Microsoft Edge: Website-machtigingen Beperken Voor Privacy-bescherming

Browsermachtigingen voor hardware-sensoren zijn een aantrekkelijk doelwit voor kwaadwillenden omdat sociale engineering sneller succes oplevert dan het uitbuiten van technische kwetsbaarheden. Phishingsites en malafide advertenties imiteren legitieme prompts zoals "Sta locatie toe om verder te gaan", waardoor gebruikers routinematig op toestaan klikken. Vanaf dat moment kan een website de GPS-chip continu bevragen, de microfoon activeren tijdens vertrouwelijke overleggen of de camera gebruiken voor visuele spionage. In overheidsomgevingen leidt dat tot reële risico’s: denk aan stadsinspecteurs die locaties doorgeven, rechercheurs die verhoren voorbereiden of beleidsmakers die crisisoverleggen voeren. Zonder centrale blokkade blijft elke individuele gebruiker verantwoordelijk voor het interpreteren van prompts, wat in de praktijk onhaalbaar is. Door Edge te configureren op blokken als standaard, verschuift de beslissingsbevoegdheid naar het beheerteam dat de risico’s overziet, uitzonderingen motiveert en logging kan activeren.

Implementatie

Deze maatregel dwingt Microsoft Edge tot streng privacygedrag via drie beleidsinstellingen: DefaultGeolocationSetting krijgt waarde 2 zodat alle sites standaard geen locatie mogen opvragen, terwijl VideoCaptureAllowed en AudioCaptureAllowed op False worden gezet om camera en microfoon uit te schakelen. Eventuele uitzonderingen worden uitsluitend via VideoCaptureAllowedUrls en AudioCaptureAllowedUrls geconfigureerd en zijn daarmee herleidbaar naar een businesscase en een proceseigenaar. De policies worden uitgerold via de Intune Settings Catalog of via on-premises Group Policy met de recentste Edge-administrative templates. Tijdens de implementatie wordt getest met kritieke processen zoals digitale balies en burgerportalen en wordt vastgelegd dat Microsoft Teams de native desktopclient gebruikt zodat vergaderingen niet in de browser hoeven. Het resultaat is een gecentraliseerd privacybeleid dat AVG Artikel 32, BIO 11.01.05 en ISO 27001-controles ondersteunt doordat sensormachtigingen niet langer een individuele keuze zijn, maar een beheerde ontwerpbeslissing.

Vereisten

Een succesvolle beperking van Edge-site-machtigingen begint bij een glashelder beeld van de digitale werkplek. Inventariseer welke apparaten Microsoft Edge als primaire browser gebruiken, welke Windows-versies actief zijn en of er hybride scenario's bestaan met Windows 365, Azure Virtual Desktop of gedeelde publieksbalies. Koppel deze inventarisatie meteen aan de gegevensclassificaties die binnen de organisatie gelden. Wanneer persoonsgegevens van burgers, dossiers van hulpverleners of onderzoeksdata via webapplicaties worden geraadpleegd, is het noodzakelijk om vooraf te weten welke sensoren überhaupt vereist zijn om de primaire taken uit te voeren. Breng eveneens in kaart of er legacy line-of-business webapps zijn die van camera of microfoon afhankelijk zijn. Indien zulke apps bestaan, documenteer dan de functionele noodzaak, betrokken proceseigenaren en de gewenste toegestane URL's om later uitzonderingen gecontroleerd te kunnen configureren.

Controleer vervolgens of alle betrokken apparaten via Microsoft Intune of groepsbeleid beheerd worden, want alleen dan kan de instelling uniform worden afgedwongen. Voor Intune is minimaal Windows 10 versie 20H2 vereist samen met de recente Edge-beheertemplates. In GPO-omgevingen horen de meest actuele ADMX-bestanden in de centrale store aanwezig te zijn en moeten beheerders schrijfrechten hebben op de OU's waarin de apparaten zich bevinden. Documenteer ook welke identiteitsoplossing de organisatie gebruikt voor Edge-profielen, zoals Entra ID of hybride accounts, omdat profielsynchronisatie invloed heeft op het aantal toestemmingen dat gebruikers op andere machines ervaren. Wanneer Bring Your Own Device-scenario's bestaan, moet vooraf helder zijn of Edge for Business in een gescheiden profiel draait zodat organisatiebeleid niet ongezien op privéprofielen terechtkomt.

Naast de technische componenten horen er duidelijke organisatorische afspraken te liggen. IT-servicemanagement moet beleid hebben voor het registreren van uitzonderingsverzoeken zodat een productowner aantoonbaar motiveert waarom een specifieke website camera- of microfoonrechten nodig heeft. Het privacyteam en de functionaris gegevensbescherming dienen bereikbaar te zijn om mee te beslissen over sensorgebruik, zeker wanneer bijzondere persoonsgegevens kunnen worden verwerkt. Security operations moet inzicht hebben in welke telemetrie beschikbaar komt zodra de policies actief zijn, bijvoorbeeld via Microsoft Defender XDR, Intune device compliance-logs of het PowerShell-script dat bij deze maatregel hoort. Vergeet ook niet dat communicatieafdelingen trainingsmateriaal moeten voorbereiden om gebruikers uit te leggen waarom pop-ups verdwijnen en welke procedure geldt om een uitzondering aan te vragen.

Tot slot moeten ondersteunende diensten zorgen voor een gecontroleerde test- en uitrolstraat. Reserveer een representatieve pilotgroep waarin verschillende persona's zijn opgenomen: veldwerkers met tablets, kantoorfuncties met dockingstations, beleidsanalisten die webbased dashboards gebruiken en eventuele externe partners. Zorg dat deze groep volledig in kaart is gebracht binnen Intune dynamische groepen of Active Directory-securitygroepen, zodat policies eerst daar landen. Monitor gedurende de pilot actief of randapparatuur zoals USB-webcams of bluetooth-headsets onverwacht gedrag vertonen zodra Edge geen toegang meer krijgt. Plan pas daarna de brede uitrol in change management, inclusief een uitrolkalender, terugvalscenario en meetbare succescriteria zoals het uitblijven van nieuwe toestemmingsprompts in servicedeskregistraties. Alleen wanneer al deze randvoorwaarden aantoonbaar aanwezig zijn, kan de organisatie met vertrouwen doorgaan naar de implementatiefase.

Implementatie

De implementatie start met het creëren van een gecontroleerde beleidsset binnen Microsoft Intune. Maak een nieuwe Settings Catalog-policy aan en kies de categorie Microsoft Edge. Selecteer de instellingen DefaultGeolocationSetting, VideoCaptureAllowed en AudioCaptureAllowed. Stel de locatiebeleidwaarde op blokkeren (2) en zet zowel video als audio vast op niet toegestaan. Geef de policy een herkenbare naam, bijvoorbeeld "Edge - Privacy Sensors Blokkeren", en documenteer binnen de Intune-beschrijving welk change-nummer of wijzigingsverzoek eraan gekoppeld is. Gebruik dynamische apparaatgroepen die op Windows-versie, beheerscenario en eventueel afdeling filteren zodat alleen beheerde endpoints het beleid ontvangen. Verifieer dat de policy in Intune een status "Succes" bereikt voordat je verdergaat met uitzonderingen. Wanneer specifieke webapplicaties toch sensortoegang vereisen, leg je die uitzonderingen vast via de instellingen VideoCaptureAllowedUrls en AudioCaptureAllowedUrls. Verzamel vooraf de volledige URL-patronen inclusief protocol en poort, omdat Edge-beleid alleen exact gedefinieerde adressen toestaat. Documenteer per uitzondering wie de proceseigenaar is, welke gegevens worden verwerkt en welk beveiligingsniveau geldt. Voeg vervolgens de URL's toe in het Intune-profiel en herhaal de policy-evaluatie. Gebruik het ingebouwde rapport "Device and user check-in status" om te controleren of apparaten de laatste versie van de policy hebben opgehaald. Tijdens deze fase voer je meteen een functionele test uit waarbij je een goedgekeurde website bezoekt om te verifiëren dat Edge nog steeds een prompt toont en dat de aanvraag alleen wordt toegestaan als de URL in de lijst staat. Parallel aan Intune hoort er een fallback-scenario voor omgevingen die voorlopig op groepsbeleid blijven. Download de meest recente Microsoft Edge ADMX uit het officiële Microsoft Download Center en kopieer de bestanden naar de centrale PolicyDefinitions-map. Maak vervolgens of hergebruik een GPO die op de relevante computer-OU wordt gekoppeld en navigeer naar Computer Configuration → Administrative Templates → Microsoft Edge → Content settings. Stel de waarden voor Default geolocation setting, Allow video capture en Allow audio capture gelijk aan de Intune-configuratie. Gebruik Group Policy Results of de PowerShell-cmdlet Get-GPResultantSetOfPolicy om te verifiëren dat de instellingen effectief worden toegepast. Documenteer het tijdstip waarop de GPO is gelinkt zodat bij audits duidelijk is wanneer de maatregel actief werd. Na configuratie volgt een grondige testcyclus. Laat pilotgebruikers Edge openen, navigeer naar websites die voorheen sensoren opvroegen en controleer dat er geen prompts meer verschijnen. Observeer tegelijk de Windows Privacy Dashboard om te zien dat Edge niet langer als recente gebruiker van locatie, camera of microfoon wordt vermeld. Gebruik het script code/edge/privacy/site-permissions-restricted.ps1 in de modus Invoke-Monitoring om beleidsstatussen te verzamelen en stuur de output naar een centraal logboek of een Microsoft Sentinel-workspace. Documenteer met Intune-, Defender- en servicedeskdata of er regressies zijn, zoals webapplicaties die niet meer functioneren. Rond de implementatie af met een change-evaluatie waarin lessons learned, exception requests en besluitvorming van de privacy officer zijn vastgelegd. Pas wanneer bestuur en security officer de resultaten hebben goedgekeurd, kan de maatregel als volledig geïmplementeerd worden beschouwd.

Compliance

Het beperken van site-machtigingen in Edge ondersteunt meerdere wettelijke kaders doordat het direct een risicobeperkende maatregel vormt tegen ongeautoriseerde verwerking van persoonsgegevens. Door sensoren standaard uit te schakelen wordt dataminimalisatie geborgd: er kunnen simpelweg geen locatie- of audiofragmenten worden verzameld zonder voorafgaande toestemming van de organisatie. Dat is essentieel voor overheidsinstellingen die vaak gevoelige informatie verwerken, zoals gegevens over gezondheid, strafrecht en integriteitsonderzoek. De maatregel maakt het eenvoudiger om aan te tonen dat privacy by design wordt toegepast, omdat hardwarefuncties alleen nog via centraal goedgekeurde uitzonderingen worden ingeschakeld. Hierdoor sluit de aanpak naadloos aan op de uitgangspunten van de Nederlandse Baseline voor Veilige Cloud. Voor de AVG is vooral Artikel 32 relevant. Dat artikel verplicht organisaties om passende technische en organisatorische maatregelen te nemen, afgestemd op de risico's van de verwerking. Door Edge-site-machtigingen te blokkeren, verlagen we het risico op heimelijke opname van gesprekken of het volgen van geografische bewegingen van ambtenaren en burgers. Documenteer per uitzondering welke grondslag in de AVG wordt gebruikt, bijvoorbeeld toestemming of uitvoering van publieke taak, en leg vast hoe lang de sensor wordt ingeschakeld. Koppel deze besluitvorming aan het register van verwerkingsactiviteiten en aan data protection impact assessments wanneer er sprake is van grootschalige monitoring. Zo ontstaat een sluitende audittrail waarmee de functionaris gegevensbescherming inzicht behoudt. BIO 11.01.05 vraagt om beheer van toegangsrechten tot faciliteiten en voorzieningen. In digitale context gaat het om de controle dat alleen geautoriseerde processen toegang krijgen tot middelen zoals camera's en microfoons. Door Edge centraal te configureren via Intune of GPO wordt exact vastgelegd welke apparaten en webapplicaties gebruik mogen maken van de hardware. Combineer dit met logging vanuit Intune, Windows Event Viewer en Defender for Endpoint om aan te tonen dat ongeautoriseerde verzoeken worden geblokkeerd en eventueel gemeld. Deze bewijsvoering kan direct in auditdossiers worden opgenomen als onderdeel van de jaarlijkse BIO-evaluatie. ISO 27001-controle A.11.2.9 richt zich op het veilig gebruik van apparatuur. In veel organisaties wordt deze controle ingevuld met fysieke beveiliging, maar browsers vormen eveneens een toegangspoort tot sensoren. Door policies af te dwingen die Edge verhinderen om hardware te gebruiken zonder expliciete toestemming, toont de organisatie aan dat zij apparatuurgebruik ook op softwarelaag reguleert. Leg vast hoe de configuraties worden beheerd, wie wijzigingsrechten heeft en welke controles bestaan om af te wijken van het standaardbeleid. Combineer dit met awareness-training zodat medewerkers begrijpen waarom het gebruik van privétools voor vergaderingen in de browser mogelijk wordt beperkt. Voor compliance-rapportage is consequente documentatie noodzakelijk. Bewaar de Intune- of GPO-export, screenshots van beleidsinstellingen, resultaten van het monitoringscript en change management-verslagen minimaal zeven jaar, conform de bewaartermijn voor auditbewijzen binnen dit project. Koppel deze bewijsstukken aan het centrale register voor de Nederlandse Baseline voor Veilige Cloud zodat auditors snel kunnen vaststellen dat zowel technische maatregelen als organisatorische processen aanwezig zijn. Vergeet niet om ook de communicatie naar medewerkers en de afgehandelde uitzonderingsverzoeken te archiveren, want die laten zien dat de maatregel proportioneel is uitgevoerd en dat rechten van betrokkenen, zoals transparantie en bezwaar, zijn gerespecteerd.

Monitoring

Gebruik PowerShell-script site-permissions-restricted.ps1 (functie Invoke-Monitoring) – Monitoring van deze maatregel draait niet alleen om constateren of policies zijn gezet, maar vooral om voortdurend valideren dat Edge zich gedraagt zoals bedoeld. Begin met meetpunten over drie lagen: configuratie, gebruikerservaring en security alerts. Op configuratieniveau wil je weten of Intune of GPO de juiste waarden blijven pushen. Op gebruikersniveau controleer je of er geen onverwachte prompts of klachten binnenkomen. Op securityniveau verzamel je signalen dat malafide websites nog steeds proberen sensorrechten te verkrijgen. Door deze lagen samen te brengen ontstaat een integraal beeld van de effectiviteit. Het PowerShell-script site-permissions-restricted.ps1 vormt de technische basis. In de modus Invoke-Monitoring leest het script de relevante registry- en policywaarden uit en vergelijkt die met de gewenste configuratie. Automatiseer het script via geplande taken of Intune proactive remediation zodat elke werkplek minimaal eenmaal per dag een statusrapport terugstuurt. Laat het script resultaten wegschrijven in JSON en upload deze naar een centrale Log Analytics-workspace. Gebruik Kusto-query's om afwijkingen proactief te detecteren; stel bijvoorbeeld een alert in wanneer meer dan vijf procent van de apparaten aangeeft dat een policywaarde weer op Allow is teruggevallen. Koppel monitoringdata aan andere telemetriebronnen. Microsoft Defender for Endpoint registreert wanneer Edge of een ander proces toegang vraagt tot camera, microfoon of locatie. Door deze events te correleren met de beleidsstatus uit het script kun je identificeren of ongewenste toegangspogingen plaatsvinden. Intune levert compliance-rapportages waarin je ziet hoeveel apparaten de policy succesvol hebben toegepast. Voeg hieraan servicedeskdata toe zodat je begrijpt of gebruikers massaal verzoeken indienen of dat er juist nauwelijks vragen binnenkomen, wat kan wijzen op een soepel lopende maatregel. Definieer duidelijke KPI's voor monitoring, zoals 99 procent van de apparaten rapporteert een geblokkeerde status of het aantal locatieprompt-gerelateerde tickets daalt binnen een maand met 80 procent. Rapporteer deze KPI's wekelijks aan de CISO- of privacyboard en koppel ze aan de bredere governance rond de Nederlandse Baseline voor Veilige Cloud. Creëer dashboards in Microsoft Sentinel of Power BI waarin realtime zichtbaar is hoe de policies presteren, inclusief trendgrafieken en heatmaps over afdelingen of locaties. Zo krijgt het management direct inzicht in naleving en kan het sneller ingrijpen wanneer cijfers afwijken. Monitoring eindigt niet bij rapportage; er moet ook een duidelijk responsmechanisme bestaan. Wanneer het script of Sentinel aangeeft dat een apparaat de sensorblokkade heeft verloren, moet security operations automatisch een incidentticket aanmaken. Het ticket beschrijft de betrokken gebruiker, de waargenomen afwijking en de verwachte hersteltijd. Combineer dat met een runbook waarin stap voor stap staat hoe een analist de policy opnieuw forceert, hoe eventueel misbruikonderzoek wordt uitgevoerd en hoe de bevindingen worden teruggekoppeld naar de privacy officer. Door monitoring, incidentrespons en lessons learned te verbinden, blijft de maatregel duurzaam effectief..

Remediatie

Gebruik PowerShell-script site-permissions-restricted.ps1 (functie Invoke-Remediation) – Remediatie is nodig zodra een apparaat, gebruiker of website buiten de afgesproken kaders valt. Denk aan een browserprofiel waarin iemand handmatig instellingen heeft gewijzigd, een niet-beheerd device dat zich aanmeldt of een nieuw SaaS-platform dat abusievelijk sensortoegang vraagt. Begin met een duidelijk gedefinieerde trigger: monitoringalerts, servicedeskmeldingen of bevindingen uit audits. Zodra zo'n trigger wordt geactiveerd, overhandigt security operations de case aan het team dat het script site-permissions-restricted.ps1 beheert. Zij draaien het script in de modus Invoke-Remediation, waarmee de gewenste registrywaarden opnieuw worden gezet en de Edge-policies geforceerd worden herladen. Het script voert standaardcontroles uit, maar combineer het met aanvullende stappen. Na het forceren van de registrywaarden wordt een Edge-procesrestart aanbevolen zodat policies daadwerkelijk actief zijn. Indien de afwijking is ontstaan doordat een GPO of Intune-profiel niet meer gekoppeld was, moet de beheerder de groepslidmaatschappen en scopingfilters controleren. Leg vast welke wijziging is doorgevoerd en koppel die aan het oorspronkelijke incidentnummer. Wanneer uitzonderings-URL's nodig zijn, behandel deze volgens de governance: proceseigenaar levert een onderbouwde businesscase, privacy officer geeft expliciete goedkeuring en security legt vast welke logging beschikbaar blijft. Elke remediatie moet gepaard gaan met heldere communicatie naar de betrokken gebruiker of afdeling. Leg uit waarom de beperking opnieuw is toegepast, welke risico's er speelden en hoe men in de toekomst voorkomt dat policies worden aangepast. Lever zo nodig instructies hoe men tijdelijke functionaliteitsbehoeften kan melden via het servicedeskportaal. Houd rekening met situaties waarin gebruikers afhankelijk waren van een browsergebaseerde vergaderoplossing; bied dan een alternatief zoals de Microsoft Teams-desktopapp of een goedgekeurde Progressive Web App. Nadat het script is uitgevoerd, volgt een validatie. Controleer via Intune, GPO Resultant Set of Policy en het monitoringscript of het apparaat nu de juiste status heeft. Laat de gebruiker opnieuw testen dat reguliere websites correct functioneren en dat eventuele uitzonderingssites een gecontroleerde prompt tonen. Documenteer de bevindingen in het incidentrecord en voeg relevante logbestanden, screenshots en tijdstempels toe. Wanneer meerdere apparaten hetzelfde gedrag vertonen, schaal het incident op tot een probleemonderzoek, zodat een structurele oorzaak wordt achterhaald. Sluit elke remediatie af met een korte evaluatie in het change- of probleemoverleg. Bespreek of er procesaanpassingen nodig zijn, bijvoorbeeld het aanscherpen van adminrechten, het verbeteren van onboarding van nieuwe applicaties of het toevoegen van extra waarschuwingen in Edge. Neem lessen op in het kennisbeheer zodat toekomstige analisten sneller dezelfde stap volgen. Rapporteer maandelijks hoeveel remediaties zijn uitgevoerd, hoeveel tijd dit kostte en of er trends zichtbaar zijn per afdeling. Door remediatie te koppelen aan continue verbetering blijft de blokkade van site-machtigingen niet slechts een momentopname, maar een robuuste controle die vertrouwen wekt bij auditors, bestuurders en burgers..

Compliance & Frameworks

• BIO: 11.01.05 -
• ISO 27001:2022: A.11.2.9 -

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Restrict Edge site permissions: Block location/camera/mic. Privacy protection. Teams unaffected (native app). Implementatie: 1-3 uur.

• Implementatietijd: 3 uur
• FTE required: 0.01 FTE