voorkomen dat geschiedenis wordt gesynchroniseerd naar persoonlijke Microsoft-accounts (EdgeSyncUitgeschakeld is 0). Schakel verzamelingen uit om gegevensverzamelingsfuncties te voorkomen (EdgeCollectionsUitgeschakeld is 0). Stap 3: Gebruikersverificatie is nodig om te bevestigen dat het beleid correct is geïmplementeerd. Open Edge en navigeer naar Instellingen, vervolgens Privacy, zoeken en services. In de sectie Browsinggegevens wissen, klik op 'Kies wat u wilt wissen'. De verwachte uitkomst is dat het selectievakje 'Browsinggeschiedenis' is uitgeschakeld of niet aanwezig is. Test ook de toetsenbordsneltoets Ctrl+Shift+Delete - de geschiedenisoptie zou moeten zijn uitgeschakeld. Verifieer ten slotte dat edge://beleid toont dat AllowDeletingBrowserHistory op false staat.
Gebruik PowerShell-script deleting-browser-history-disabled.ps1 (functie Invoke-Remediation) – PowerShell script voor geautomatiseerde beleidsafdwinging via register.
Monitoring
Gebruik PowerShell-script deleting-browser-history-disabled.ps1 (functie Invoke-Monitoring) – Controleren.
Monitoring van deze controle vereist een tweeledige aanpak die zowel technische naleving als menselijke aspecten omvat. Deze controle raakt fundamentele privacyrechten van werknemers, waardoor continue monitoring niet alleen technisch maar ook organisatorisch van cruciaal belang is. Monitoring moet worden uitgevoerd door een team dat zowel technische expertise als begrip voor privacy- en arbeidsrechtelijke aspecten heeft. Technische monitoring vormt de eerste laag van controle en moet continu plaatsvinden om ervoor te zorgen dat het beleid correct wordt toegepast. De primaire technische monitoringactiviteit is het controleren van de Intune-nalevingsstatus. Het beveiligingsteam moet regelmatig verifiëren dat het beleid AllowDeletingBrowserHistory correct is geïmplementeerd op alle doelapparaten. Dit wordt gedaan door de implementatiestatus te controleren in het Microsoft Intune-beheercentrum, waarbij wordt gecontroleerd of het beleid actief is en of er geen configuratiefouten zijn opgetreden. Apparaten die niet-nalevend zijn, moeten worden geïdentificeerd en binnen 24 uur worden hersteld om ervoor te zorgen dat geen enkele gebruiker in staat is om browsergeschiedenis te verwijderen. Registerverificatie is een aanvullende technische monitoringactiviteit die zorgt voor diepe nalevingsverificatie. Geautomatiseerde controles moeten periodiek worden uitgevoerd om te verifiëren dat de registerwaarde HKLM:\SOFTWARE\beleidsregels\Microsoft\Edge\AllowDeletingBrowserHistory daadwerkelijk is ingesteld op 0 (uitgeschakeld) op alle apparaten. Deze verificatie moet minstens wekelijks plaatsvinden en kan worden geautomatiseerd via PowerShell-scripts die de registerwaarde controleren op alle apparaten in de organisatie. Eventuele afwijkingen moeten onmiddellijk worden gemeld aan het beveiligingsteam voor onderzoek en herstel. Geschiedenisdatabase-monitoring is een geavanceerde monitoringtechniek die detecteert of gebruikers mogelijk proberen het beleid te omzeilen door direct met het bestandssysteem te werken. De Edge-geschiedenisdatabase is een SQLite-bestand dat normaal gesproken geleidelijk groeit naarmate gebruikers meer websites bezoeken. Als de geschiedenisdatabase plotseling aanzienlijk kleiner wordt zonder dat er een legitieme automatische opschoning heeft plaatsgevonden, kan dit wijzen op pogingen tot manipulatie. Monitoringtools moeten waarschuwingen genereren wanneer de geschiedenisdatabase met meer dan 30% afneemt binnen een periode van 24 uur, wat kan wijzen op illegale verwijdering van geschiedenisgegevens via bestandssysteemtoegang. Beleidsomzeilingsdetectie is essentieel omdat sommige gebruikers mogelijk proberen tools van derden te gebruiken om het beleid te omzeilen. Het beveiligingsteam moet monitoren op pogingen om het beleid te omzeilen via externe tools, scripts of andere methoden. Dit wordt gedaan door gebruik te maken van endpoint detection and response (EDR) tools, ook wel eindpuntdetectie- en responssystemen genoemd, die kunnen detecteren wanneer processen proberen toegang te krijgen tot de Edge-geschiedenisdatabase op manieren die niet normaal zijn voor de browser. Verdachte activiteiten moeten onmiddellijk worden onderzocht en indien nodig moeten maatregelen worden genomen om de toegang tot dergelijke tools te blokkeren. Werknemersrelatiemonitoring is van cruciaal belang en mag niet worden onderschat. Deze controle heeft directe impact op werknemersprivacy en kan leiden tot bezorgdheid, frustratie en mogelijke juridische uitdagingen als deze niet zorgvuldig wordt beheerd. Het monitoren van werknemersfeedback moet een continue activiteit zijn die wordt uitgevoerd door zowel het beveiligingsteam als de HR-afdeling. Helpdesktickets moeten worden gecontroleerd op meldingen van werknemers die bezorgd zijn over monitoring of die vragen hebben over hun privacyrechten. Werknemersenquêtes moeten regelmatig worden uitgevoerd om het sentiment ten aanzien van monitoring te meten en om eventuele problemen vroegtijdig te identificeren. Het volgen van formele klachten is een kritieke monitoringactiviteit die nauw samenwerkt met juridische en HR-afdelingen. Alle formele klachten die verband houden met privacy of monitoring moeten worden gedocumenteerd, onderzocht en adequaat worden afgehandeld. Dit omvat klachten over overmatige monitoring, bezorgdheid over wie toegang heeft tot browsergeschiedenisgegevens, en vragen over de proportionaliteit van de maatregel. Elke klacht moet worden behandeld volgens een gestructureerd proces dat transparantie, rechtvaardigheid en respect voor werknemersrechten waarborgt. Toegangscontrole-auditing is misschien wel de belangrijkste monitoringactiviteit vanwege de gevoeligheid van browsergeschiedenisgegevens. Elke keer dat iemand toegang krijgt tot browsergeschiedenisgegevens van werknemers, moet dit worden gelogd met volledige details over wie de toegang heeft gekregen, wanneer dit gebeurde, welke werknemer betrokken was, en waarom de toegang noodzakelijk was. Deze logs moeten worden beveiligd tegen wijziging en moeten regelmatig worden gecontroleerd om misbruik te detecteren. Elke toegang moet worden gekoppeld aan een geldig incidentticket of casusnummer, en toegang zonder dergelijke rechtvaardiging moet onmiddellijk worden geïdentificeerd als potentieel misbruik. Misbruikdetectie is een actieve monitoringactiviteit die ervoor zorgt dat browsergeschiedenisgegevens alleen worden gebruikt voor legitieme beveiligings- of nalevingsdoeleinden. Het systeem moet automatisch waarschuwingen genereren wanneer geschiedenisgegevens worden bekeken zonder een bijbehorend incidentticket. Dit type ongeautoriseerd bekijken, ook wel snooping genoemd, is een ernstige schending van werknemersprivacy en kan leiden tot disciplinaire maatregelen. Dergelijke incidenten moeten onmiddellijk worden onderzocht door HR en juridische afdeling, en indien bevestigd, moeten passende maatregelen worden genomen. Kwartaaloverzichten zijn een structurele monitoringactiviteit die zorgt voor continue evaluatie van het beleid en zijn impact. Minstens eens per kwartaal moet een uitgebreide review worden uitgevoerd die meerdere aspecten omvat. Ten eerste moet de toegangslog worden gereviewd om te verifiëren dat geschiedenisgegevens alleen zijn bekeken tijdens legitieme beveiligings- of nalevingsonderzoeken. Elke toegang moet worden gekoppeld aan een specifieke incident- of onderzoekscase, en toegang zonder duidelijke rechtvaardiging moet worden geïdentificeerd en onderzocht. Een privacybeoordeling moet deel uitmaken van elk kwartaaloverzicht om te evalueren of het beleid nog steeds proportioneel en noodzakelijk is. Dit omvat het beoordelen of het legitieme bedrijfsdoel nog steeds geldig is, of er nieuwe alternatieven zijn die minder ingrijpend zijn, en of de maatregel nog steeds in verhouding staat tot het beoogde doel. Als omstandigheden zijn veranderd of als nieuwe technologieën beschikbaar zijn gekomen die minder ingrijpend zijn, moet het beleid mogelijk worden aangepast of zelfs worden ingetrokken. Werknemersfeedback moet worden verzameld via enquêtes om het sentiment ten aanzien van monitoring te meten. Deze enquêtes moeten anoniem zijn om ervoor te zorgen dat werknemers zich vrij voelen om hun echte mening te geven zonder angst voor repercussies. De resultaten moeten worden geanalyseerd om trends te identificeren en om te bepalen of er actie moet worden ondernomen om werknemersbezorgdheid aan te pakken. Als het sentiment negatief wordt, moet worden overwogen of het beleid moet worden aangepast of of aanvullende communicatie en training nodig zijn. Gegevensminimalisatie moet worden geverifieerd door te controleren of de automatische retentie-opschoning correct werkt. Het systeem moet automatisch geschiedenis ouder dan 90 dagen verwijderen, tenzij deze is gemarkeerd voor langere bewaartermijnen vanwege incidentonderzoeken of juridische bewaarplichten. Verificatie dat de automatische opschoning werkt, omvat het controleren van de geschiedenisgrootte op willekeurige apparaten en het verifiëren dat oude geschiedenis inderdaad is verwijderd. Als de automatische opschoning niet werkt, kan dit leiden tot onnodige opslag van gegevens en mogelijk tot AVG-overtredingen. Juridische updates moeten regelmatig worden gecontroleerd om te identificeren of wijzigingen in privacywetgeving gevolgen kunnen hebben voor het beleid. Privacywetgeving evolueert voortdurend, en nieuwe wetten of wijzigingen in bestaande wetten kunnen nieuwe vereisten of beperkingen opleggen aan monitoringactiviteiten. Het juridische team moet op de hoogte blijven van alle relevante juridische ontwikkelingen en moet het beveiligingsteam adviseren over eventuele noodzakelijke aanpassingen aan het beleid of de implementatie.
Remediatie
Gebruik PowerShell-script deleting-browser-history-disabled.ps1 (functie Invoke-Remediation) – Herstellen.
Remediatie is nodig wanneer het beleid niet actief is en gebruikers nog steeds hun geschiedenis kunnen verwijderen, wat betekent dat de organisatie niet-nalevend is. Het remediatieproces begint met verificatie dat alle pre-implementatievereisten zijn voltooid, inclusief juridische review, privacy impact assessment, en werknemersnotificatie. Zonder deze vereisten kan remediatie niet plaatsvinden omdat dit zou leiden tot juridische en privacyrisico's. Zodra de vereisten zijn geverifieerd, moet het beleid worden afgedwongen via Intune-synchronisatie of door het uitvoeren van gpupdate /force op de betrokken apparaten. Dit forceert de beleidsupdate en zorgt ervoor dat het beleid correct wordt toegepast. Na afdwinging moet verificatie plaatsvinden via edge://beleid om te bevestigen dat AllowDeletingBrowserHistory correct is ingesteld op false. Gebruikerstests moeten ook worden uitgevoerd om te verifiëren dat gebruikers daadwerkelijk niet meer in staat zijn om hun geschiedenis te verwijderen via verschillende methoden. De implementatiedatum moet worden gedocumenteerd voor auditdoeleinden. Deze documentatie moet worden opgeslagen in het auditlog en moet worden gekoppeld aan de specifieke apparaten waarop het beleid is geïmplementeerd. Deze documentatie is essentieel voor compliance-audits en voor het aantonen dat de organisatie voldoet aan de vereisten. Wanneer een werknemer privacyzorgen uitspreekt, moet dit serieus worden genomen en via de juiste kanalen worden afgehandeld. De eerste stap is om de werknemer door te verwijzen naar HR of de juridische afdeling, omdat zorgen via de juiste kanalen moeten worden afgehandeld. Deze afdelingen hebben de expertise om privacyzorgen te adresseren en kunnen werknemers informeren over hun rechten en de maatregelen die zijn genomen om hun privacy te beschermen. Beleidsdocumentatie moet worden verstrekt aan werknemers die zorgen uiten. Deze documentatie moet het legitieme bedrijfsdoel tonen, de proportionaliteitsbeoordeling uitleggen, en de maatregelen beschrijven die zijn genomen om werknemersprivacy te beschermen. Deze documentatie helpt werknemers begrijpen waarom monitoring noodzakelijk is en hoe hun privacy wordt beschermd. Alternatieven moeten worden aangeboden aan werknemers die privacy nodig hebben. Dit kan bestaan uit BYOD-beleid dat werknemers toestaat persoonlijke apparaten te gebruiken voor werkdoeleinden, of InPrivate-modusrichtlijnen indien toegestaan via apart beleid. Deze alternatieven moeten duidelijk worden gecommuniceerd en toegankelijk zijn voor werknemers die legitieme privacybehoeften hebben. Een escalatiepad moet beschikbaar zijn voor werknemers die niet tevreden zijn met de initiële reactie op hun zorgen. Dit kan bestaan uit een klachtenprocedure waarbij werknemers formele klachten kunnen indienen, of betrokkenheid van de ondernemingsraad indien van toepassing. Het escalatiepad moet transparant zijn en moet werknemers het vertrouwen geven dat hun zorgen serieus worden genomen. Belangrijk is dat het beleid niet mag worden uitgeschakeld voor individuele gebruikers zonder een formeel vrijstellingsproces. Vrijstellingen moeten worden goedgekeurd door de juridische afdeling en HR, en moeten worden gedocumenteerd met een duidelijke rechtvaardiging. Vrijstellingen mogen alleen worden verleend in uitzonderlijke omstandigheden waarbij er een legitieme reden is waarom een werknemer niet kan worden gemonitord, zoals medische redenen of andere bijzondere omstandigheden.
Compliance en Auditing
Deze controle ondersteunt organisaties bij het voldoen aan verschillende compliance- en beveiligingsvereisten door het waarborgen van een complete audittrail van browseactiviteit. De eerste en meest kritieke ondersteuning betreft audittrailvereisten, waarbij organisaties verplicht zijn om complete logging te behouden voor forensische analyses. In het geval van beveiligingsincidenten, datalekken, of andere kritieke gebeurtenissen, vormt browsergeschiedenis vaak essentieel bewijsmateriaal dat kan helpen bij het begrijpen van wat er is gebeurd, hoe het incident is ontstaan, en welke acties moeten worden ondernomen om verdere schade te voorkomen. Zonder een complete browsergeschiedenis kunnen forensische onderzoeken worden belemmerd, wat kan leiden tot onvolledige incidentrespons en tot het niet kunnen identificeren van de volledige omvang van een beveiligingsincident. Regelgevingscompliance vormt een tweede belangrijk gebied waarin deze controle ondersteuning biedt. In de financiële sector vereisen regelgevingskaders zoals MiFID II en SEC-voorschriften dat alle handelsgerelateerde webactiviteiten traceerbaar zijn, inclusief onderzoek naar markttrends, toegang tot handelsplatforms, en communicatie met klanten via webportals. In de gezondheidszorg vereist HIPAA dat patiëntentoegang via webportals wordt gelogd voor auditdoeleinden en voor het waarborgen van de privacy en beveiliging van patiëntgegevens. In de juridische sector moeten advocaten en juridische professionals kunnen aantonen welke onderzoeken zijn uitgevoerd, welke bronnen zijn geraadpleegd, en welke communicatie heeft plaatsgevonden met cliënten, allemaal voor factureringsdoeleinden en voor het waarborgen van professionele standaarden. Beveiligingsonderzoeken vormen een derde gebied waarin deze controle ondersteuning biedt. Wanneer een beveiligingsincident plaatsvindt, is het essentieel dat bewijsmateriaal wordt bewaard voor onderzoek. Browsergeschiedenis kan aantonen welke websites werden bezocht vóór of tijdens een incident, waar malware werd gedownload, welke phishing-sites werden bezocht, en wat de infectievector was. Deze informatie is cruciaal voor het begrijpen van de volledige omvang van een incident, voor het identificeren van andere mogelijk geïnfecteerde systemen, en voor het ontwikkelen van mitigerende maatregelen om toekomstige incidenten te voorkomen. Zonder browsergeschiedenis kunnen beveiligingsteams niet volledig begrijpen wat er is gebeurd, wat kan leiden tot onvolledige incidentrespons en tot het niet kunnen voorkomen van toekomstige incidenten. Juridische bewaarplichten vormen het vierde gebied waarin deze controle ondersteuning biedt. Wanneer een organisatie betrokken raakt bij juridische procedures, moeten alle relevante gegevens worden bewaard voor elektronische ontdekking doeleinden. Browsergeschiedenis kan bewijsmateriaal zijn bij arbeidsgeschillen, intimidatiezaken, onderzoeken naar intellectueel eigendom, en andere juridische procedures. Als browsergeschiedenis is verwijderd tijdens een juridische bewaarplicht, kan dit leiden tot sancties, boetes, en nadelige gevolgtrekkingen in juridische procedures. Deze controle helpt organisaties voldoen aan hun verplichtingen voor juridische bewaarplicht door te waarborgen dat browsergeschiedenis niet kan worden verwijderd tijdens actieve juridische procedures. Hoewel deze controle belangrijke voordelen biedt voor compliance en beveiliging, moet deze zorgvuldig worden gebalanceerd met privacyvereisten en werknemersrechten. De eerste en meest kritieke balans betreft AVG Artikel 5 over gegevensminimalisatie, waarbij gegevens niet langer mogen worden bewaard dan noodzakelijk. Dit betekent dat browsergeschiedenis automatisch moet worden verwijderd na de retentieperiode, meestal 90 dagen voor normale browseactiviteit. Organisaties moeten geautomatiseerde opschoningsscripts implementeren die geschiedenis ouder dan de retentieperiode automatisch verwijderen, zodat gegevens niet onbeperkt worden bewaard. Zonder automatische opschoning kan de controle in strijd zijn met AVG-vereisten voor gegevensminimalisatie, wat kan leiden tot boetes en sancties. AVG Artikel 6 over rechtmatigheid vereist dat gegevensverwerking gebaseerd is op een legitieme grondslag en dat het legitieme bedrijfsdoel duidelijk is gedocumenteerd. Voor werknemersmonitoring betekent dit dat organisaties moeten kunnen aantonen dat het monitoren van browsergeschiedenis noodzakelijk is voor een specifiek legitiem bedrijfsdoel, zoals het waarborgen van beveiliging, het voldoen aan compliancevereisten, of het voorkomen van datalekken. Het legitieme bedrijfsdoel moet worden gedocumenteerd in beleidsdocumenten, in privacy impact assessments, en in communicatie naar werknemers. Zonder duidelijk gedocumenteerd legitiem bedrijfsdoel kan de gegevensverwerking als onrechtmatig worden beschouwd, wat kan leiden tot AVG-overtredingen. AVG Artikel 35 over privacy impact assessments (DPIA) vereist dat organisaties een privacy impact assessment uitvoeren voordat gegevensverwerking met een hoog risico voor de privacy wordt geïmplementeerd. Werknemersmonitoring wordt over het algemeen beschouwd als gegevensverwerking met een hoog risico, wat betekent dat een DPIA verplicht is voordat deze controle wordt geïmplementeerd. De DPIA moet de proportionaliteit van de maatregel evalueren, de noodzaak beoordelen, risico's voor werknemersprivacy identificeren, en mitigerende maatregelen beschrijven. Zonder een goedgekeurde DPIA mag de controle niet worden geïmplementeerd, omdat dit kan leiden tot AVG-overtredingen en boetes. AVG Artikel 88 over gegevensverwerking in de arbeidscontext erkent dat werknemersmonitoring specifieke uitdagingen met zich meebrengt en vereist dat lidstaten specifieke regels kunnen vaststellen voor gegevensverwerking in de arbeidscontext. In Nederland betekent dit dat organisaties moeten voldoen aan nationale arbeidswetgeving, waaronder de verplichting om goedkeuring te verkrijgen van de ondernemingsraad voordat monitoringbeleid wordt geïmplementeerd. Zonder goedkeuring van de ondernemingsraad kan implementatie leiden tot juridische uitdagingen en sancties. Organisaties moeten ook rekening houden met het evenwicht tussen werkgeversbelangen en werknemersprivacy, waarbij monitoring alleen mag plaatsvinden wanneer dit proportioneel en noodzakelijk is. Nationale arbeidswetgeving varieert per land en kan aanvullende vereisten stellen aan werknemersmonitoring. In Nederland is goedkeuring van de ondernemingsraad verplicht voor monitoringbeleid, terwijl andere landen mogelijk andere vereisten hebben. Organisaties moeten zich bewust zijn van de specifieke vereisten in elk land waar ze opereren en moeten ervoor zorgen dat ze voldoen aan alle toepasselijke wetgeving. Het niet naleven van nationale arbeidswetgeving kan leiden tot juridische uitdagingen, sancties, en beschadigde werknemersrelaties. Werknemersprivacyrechten vormen de laatste en misschien wel belangrijkste balans die moet worden overwogen. Werknemers hebben het recht op privacy op de werkplek, hoewel dit recht moet worden gebalanceerd tegen werkgeversbelangen zoals beveiliging en compliance. Organisaties moeten ervoor zorgen dat monitoring proportioneel is, dat werknemers op de hoogte zijn van de monitoring, en dat alternatieven worden geboden voor werknemers die privacy nodig hebben. Het niet respecteren van werknemersprivacyrechten kan leiden tot beschadigde werknemersvertrouwen, tot lage werknemersmoraal, en tot juridische uitdagingen. Organisaties moeten daarom zorgvuldig overwegen of deze controle noodzakelijk is en of er alternatieve oplossingen zijn die minder inbreuk maken op werknemersprivacy.
Compliance & Frameworks
- BIO: 12.04.01 - Auditlogging - Browseractiviteit audittrail
- ISO 27001:2022: A.12.4.1, A.12.4.3 - Gebeurtenissenlogging en audittrails en administrator loggingbescherming
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Privacy: Deleting Browser History Disabled
.DESCRIPTION
CIS - Users mogen browsing history niet verwijderen (audit/compliance).
.NOTES
Filename: deleting-browser-history-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\AllowDeletingBrowserHistory|Expected: 0
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "AllowDeletingBrowserHistory"; $ExpectedValue = 0
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "deleting-browser-history-disabled.ps1"; PolicyName = "Delete History Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "History deletion blocked" }else { $r.Details += "History deletion toegestaan" } }catch { $r.Details += "Niet geconfigureerd" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Deleting history disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Medium: Gemiddeld risico: Bij beveiligingsincidenten kunnen gebruikers verdachte browseactiviteit verbergen door geschiedenis te verwijderen, wat forensisch onderzoek frustreert. Compliance-overtredingen zijn mogelijk indien regelgeving een complete audittrail vereist. Echter: deze controle is controversieel en vereist uitgebreide juridische, privacy- en HR-voorbereiding. Zonder goede implementatie: AVG-overtredingen, werknemersklachten, beschadigd vertrouwen. Alleen implementeren indien: (1) Legitiem bedrijfsdoel duidelijk gedocumenteerd, (2) Juridische/privacy-goedkeuring verkregen, (3) Werknemers correct geïnformeerd, (4) Strikte toegangscontrole op wie geschiedenis mag inzien, (5) Automatische retentieopschoning geconfigureerd, (6) Alternatieve privacyopties beschikbaar (InPrivate-modus, BYOD).
Management Samenvatting
Blokkeer gebruikersmogelijkheid om browsergeschiedenis te verwijderen voor audittrailbehoud. Controversiële controle vereist uitgebreide juridische/privacy-voorbereidingen: AVG DPIA, werknemersnotificatie, ondernemingsraadgoedkeuring, toegangscontrole. Helpt bij forensisch onderzoek en compliance maar heeft impact op werknemersprivacy. Implementatie: 2-22 uur (technisch + organisatorisch/juridisch). Alleen voor omgevingen met hoge beveiliging met passende waarborgen. Alternatief: Sta verwijdering toe maar log alle verwijderingsgebeurtenissen voor audit.
- Implementatietijd: 22 uur
- FTE required: 0.1 FTE