💼 Management Samenvatting
Het uitschakelen van shoppingfunctionaliteit in Microsoft Edge zorgt ervoor dat de browser uitsluitend wordt ingezet voor zakelijke doeleinden en voorkomt dat consumentgerichte signalen de professionele ervaring verstoren.
Aanbeveling
IMPLEMENT
Risico zonder
Low
Risk Score
2/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Microsoft Edge
Shoppingfuncties verzamelen gedragsdata over productinteresse, kortingscodes en prijsvergelijkingen. Deze gegevens verlaten het netwerk zodra Edge contact maakt met de Microsoft-shoppingdiensten en kunnen daardoor het principe van dataminimalisatie binnen de Nederlandse Baseline voor Veilige Cloud aantasten. Daarnaast leiden de meldingen tot verlies van concentratie bij medewerkers die in het kader van publieke dienstverlening met vertrouwelijke dossiers werken. Door de functies te blokkeren behouden organisaties een gecontroleerde, sobere browser die aansluit bij BIO- en AVG-eisen voor doelbinding en proportionaliteit.
PowerShell Modules Vereist
Primary API: Intune / GPO
Connection:
Required Modules:
Connection:
Registry-basedRequired Modules:
Implementatie
De maatregel bestaat uit het afdwingen van het beleid "Enable shopping in Microsoft Edge" op de status Disabled. Zodra dit beleid actief is verdwijnen kortingssuggesties, prijsvergelijkingen, shoppingmeldingen en automatische couponinjecties volledig. De gebruiker ervaart een stabiele werkbrowser, terwijl beheerders een consistente privacy- en compliancebasis kunnen aantonen.
Vereisten
Een zorgvuldig uitgewerkte maatregel begint met heldere technische randvoorwaarden. Alleen Microsoft Edge-versies die op Chromium 88 of hoger zijn gebaseerd ondersteunen het beleid "Enable shopping in Microsoft Edge". Werkplekken die nog een oudere build draaien moeten eerst via de reguliere Evergreen-servicering worden bijgewerkt, desnoods door het gefaseerd uitrollen van offline installers in geïsoleerde netwerken. Voor overheidsorganisaties is het essentieel dat ook de Extended Stable-channels en Windows Server Core-installaties deze update ontvangen. Zonder eenduidige versiebeheersing ontstaat het risico dat het beleid simpelweg niet beschikbaar is, waardoor gebruikers alsnog shoppingpop-ups zien en de organisatie een inconsistent compliancebeeld presenteert tijdens audits.
Naast versiebeheer zijn beheertooling en toegangsrechten cruciaal. Intune-beheerders hebben minimaal de rol Policy and Profile Manager nodig, terwijl GPO-beheerders lid moeten zijn van de domeinbeheerdersgroep of een delegated OU-rol met policy creatierechten. Documenteer wie verantwoordelijk is voor het configureren, testen en vrijgeven van het beleid en leg de changecontrol vast in het centrale CAB-register. Het verdient aanbeveling om een serviceaccount te gebruiken voor het importeren van admx-sjablonen in de centrale store, zodat later precies te herleiden is wie het beleid heeft gewijzigd. Deze governance voorkomt schaduwbeheer en ondersteunt de eis uit de Nederlandse Baseline voor Veilige Cloud om volledige traceerbaarheid te hebben.
Randvoorwaarde drie betreft netwerkomgeving en telemetrie. Omdat shoppingfuncties afhankelijk zijn van internetverbindingen naar Microsoft-domeinen, is het noodzakelijk om vooraf te toetsen of secure web gateways of SSL-inspectie aanvullend verkeer onderscheppen zodra de functie wordt uitgeschakeld. Sommige organisaties hanteren bijvoorbeeld een whitelistmodel waarbij blokkerend verkeer foutmeldingen veroorzaakt. Door het beleid in een gecontroleerde pilot te activeren kan worden vastgesteld of eventuele foutcode logging of policyverificatie extra firewallregels vereist. Tegelijkertijd moeten beheerders Intune Device Compliance-rapporten, Microsoft Defender for Endpoint-basislijnen of ConfigMgr-reporting inschakelen om de naleving inzichtelijk te maken. Zonder deze monitoring is het niet mogelijk om auditbewijslast te verzamelen.
Tot slot vraagt deze maatregel om organisatorische voorwaarden. Communicatieafdelingen moeten een korte boodschap voorbereiden voor medewerkers waarin het doel van de maatregel, de impact op dagelijkse werkzaamheden en het meldpunt voor ondersteuning wordt uitgelegd. Service-, adoptie- en securityteams dienen een gezamenlijk draaiboek te hebben voor uitzonderingen, bijvoorbeeld voor onderzoeksomgevingen waar prijsvergelijkingen als testscenario nodig zijn. Training in het registreren van afwijkingen binnen het changeproces en het bijwerken van het centrale architectuurregister van de Nederlandse Baseline voor Veilige Cloud completeert de voorbereidende fase. Door deze voorwaarden serieus te nemen ontstaat een stabiele basis voor implementatie en wordt de kans op regressies bij toekomstige Edge-updates aanzienlijk verkleind.
Een aanvullende vereiste is de beschikbaarheid van documentatiesjablonen en een gestandaardiseerde architectuurverantwoording. Zorg dat elke business unit beschikt over een actuele beschrijving van de bedrijfsprocessen die in Edge plaatsvinden en dat het shoppingverbod daarin expliciet wordt benoemd. Koppel deze beschrijving aan het centrale securityregister, zodat de compliance-afdeling onmiddellijk kan aantonen waarom de functie uitstaat en hoe dit past binnen de bredere Nederlandse Baseline voor Veilige Cloud. Neem daarbij op hoe lang logbestanden worden bewaard, welke escalatieroutes gelden bij incidenten en welke KPI's worden gehanteerd om naleving te meten. Met deze administratieve voorbereiding ontstaat een sluitende set vereisten die technische en organisatorische aspecten verbindt.
Implementatie
De implementatiefase begint met het inventariseren van de toepasselijke apparaatgroepen. Segmenteer werkplekken op basis van gevoeligheid, bijvoorbeeld bestuurslagen, ontwikkelomgevingen en generieke kantoorwerkplekken. In Intune kan dit met dynamische Azure AD-groepen op basis van OS-type, Edge-versie of compliance-tags. Binnen Group Policy is het raadzaam om afzonderlijke Organizational Units per gevoeligheidsniveau te gebruiken, zodat pilotgroepen geïsoleerd blijven. Leg in het changeverzoek vast dat de Edge-shoppingfunctionaliteit volledig wordt uitgeschakeld en beschrijf de expected behaviour, inclusief het verdwijnen van kortingsicoontjes in de adresbalk.
Configureer vervolgens het beleid. In Intune navigeer je naar de Settings Catalog, zoekt naar de categorie Edge\Shopping en stelt de instelling "Enable shopping in Microsoft Edge" in op Disabled. Voeg beschrijvende metadata toe, zoals het UUID van het CAB-besluit en de koppeling met het controleraamwerk van de Nederlandse Baseline voor Veilige Cloud. Binnen Group Policy importeer je de nieuwste MicrosoftEdge.admx naar de centrale store, open je de gewenste GPO en ga je naar Computer Configuration → Administrative Templates → Microsoft Edge → Shopping. Ook hier kies je Disabled en documenteer je de wijziging via Advanced Audit Policy zodat latere forensische controles inzicht houden in policy-mutaties.
Na configuratie volgt validatie. Bouw een testrapportage waarin je drie scenario's doorloopt: een bestaande Edge-gebruiker met reeds ingelogde profielgegevens, een nieuwe gebruiker zonder profiel en een beheeraccount met lokale adminrechten. Controleer of shoppingmeldingen verdwijnen na herstart van de browser én na een sign-out van Windows. Gebruik F12 Developer Tools om netwerkverkeer naar shopping.microsoft.com of vergelijkbare endpoints te monitoren en bevestig dat er geen nieuwe requests worden opgebouwd. Maak schermafbeeldingen en exporteer event logs (Microsoft-Windows-GroupPolicy/Operational en Intune Management Extension logs) als bewijslast. Alleen wanneer alle scenario's slagen, mag de implementatie naar productie.
De laatste stap is gefaseerde uitrol. Start met een pilot van maximaal tien procent van het werkplekbestand en monitor gedurende vijf werkdagen de gebruikerservaring. Verwerk incidentmeldingen in het ITSM-systeem en beoordeel of eventuele uitzonderingen gerechtvaardigd zijn. Na goedkeuring van het CAB wordt de policy naar de resterende groepen verspreid. Leg vast dat de Edge shoppingfunctie in de configuration management database een status "Permanent Disabled" krijgt, zodat andere projecten weten dat hier een harde beveiligingsmaatregel actief is. Rond de implementatie af met een nacontrole waarin rapportages uit Intune Compliance, Microsoft Defender en ConfigMgr op elkaar worden afgestemd om 100% naleving aan te tonen.
Borg de implementatie door automatisering. Gebruik bijvoorbeeld een PowerShell Desired State Configuration of Azure Automation-runbook dat wekelijks controleert of nieuwe apparaten binnen de juiste groep vallen. Laat hetzelfde proces changelogboeken synchroniseren met het security operations center, zodat elke aanpassing meteen een ticket genereert voor beoordeling. Documenteer deze automatiseringsketen in het technisch ontwerp en koppel het aan de specifieke controls binnen de Nederlandse Baseline voor Veilige Cloud. Zo blijft de inrichting duurzaam en bestand tegen personeelswisselingen of reorganisaties.
Compliance
Het uitschakelen van shoppingfunctionaliteit raakt direct aan de beginselen van de AVG, specifiek artikel 5 dat dataminimalisatie en doelbinding voorschrijft. Door de functie te blokkeren wordt voorkomen dat Edge aanvullende gedragsdata over winkelinteresse verzamelt en verstuurt naar Microsoft. Voor publieke organisaties betekent dit dat zij kunnen aantonen dat persoonsgegevens alleen worden verwerkt wanneer dit noodzakelijk is voor de uitvoering van hun wettelijke taak. Bovendien wordt de zakelijke browsecontext gescheiden van privéaankopen, waardoor het risico op vermenging van persoonsgegevens uit verschillende verwerkingsdoeleinden verdwijnt. Daarnaast sluit de maatregel aan bij artikel 25 van de AVG (privacy by design en by default). Door shoppingfunctionaliteit standaard uit te schakelen en dit via Intune of GPO af te dwingen, toon je aan dat privacy-instellingen op het meest beschermende niveau staan. In het kader van de Baseline Informatiebeveiliging Overheid (BIO) ondersteunt deze maatregel controle 08.01.02, die voorschrijft dat toegang tot systemen en functionaliteiten beperkt moet blijven tot strikt noodzakelijke elementen. Shoppingfeatures hebben geen plaats binnen het primaire proces van een overheidsorganisatie en kunnen zelfs aanleiding geven tot reputatieschade wanneer burgers waarnemen dat ambtenaren kortingstips krijgen tijdens het verwerken van dossiers. Tijdens audits is het essentieel om zowel configuratiedocumentatie als monitoringrapportages beschikbaar te hebben. Auditoren vragen doorgaans naar het formele besluit, de change-registratie, het Intune- of GPO-rapport dat de Disabled-status bevestigt en eventueel netwerklogs waaruit blijkt dat shoppingendpoints niet langer worden aangeroepen. Voor AVG-verantwoordingsplicht is het verstandig om ook een Data Protection Impact Assessment te actualiseren waarin expliciet staat dat shoppingfunctionaliteit als niet-noodzakelijk is beoordeeld. Zo ontstaat een volledig complianceverhaal dat juridisch en technisch sluitend is. Tot slot speelt bewustwording een rol. Het privacybeleid moet beschrijven dat consumentgerichte add-ons en browserfuncties standaard worden uitgezet om inzicht in surfgedrag te beperken. Door het beleid op te nemen in het register van verwerkingsactiviteiten en te koppelen aan het security awareness-programma kan de organisatie aantonen dat privacybescherming niet alleen een technische, maar ook een organisatorische maatregel is. Dit totaalpakket voldoet aan de verwachtingen van toezichthouders zoals de Autoriteit Persoonsgegevens en interne auditcommissies. Een laatste compliancecomponent betreft bewijsvoering en bewaartermijnen. Leg vast welke audit-bewijzen worden opgeslagen, waar ze zich bevinden en hoe lang ze beschikbaar blijven. Combineer Intune-exporten, PowerShell-rapporten en screenshots tot een eenduidig dossier dat voldoet aan de zevenjarige bewaarplicht en wijs een proceseigenaar aan die jaarlijks verifieert of het dossier volledig is. Daarmee borg je dat de Nederlandse Baseline voor Veilige Cloud niet slechts een beleidsdocument is, maar ook daadwerkelijk wordt ondersteund door aantoonbare controles en duurzame archivering.
Monitoring
Effectieve monitoring combineert configuratiecontrole met gebruikersfeedback. Start met het opzetten van een Intune-rapportage die dagelijks controleert of het beleid "Enable shopping in Microsoft Edge" de status Compliant heeft op alle toegewezen apparaten. Exporteer deze gegevens naar Microsoft Sentinel of een SIEM naar keuze, zodat trends zichtbaar worden en afwijkingen direct een alert genereren. Gebruik daarnaast de DeviceQuery-functionaliteit van Defender for Endpoint om steekproefsgewijs te controleren of het registerpad HKLM\SOFTWARE\Policies\Microsoft\Edge\Shopping geconfigureerd staat en of de instelling daadwerkelijk Disabled is. Combineer de resultaten met een maandelijkse steekproef van Edge Diagnostic Data om te bevestigen dat er geen uitgaand verkeer naar shoppingdiensten wordt opgebouwd.
Naast technische telemetrie moet ook de gebruikerservaring worden gevolgd. Richt binnen het ITSM-systeem een categorie in voor browserafleiding of verdachte pop-ups, zodat meldingen eenvoudig te labelen zijn. Wanneer een gebruiker alsnog kortingsicoontjes ziet, kan het monitoringteam direct het apparaat vergelijken met de Intune-compliancelijst en de lokale registry-waarde. Documenteer elk incident inclusief de oorzaak, bijvoorbeeld een apparaat dat al maanden offline was of een beleidsconflict met een lokaal ingestelde Edge-flag. Deze inzichten helpen bij het verfijnen van de uitrol en leveren bewijs dat de organisatie continu toezicht houdt op de maatregel.
Voor organisaties die werken met GPO's is het verstandig om Advanced Group Policy Management (AGPM) of ten minste sysvol auditing in te zetten. Met deze tooling kan exact worden vastgesteld wanneer het shoppingbeleid voor het laatst is gewijzigd en door wie. Combineer dat met scheduled tasks die via PowerShell de gpresult-rapporten verzamelen en uploaden naar een centrale SharePoint-site. Zo ontstaat een historisch overzicht waarmee auditors of security officers kunnen aantonen dat de instelling permanent actief is geweest. Voeg eventueel Configuration Manager-baselines toe voor legacy-apparaten, zodat ook zij periodiek rapporteren over de aanwezigheid van de registry-instelling.
Maak de monitoringcyclus compleet door meetwaarden te koppelen aan risicodrempels. Definieer bijvoorbeeld dat elke afwijking boven de vijf procent onmiddellijk een Major-incident veroorzaakt en dat herhaalde afwijkingen leiden tot een probleemrecord binnen het ITIL-proces. Documenteer deze afspraken en deel ze met het Security Operations Center, zodat de automatische scripts en dashboards dezelfde interpretatie hanteren. Op die manier ontstaat een sluitende keten van detectie, analyse en opvolging die de waarde van de technische scriptreferentie maximaliseert.
Gebruik PowerShell-script shopping-disabled.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring uitwijst dat shoppingfunctionaliteit toch is geactiveerd, moet er een gestroomlijnd herstelproces klaarstaan. Begin met het analyseren van de oorzaak: is het apparaat buiten beheer geraakt, heeft een gebruiker lokale flags aangepast of heeft een recente Edge-update de instelling overschreven? Documenteer deze rootcause in het incidentrecord en bepaal of er aanvullende maatregelen nodig zijn, zoals het herstarten van de Intune Management Extension of het vernieuwen van de Group Policy-cache. Door eerst te begrijpen waarom de afwijking ontstond, voorkom je herhaling en voldoe je aan het principe van continue verbetering binnen de Nederlandse Baseline voor Veilige Cloud.
Vervolgens wordt de technische remediatie uitgevoerd. In Intune kan dit door het beleid opnieuw te targeten of door een Force Sync te starten via het bedrijfsportaal. Voor GPO-omgevingen is een geforceerde policy-update noodzakelijk, aangevuld met het wissen van eventuele lokale registry-waarden die de instelling blokkeren. Zorg ervoor dat het herstel plaatsvindt binnen de maximale responstijd die in het service level agreement is vastgelegd, bijvoorbeeld vier uur voor hoogwaardige informatieklassen. Leg elke actie vast in het ITSM-systeem, inclusief tijdstempel, verantwoordelijke engineer en bevestiging van de gebruiker of het apparaat.
Na het oplossen van de afwijking moet er een verificatiemoment komen. Herhaal de monitoringcontrole, voer een handmatige check in Edge uit en maak een screenshot als bewijslast. Laat het incident pas sluiten nadat de lijnmanager of de proceseigenaar informatiebeveiliging heeft bevestigd dat de risico's zijn gemitigeerd. Indien meerdere apparaten dezelfde afwijking vertonen, start dan een problem management-proces om structurele verbeteringen door te voeren, zoals extra hardening, een update aan het script of een wijziging in de deploymentvolgorde.
Het is verstandig om lessons learned te verzamelen en deze te delen in het maandelijkse securityboard. Beschrijf welke indicatoren de afwijking hebben onthuld, hoe snel er is gereageerd en welke maatregelen worden getroffen om de kans op herhaling te minimaliseren. Zo blijft de organisatie transparant naar auditors en directie over de effectiviteit van de maatregel. Bovendien kan het team verbeterkansen identificeren, zoals het uitbreiden van het script met automatische self-healing of het toevoegen van notificaties aan Microsoft Teams-kanalen.
Gebruik PowerShell-script shopping-disabled.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- BIO: 08.01.02 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Privacy: Shopping Disabled
.DESCRIPTION
CIS - Shopping features moeten disabled (tracking).
.NOTES
Filename: shopping-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\EdgeShoppingAssistantEnabled|Expected: 0
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "EdgeShoppingAssistantEnabled"; $ExpectedValue = 0
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "shopping-disabled.ps1"; PolicyName = "Shopping Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default disabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Shopping disabled" }else { $r.Details += "Shopping enabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Shopping disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Low: Low: Shopping features = privacy leak + workplace distraction.
Management Samenvatting
Disable Edge shopping features. Professional browser. No coupons/price comparisons. Privacy. Implementatie: 1-2 uur.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE