L2 BIO 11.01.01 ISO A.18.1.4 CIS Edge Privacy - Geolocation

Geolocation Geblokkeerd

📅 2025-10-30
⏱️ 5 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Het blokkeren van geolocatie-API-toegang voorkomt dat websites de fysieke locatie van gebruikers kunnen achterhalen, wat een aanzienlijk privacyrisico vormt onder de AVG en NIS2.

Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
6/10
Implementatie
1.5u (tech: 0.5u)
Van toepassing op:
Edge

De Geolocatie-API geeft websites toegang tot de fysieke locatie van gebruikers via verschillende methoden. GPS-coördinaten bieden zeer nauwkeurige locatiebepaling op mobiele apparaten, vaak tot op enkele meters nauwkeurig. WiFi-triangulatie kan de locatie bepalen met een nauwkeurigheid van ongeveer tien meter door het signaal van meerdere WiFi-netwerken te analyseren. IP-adresgeolocatie biedt locatie-informatie op stadsniveau door het IP-adres te koppelen aan geografische databases. Op mobiele netwerken wordt celmasttriangulatie gebruikt, waarbij de locatie wordt bepaald op basis van de afstand tot meerdere zendmasten. Deze technologieën samen maken realtime fysieke tracking van gebruikers mogelijk, wat aanzienlijke privacyrisico's met zich meebrengt. Organisaties lopen het risico dat bewegingspatronen van medewerkers worden geanalyseerd, waardoor duidelijk wordt wanneer iemand op kantoor is, thuis werkt of bij klanten op bezoek gaat. Bovendien kunnen gevoelige locaties worden achterhaald, zoals bezoeken aan artsen, advocatenkantoren of kantoren van concurrenten. Bij gegevenslekken kan deze informatie worden misbruikt voor stalking of gerichte aanvallen. De Algemene Verordening Gegevensbescherming vereist expliciete toestemming voor locatietracking, en standaard blokkering vormt een privacy-by-default benadering die aan deze eis voldoet. Voor organisaties met veldwerkers, mobiele medewerkers of gevoelige bedrijfslocaties is geolocatieblokkering essentieel. Uitzondering: webapplicaties die legitiem geolocatie nodig hebben, zoals kaartdiensten of bezorgtracking, kunnen worden toegevoegd aan een whitelist via het GeolocationAllowedForUrls-beleid.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Deze controle configureert het DefaultGeolocationSetting-beleid op waarde 2, wat betekent dat geolocatie voor alle websites wordt geblokkeerd. De configuratie wordt toegepast via het Windows-register op het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge\DefaultGeolocationSetting met de waarde 2. Hierdoor kunnen websites geen geolocatiegegevens opvragen en krijgen gebruikers geen prompts voor het delen van hun locatie. Voor specifieke vertrouwde websites kan een uitzondering worden gemaakt via het GeolocationAllowedForUrls-beleid, waardoor alleen geautoriseerde applicaties toegang krijgen tot geolocatiegegevens.

Vereisten

Voor het succesvol implementeren van geolocatieblokkering moeten organisaties aan verschillende technische en organisatorische vereisten voldoen. De technische basisvereisten vormen de fundering voor een effectieve implementatie. Ten eerste moet de Microsoft Edge-browser geïnstalleerd zijn op alle werkstations waarop de controle moet worden toegepast. Edge is de standaard browser in moderne Windows-omgevingen, maar organisaties moeten verifiëren dat alle apparaten de vereiste versie draaien die ondersteuning biedt voor beleidsbeheer via Group Policy of Microsoft Intune. Ten tweede is een ondersteund besturingssysteem essentieel: Windows 10, Windows 11 of Windows Server 2016 en hoger. Deze versies bieden de benodigde registerondersteuning en beleidsbeheerfunctionaliteit die nodig zijn voor geolocatieblokkering. Oudere versies van Windows ondersteunen deze functionaliteit mogelijk niet volledig, wat kan leiden tot inconsistenties in de beveiligingspostuur van de organisatie.

Beheerrechten vormen een kritieke vereiste voor de implementatie. Organisaties moeten beschikken over administratorrechten op de werkstations of toegang tot centrale beheersystemen zoals Group Policy Objects (GPO) in een Active Directory-omgeving of Microsoft Intune voor cloudgebaseerd beheer. Deze rechten zijn noodzakelijk omdat de geolocatie-instellingen worden geconfigureerd via het Windows-register, wat beheerrechten vereist. Voor GPO-implementaties betekent dit dat de IT-afdeling toegang moet hebben tot de Group Policy Management Console en de juiste organisatorische eenheden moet kunnen beheren. Voor Intune-implementaties zijn Intune-beheerderrechten vereist, evenals de mogelijkheid om configuratieprofielen te maken en toe te wijzen aan gebruikersgroepen of apparaten.

Naast technische vereisten zijn er belangrijke organisatorische overwegingen die voorafgaand aan de implementatie moeten worden afgehandeld. Organisaties moeten een grondige inventarisatie uitvoeren van alle webapplicaties die mogelijk geolocatiefunctionaliteit vereisen. Dit omvat niet alleen externe websites, maar ook interne webapplicaties, SaaS-diensten en cloudgebaseerde tools die door medewerkers worden gebruikt. Tijdens deze inventarisatie moeten IT-teams samenwerken met verschillende afdelingen om te begrijpen welke applicaties legitiem geolocatie nodig hebben voor hun functionaliteit. Kaartdiensten, bezorgtrackingapplicaties, weerservices en locatiegebaseerde bedrijfsapplicaties zijn voorbeelden van applicaties die mogelijk uitzonderingen vereisen.

Voor elke applicatie die mogelijk een uitzondering vereist, moet een zakelijke rechtvaardiging worden gedocumenteerd. Deze rechtvaardiging moet duidelijk uitleggen waarom geolocatie essentieel is voor de functionaliteit van de applicatie en welke alternatieve oplossingen zijn overwogen. Deze documentatie is niet alleen belangrijk voor compliance-doeleinden, maar helpt ook bij het maken van weloverwogen beslissingen over welke applicaties daadwerkelijk toegang tot geolocatie moeten krijgen. Bovendien moeten organisaties alternatieve methoden voor locatie-invoer identificeren voor applicaties die locatie nodig hebben. In plaats van automatische geolocatie kunnen gebruikers handmatig een adres invoeren, een locatie selecteren op een kaart, of een postcode opgeven. Deze alternatieven bieden de benodigde functionaliteit zonder de privacyrisico's van automatische locatietracking.

De implementatie van geolocatieblokkering vereist ook een communicatiestrategie om medewerkers te informeren over de wijziging en de redenen daarvoor. Medewerkers moeten begrijpen waarom geolocatie wordt geblokkeerd, welke applicaties mogelijk anders werken, en hoe ze alternatieve methoden kunnen gebruiken wanneer locatie-informatie nodig is. Deze communicatie helpt bij het voorkomen van onnodige ondersteuningsverzoeken en zorgt ervoor dat medewerkers de privacyvoordelen begrijpen. Tot slot moeten organisaties een proces opzetten voor het beheren van uitzonderingen, inclusief een aanvraagprocedure, beoordelingscriteria en periodieke herziening van bestaande uitzonderingen om te verifiëren dat ze nog steeds nodig zijn.

Implementatie

Geolocatieblokkering kan worden geïmplementeerd via verschillende methoden, afhankelijk van de infrastructuur en beheeromgeving van de organisatie. De keuze tussen geautomatiseerde en handmatige implementatie hangt af van de schaal van de organisatie, de beschikbare tools en de voorkeur voor beheer. Voor organisaties die automatisering prefereren, biedt het PowerShell-script een efficiënte manier om geolocatieblokkering te implementeren en te beheren. Dit script kan worden uitgevoerd via verschillende mechanismen, waaronder Group Policy startup scripts, Intune-scripts of centrale beheersystemen zoals System Center Configuration Manager.

Gebruik PowerShell-script geolocation-blocked.ps1 (functie Invoke-Remediation) – PowerShell-script voor automatische blokkering van geolocatie.

Voor handmatige implementatie via Microsoft Intune begint het proces met toegang tot het Microsoft Intune-beheercentrum. Beheerders navigeren naar de sectie Apparaten en selecteren daar Configuratieprofielen. Vervolgens wordt een nieuw profiel aangemaakt door op de knop Profiel maken te klikken. Tijdens het configureren van het profiel selecteren beheerders Windows 10 en later als platform, wat betekent dat het profiel van toepassing is op alle moderne Windows-versies. Het profieltype wordt ingesteld op Instellingencatalogus, wat toegang geeft tot een uitgebreide lijst van configureerbare instellingen voor Microsoft Edge en andere Microsoft-toepassingen.

Binnen de instellingencatalogus zoeken beheerders naar de Microsoft Edge-sectie en selecteren daar de subcategorie Privacy. In deze subcategorie bevindt zich de instelling DefaultGeolocationSetting, die de standaardgedrag voor geolocatie bepaalt. Beheerders configureren deze instelling op waarde 2, wat betekent dat geolocatie voor alle websites wordt geblokkeerd. Deze waarde zorgt ervoor dat websites geen toegang krijgen tot geolocatiegegevens en dat gebruikers geen prompts ontvangen om hun locatie te delen. Deze aanpak volgt het privacy-by-default principe, waarbij privacybescherming de standaardinstelling is in plaats van een opt-in functionaliteit.

Voor organisaties die specifieke websites moeten toestaan om geolocatie te gebruiken, biedt Intune de mogelijkheid om het GeolocationAllowedForUrls-beleid te configureren. Dit beleid maakt het mogelijk om een lijst van URL-patronen op te geven die wel toegang krijgen tot geolocatiegegevens, zelfs wanneer de standaardinstelling geolocatie blokkeert. Bij het configureren van deze uitzonderingen moeten beheerders voorzichtig zijn met de URL-patronen die ze opgeven, omdat te brede patronen kunnen leiden tot onbedoelde toegang. Het wordt aanbevolen om specifieke domeinen of zelfs specifieke paden op te geven in plaats van wildcards te gebruiken die te veel websites zouden kunnen toestaan.

Na het configureren van de instellingen moeten beheerders het profiel toewijzen aan de juiste gebruikersgroepen of apparaatgroepen. Deze toewijzing bepaalt op welke apparaten het beleid wordt toegepast. Organisaties kunnen kiezen voor toewijzing aan alle gebruikers en apparaten, of voor een gefaseerde implementatie waarbij eerst een testgroep wordt geselecteerd voordat het beleid wordt uitgerold naar de volledige organisatie. Een gefaseerde aanpak wordt aanbevolen omdat het mogelijk maakt om eventuele problemen te identificeren voordat alle gebruikers worden beïnvloed. Na de toewijzing worden de instellingen automatisch toegepast op de doelapparaten, meestal binnen enkele minuten tot uren, afhankelijk van de synchronisatiecyclus van Intune.

De DefaultGeolocationSetting ondersteunt drie verschillende waarden die verschillende niveaus van geolocatietoegang bieden. Waarde 1 staat toe dat websites geolocatie kunnen vragen, wat betekent dat gebruikers prompts ontvangen en kunnen kiezen om hun locatie te delen. Deze instelling wordt niet aanbevolen voor organisaties die privacy willen beschermen, omdat gebruikers vaak automatisch op Toestaan klikken zonder de implicaties te begrijpen. Waarde 2 blokkeert geolocatie voor alle websites en is de aanbevolen instelling voor organisaties die privacy willen waarborgen. Deze instelling voorkomt dat websites toegang krijgen tot geolocatiegegevens en elimineert de risico's van onbedoelde locatiedeling. Waarde 3 vraagt de gebruiker elke keer om toestemming wanneer een website geolocatie probeert te gebruiken. Hoewel dit op het eerste gezicht privacyvriendelijk lijkt, vormt het een privacyrisico omdat gebruikers vaak automatisch op Toestaan klikken zonder de gevolgen te overwegen. Bovendien kan deze instelling leiden tot gebruikersfrustratie door de constante prompts.

Voor organisaties die Group Policy gebruiken in plaats van Intune, kan dezelfde configuratie worden toegepast via Group Policy Objects. Beheerders maken of bewerken een GPO en navigeren naar Computer Configuration of User Configuration, afhankelijk van of ze de instelling per computer of per gebruiker willen toepassen. Binnen de GPO navigeren ze naar Administrative Templates, vervolgens naar Microsoft Edge en dan naar Privacy. Hier vinden ze dezelfde DefaultGeolocationSetting die kan worden ingesteld op waarde 2. Na het configureren van de GPO moet deze worden gekoppeld aan de juiste organisatorische eenheden in Active Directory om de instellingen toe te passen op de doelapparaten.

Monitoring

Gebruik PowerShell-script geolocation-blocked.ps1 (functie Invoke-Monitoring) – Controleert of geolocatie correct is geblokkeerd.

Effectieve monitoring van geolocatieblokkering vereist een gestructureerde aanpak die zowel technische verificatie als organisatorische processen omvat. Het primaire doel van monitoring is te verifiëren dat de geconfigureerde beveiligingsinstellingen daadwerkelijk actief zijn op alle beheerde apparaten en dat er geen onbedoelde configuratiewijzigingen hebben plaatsgevonden die de privacybescherming zouden kunnen ondermijnen. Daarnaast moet monitoring proactief problemen identificeren voordat ze tot beveiligingsincidenten of privacyovertredingen leiden.

De technische verificatie begint met het controleren van de Windows-registerinstellingen op elk beheerd apparaat. Het kritieke registerpad dat moet worden gemonitord is HKLM:\SOFTWARE\Policies\Microsoft\Edge, waar de DefaultGeolocationSetting-waarde moet worden ingesteld op 2 (DWORD). Deze waarde vertegenwoordigt de blokkering van geolocatie voor alle websites. Monitoring moet regelmatig plaatsvinden, idealiter dagelijks of wekelijks, afhankelijk van de omvang van de organisatie en de beschikbare monitoringtools. Voor grote organisaties met duizenden apparaten is geautomatiseerde monitoring essentieel, terwijl kleinere organisaties mogelijk handmatige controles kunnen uitvoeren.

Het PowerShell-monitoringscript dat beschikbaar is voor deze controle biedt een geautomatiseerde manier om de configuratie te verifiëren. Dit script controleert het registerpad, verifieert de waarde en genereert een compliance-rapport dat kan worden gebruikt voor auditing en rapportage. Organisaties moeten ervoor zorgen dat dit script regelmatig wordt uitgevoerd, bij voorkeur via een geplande taak of via een centrale beheertool zoals Microsoft Intune of System Center Configuration Manager. De resultaten van deze controles moeten worden opgeslagen in een centrale locatie voor historische analyse en compliance-rapportage.

Naast technische verificatie is het monitoren van gebruikerservaringen en -klachten een cruciaal onderdeel van effectieve monitoring. Medewerkers kunnen problemen ondervinden met webapplicaties die geolocatiefunctionaliteit vereisen, zoals kaartdiensten, bezorgtrackingapplicaties of locatiegebaseerde bedrijfsapplicaties. IT-afdelingen moeten een proces opzetten voor het verzamelen en analyseren van deze klachten om te bepalen of ze wijzen op configuratieproblemen, legitieme behoeften voor uitzonderingen, of gebruikers die niet bekend zijn met alternatieve methoden voor locatie-invoer. Deze feedback is waardevol voor het verbeteren van zowel de beveiligingsconfiguratie als de gebruikerservaring.

Het beheren van uitzonderingen vereist ook continue monitoring. Wanneer organisaties specifieke websites toestaan om geolocatie te gebruiken via het GeolocationAllowedForUrls-beleid, moeten deze uitzonderingen regelmatig worden beoordeeld om te verifiëren dat ze nog steeds nodig zijn en dat de zakelijke rechtvaardiging nog steeds geldig is. Dit omvat het controleren of de applicaties nog steeds in gebruik zijn, of de functionaliteit nog steeds geolocatie vereist, en of er alternatieve oplossingen beschikbaar zijn gekomen die de uitzondering overbodig maken. Periodieke herzieningen, bijvoorbeeld elk kwartaal of halfjaar, helpen ervoor te zorgen dat de whitelist niet onnodig groeit en dat alleen legitieme applicaties toegang hebben tot geolocatiegegevens.

Monitoring moet ook aandacht besteden aan potentiële omzeilingen van de geolocatieblokkering. Kwaadwillende actoren of onwetende gebruikers kunnen proberen de beveiligingsinstellingen te wijzigen, bijvoorbeeld door het register handmatig aan te passen of door gebruik te maken van niet-beheerde browsers. Organisaties moeten monitoringtools configureren om dergelijke wijzigingen te detecteren en te rapporteren. Bovendien moeten beveiligingsteams alert zijn op tekenen dat geolocatiegegevens mogelijk worden verzameld via andere methoden, zoals via mobiele applicaties of externe trackingdiensten die niet onder de controle van de browserconfiguratie vallen.

Compliance-rapportage vormt een belangrijk onderdeel van de monitoringactiviteiten. Organisaties moeten regelmatig rapporten genereren die de compliance-status van geolocatieblokkering documenteren voor verschillende stakeholders, waaronder IT-management, privacy officers en auditors. Deze rapporten moeten informatie bevatten over het percentage apparaten dat correct is geconfigureerd, eventuele configuratiewijzigingen die zijn gedetecteerd, het aantal actieve uitzonderingen en hun rechtvaardigingen, en trends in gebruikersklachten. Deze documentatie is essentieel voor het aantonen van naleving van privacyregelgeving zoals de AVG en voor het ondersteunen van interne en externe audits.

Compliance en Auditing

Deze controle voldoet aan meerdere belangrijke compliance frameworks en privacyregelgeving die relevant zijn voor Nederlandse overheidsorganisaties en organisaties die werken met persoonsgegevens. Het implementeren van geolocatieblokkering is niet alleen een technische beveiligingsmaatregel, maar ook een essentiële stap in het voldoen aan wettelijke verplichtingen en industriestandaarden voor gegevensbescherming.

Binnen het CIS Microsoft Edge Benchmark wordt privacybeheer beschouwd als een fundamenteel aspect van browserbeveiliging. De benchmark beveelt aan dat organisaties geolocatie standaard blokkeren om de privacy van gebruikers te beschermen en onnodige gegevensverzameling te voorkomen. Door geolocatieblokkering te implementeren, voldoen organisaties aan deze best practice en demonstreren ze hun inzet voor privacybescherming. De CIS Benchmark wordt wereldwijd erkend als een autoriteit op het gebied van cybersecurity-configuratie en wordt vaak gebruikt als basis voor compliance-audits en beveiligingsbeoordelingen.

De Algemene Verordening Gegevensbescherming (AVG) bevat verschillende artikelen die relevant zijn voor geolocatieblokkering. Artikel 5 van de AVG stelt beginselen vast voor de verwerking van persoonsgegevens, waaronder het beginsel van gegevensminimalisatie. Dit beginsel vereist dat organisaties alleen persoonsgegevens verzamelen die strikt noodzakelijk zijn voor het beoogde doel. Door geolocatie standaard te blokkeren en alleen toe te staan wanneer dit legitiem nodig is, voldoen organisaties aan dit beginsel. Artikel 9 van de AVG behandelt bijzondere categorieën van persoonsgegevens, en hoewel geolocatie zelf niet expliciet als bijzondere categorie wordt genoemd, kan locatie-informatie in combinatie met andere gegevens zeer gevoelige informatie onthullen, zoals bezoeken aan medische instellingen, religieuze locaties of politieke bijeenkomsten. Het blokkeren van geolocatie helpt bij het voorkomen van onbedoelde verwerking van dergelijke gevoelige informatie.

Artikel 25 van de AVG, bekend als privacy door ontwerp en privacy standaardinstellingen, vereist dat organisaties technische en organisatorische maatregelen implementeren die privacybescherming integreren in de ontwerp- en standaardinstellingen van systemen. Geolocatieblokkering als standaardinstelling is een perfect voorbeeld van privacy door ontwerp, omdat het ervoor zorgt dat privacybescherming de standaard is in plaats van een opt-in functionaliteit. Dit artikel vereist ook dat organisaties regelmatig beoordelen of hun privacybeschermingsmaatregelen effectief zijn, wat de noodzaak voor continue monitoring en auditing onderstreept.

De Baseline Informatiebeveiliging Overheid (BIO) bevat specifieke controles voor privacy en toegangsbeheer. BIO controle 11.01 richt zich op toegangsbeleid en privacy, waarbij wordt benadrukt dat organisaties passende maatregelen moeten nemen om de privacy van gebruikers te beschermen en onnodige gegevensverzameling te voorkomen. Geolocatieblokkering draagt direct bij aan het voldoen aan deze controle door ervoor te zorgen dat locatiegegevens alleen worden verzameld wanneer dit legitiem nodig is voor zakelijke doeleinden. Nederlandse overheidsorganisaties moeten voldoen aan de BIO-normen, en geolocatieblokkering vormt een belangrijke technische maatregel in het voldoen aan deze verplichtingen.

ISO 27001, de internationale standaard voor informatiebeveiligingsmanagement, bevat controle A.18.1.4 die zich richt op privacy en bescherming van persoonsgegevens. Deze controle vereist dat organisaties een privacybeleid implementeren en technische maatregelen nemen om persoonsgegevens te beschermen. Geolocatieblokkering is een concrete technische maatregel die bijdraagt aan het voldoen aan deze controle. Organisaties die gecertificeerd zijn volgens ISO 27001 of die streven naar certificering, moeten kunnen aantonen dat ze passende maatregelen hebben genomen om privacy te beschermen, en geolocatieblokkering vormt een belangrijk onderdeel van deze maatregelen.

De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten in de Europese Unie, bevat artikel 21 dat zich richt op privacy- en gegevensbeschermingsmaatregelen. Hoewel NIS2 primair gericht is op netwerk- en informatiesystemenbeveiliging, erkent het de belangrijke rol van privacybescherming in cybersecurity. Het blokkeren van onnodige geolocatieverzameling draagt bij aan het voldoen aan de privacyvereisten van NIS2 en helpt organisaties te beschermen tegen privacygerelateerde beveiligingsrisico's. Nederlandse organisaties die onder de reikwijdte van NIS2 vallen, moeten kunnen aantonen dat ze passende privacy- en gegevensbeschermingsmaatregelen hebben geïmplementeerd.

Voor auditing en compliance-rapportage moeten organisaties documentatie bijhouden die aantoont dat geolocatieblokkering correct is geïmplementeerd en actief is. Deze documentatie moet configuratiebewijzen bevatten, zoals screenshots van Intune-beleid of exports van Group Policy-instellingen, compliance-rapporten van monitoringscripts, en documentatie van eventuele uitzonderingen met bijbehorende zakelijke rechtvaardigingen. Deze auditbewijzen zijn essentieel voor het aantonen van naleving tijdens interne en externe audits en voor het ondersteunen van compliance-rapportage aan management en toezichthouders.

Remediatie

Gebruik PowerShell-script geolocation-blocked.ps1 (functie Invoke-Remediation) – Herstelt de geolocatieblokkering wanneer deze niet correct is geconfigureerd.

Wanneer monitoring aangeeft dat geolocatieblokkering niet correct is geconfigureerd op een apparaat, moeten beheerders onmiddellijk actie ondernemen om de configuratie te herstellen. Het PowerShell-remediatiescript biedt een geautomatiseerde manier om de juiste instellingen te herstellen zonder handmatige interventie. Dit script controleert eerst de huidige configuratie en past vervolgens de registerinstellingen aan om ervoor te zorgen dat geolocatie correct is geblokkeerd. Het script kan worden uitgevoerd via verschillende mechanismen, waaronder Intune-remediatiescripts, Group Policy startup scripts, of handmatige uitvoering door beheerders.

Het remediatieproces begint met het identificeren van de oorzaak van de configuratiefout. Mogelijke oorzaken omvatten handmatige wijzigingen door gebruikers, conflicterende beleidsregels, of fouten in de oorspronkelijke implementatie. Beheerders moeten onderzoeken of de configuratiefout het gevolg is van een geïsoleerd incident of een systemisch probleem dat meerdere apparaten beïnvloedt. Als het een systemisch probleem is, moeten beheerders de root cause analyseren en corrigerende maatregelen nemen om te voorkomen dat het probleem opnieuw optreedt.

Na het herstellen van de configuratie moeten beheerders verifiëren dat de remediatie succesvol was door de instellingen opnieuw te controleren. Dit omvat het verifiëren van het registerpad en het controleren of de waarde correct is ingesteld. Bovendien moeten beheerders testen of geolocatie daadwerkelijk is geblokkeerd door te proberen een website te bezoeken die geolocatie probeert te gebruiken. Als de remediatie succesvol was, zou de website geen toegang moeten krijgen tot geolocatiegegevens en zou de gebruiker geen prompt moeten ontvangen om locatie te delen.

Voor apparaten die herhaaldelijk configuratiefouten vertonen, moeten beheerders overwegen om aanvullende maatregelen te nemen, zoals het beperken van lokale administratorrechten of het implementeren van aanvullende monitoring. In sommige gevallen kan het nodig zijn om gebruikers te informeren over het belang van geolocatieblokkering en hen te vragen om geen wijzigingen aan te brengen aan beveiligingsinstellingen. Organisaties moeten ook overwegen om automatische remediatie in te stellen, waarbij het systeem automatisch de configuratie herstelt wanneer afwijkingen worden gedetecteerd, zonder dat handmatige interventie nodig is.

Documentatie van remediatie-acties is essentieel voor compliance en auditing. Beheerders moeten bijhouden wanneer remediatie-acties zijn uitgevoerd, wat de oorzaak was van de configuratiefout, welke acties zijn ondernomen om het probleem op te lossen, en of de remediatie succesvol was. Deze documentatie helpt bij het identificeren van patronen in configuratiefouten en kan worden gebruikt om het beheerproces te verbeteren. Bovendien is deze documentatie waardevol voor audits, omdat het aantoont dat organisaties proactief problemen identificeren en oplossen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Privacy: Geolocation Blocked .DESCRIPTION CIS - Geolocation moet blocked (privacy). .NOTES Filename: geolocation-blocked.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\DefaultGeolocationSetting|Expected: 2 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "DefaultGeolocationSetting"; $ExpectedValue = 2 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "geolocation-blocked.ps1"; PolicyName = "Geolocation Blocked"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Geolocation blocked" }else { $r.Details += "Geolocation toegestaan" } }catch { $r.Details += "Niet geconfigureerd" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Geolocation blocked" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Gemiddeld privacyrisico door fysieke locatietracking. Websites kunnen realtime locaties van medewerkers volgen, bewegingspatronen analyseren en gevoelige locaties identificeren. Voor organisaties met veldwerkers of gevoelige bedrijfslocaties vormt dit een beveiligings- en privacyprobleem. De AVG vereist expliciete toestemming voor locatietracking. Standaardblokkering is een privacy-by-default benadering.

Management Samenvatting

Blokkeer de geolocatie-API om fysieke locatietracking te voorkomen. Configureer uitzonderingen voor legitieme bedrijfsapplicaties zoals kaartdiensten en bezorgtracking. Beschermt de privacy van medewerkers en voldoet aan AVG privacy-by-default. Implementatie: 30-60 minuten.