BIO 11.01.01

Speech Recognition Uitgeschakeld

📅 2025-10-30
⏱️ 4 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Het uitschakelen van webgebaseerde spraakherkenning in Microsoft Edge voorkomt dat microfoongegevens zonder expliciete toestemming naar externe diensten worden gestuurd en beschermt zo vertrouwelijke gesprekken, biometrische kenmerken en operationele details.

Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
6/10
Implementatie
0.75u (tech: 0.25u)
Van toepassing op:
Edge

De beleidsinstelling SpeechRecognitionEnabled bepaalt of websites via de Web Speech API audio kunnen opnemen, naar openbare cloudservices kunnen sturen en daar kunnen laten analyseren. In een overheidscontext is dat risicovol omdat vergaderingen, telefonische ondersteuning, zorggesprekken of juridische consultaties onbedoeld kunnen worden vastgelegd. Zodra audio de browser verlaat, is het vrijwel onmogelijk om te controleren of verwerking uitsluitend plaatsvindt binnen door de organisatie goedgekeurde regio's, of om gebruikersrechten zoals inzage en verwijdering nog te waarborgen. Bovendien ontstaat het risico op stemprofielanalyse waardoor individuen herkenbaar blijven, zelfs als andere persoonsgegevens zijn geanonimiseerd. Door deze functie proactief uit te schakelen, begrenst de organisatie de aanvalsoppervlakte, blijft gevoelige audio binnen de vertrouwde omgeving en wordt voorkomen dat medewerkers intuïtief vertrouwelijke informatie inspreken in websites die niet door security teams zijn beoordeeld.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

De instelling wordt via Intune, Group Policy of het PowerShell-script geconfigureerd zodat HKLM:\SOFTWARE\Policies\Microsoft\Edge\SpeechRecognitionEnabled de waarde 0 krijgt. Daardoor kan Edge geen microfoonverkeer meer doorgeven aan webpagina's en verschijnt er een duidelijke foutmelding wanneer een site probeert om spraakopdrachten te activeren. Voor medewerkers die wel spraakfunctionaliteit nodig hebben, wordt verwezen naar lokaal beheerde oplossingen zoals Windows Speech Recognition of Teams transcriptie met vooraf beoordeelde dataverwerking.

Implementatie

Gebruik PowerShell-script speech-recognition-disabled.ps1 (functie Invoke-Remediation) – PowerShell script.

Een succesvolle implementatie van het uitschakelen van webgebaseerde spraakherkenning begint met een beleidsmatige onderbouwing: het securityteam documenteert waarom microfoongegevens niet langer door browsers mogen worden gedeeld en koppelt dit aan de Nederlandse Baseline voor Veilige Cloud, de BIO en interne privacybeleidscodes. Vervolgens wordt bepaald welke gebruikersgroepen een legitieme behoefte hebben aan dicteerfuncties. Voor deze groep wordt een alternatief traject uitgewerkt, bijvoorbeeld het gebruik van Windows Speech Recognition, Teams live transcriptie of gespecialiseerde applicaties die lokaal draaien en vooraf door de privacy officer zijn beoordeeld. Deze voorbereidende inventarisatie voorkomt weerstand tijdens de uitrol omdat medewerkers direct een betrouwbaar alternatief aangereikt krijgen. Daarna volgt de technische configuratie. In Intune wordt een configuratieprofiel voor Windows 10 en hoger aangemaakt via de instellingen-catalogus. Onder Microsoft Edge > Privacy wordt de instelling SpeechRecognitionEnabled toegevoegd en op Disabled gezet. Organisaties die met Group Policy werken importeren de meest recente ADMX-sjablonen van Microsoft Edge en configureren hetzelfde beleid onder Computer Configuration > Administrative Templates > Microsoft Edge. Waar apparaten nog niet centraal worden beheerd, kan het PowerShell-script speech-recognition-disabled.ps1 uit de map code/edge/privacy gebruikt worden; dit script schrijft de juiste registerwaarde weg en valideert na afloop of de wijziging succesvol is verwerkt. Lokale debugging is verplicht voordat organisatiebrede uitrol plaatsvindt. Het script wordt daarom eerst getest op een representatieve set endpoints, inclusief scenario's met meerdere Edge-profielen, met beperkte rechten en met andere browserextensies die microfoontoegang vragen. Tijdens deze tests wordt gecontroleerd of Edge consequent de waarde 0 leest, of instellingen niet worden overschreven door andere configuratieprofielen en of DeviceHealthAttestation in Intune geen conflicten detecteert. Eventuele afwijkingen worden gedocumenteerd en opgelost voordat de beleidsregel verder wordt uitgerold. Communicatie en verandermanagement vormen de volgende stap. Medewerkers ontvangen via intranet en e-mail een uitleg over het waarom van de maatregel, inclusief voorbeelden van situaties waarin spraakherkenning tot ongewenste dataverwerking kan leiden. Daarnaast wordt een korte handleiding gedeeld waarin wordt uitgelegd hoe gebruikers lokaal kunnen dicteren met Windows-functies en hoe zij de servicedesk kunnen contacteren bij vragen. Deze communicatie benadrukt dat het beleid niet bedoeld is als beperking van toegankelijkheid, maar als bescherming van informatie die anders buiten de organisatie terecht zou komen. De daadwerkelijke uitrol gebeurt gefaseerd. Eerst wordt een pilotgroep gekozen, bij voorkeur bestaande uit het IT-team en een selectie van gebruikers die bekendstaan om intensief browsergebruik. Gedurende minimaal twee weken worden logbestanden verzameld om te verifiëren dat de registerwaarde intact blijft, dat Edge geen uitzonderingen toont en dat alternatieve spraakdiensten naar behoren functioneren. Pas na een positieve evaluatie wordt het profiel toegewezen aan alle productieapparaten. Intune-rapportages tonen welke endpoints het beleid hebben ontvangen; apparaten die afwijken worden automatisch opnieuw gesynchroniseerd of krijgen het PowerShell-remediatiescript toegewezen. Tot slot worden operationele processen bijgewerkt. Het change record wordt opgenomen in het Configuratie Management Database (CMDB), er wordt vastgelegd welke teams eigenaar zijn van de instelling, en er wordt een controlelijst toegevoegd aan onboardingprocedures zodat nieuwe werkplekken direct met het juiste beleid worden uitgerold. Door deze stappen planmatig te doorlopen ontstaat een aantoonbaar gecontroleerde implementatie die voldoet aan auditvereisten en tegelijkertijd de gebruikerservaring waarborgt.

Monitoring

Gebruik PowerShell-script speech-recognition-disabled.ps1 (functie Invoke-Monitoring) – Controleren.

Monitoring start met de basiscontrole van de registerwaarde HKLM:\SOFTWARE\Policies\Microsoft\Edge\SpeechRecognitionEnabled. Het meegeleverde PowerShell-script kan als scheduled task draaien om wekelijks te verifiëren dat de waarde 0 blijft. Resultaten worden naar Azure Monitor of Log Analytics verstuurd zodat afwijkingen direct zichtbaar zijn. Naast deze technische controle is het noodzakelijk om Intune-implementatiestatussen te volgen; het apparaatconfiguratiedashboard laat zien welke endpoints het beleid met succes toepassen, waar foutmeldingen optreden en welke apparaten nog niet hebben ingecheckt sinds de wijziging. Apparaten in de status "pending" langer dan 48 uur krijgen een automatische herinschrijvingstrigger of worden door het supportteam opgevolgd. Monitoring richt zich ook op gebruikerservaring. De servicedesk registreert tickets waarin medewerkers melden dat microfoondiensten niet werken. Door ticketdata te koppelen aan de uitrolplanning kan worden vastgesteld of aanvullende training nodig is of dat specifieke applicaties een uitzondering vereisen. Als blijkt dat bepaalde ketenpartners afhankelijk zijn van spraakinput via de browser, wordt in overleg met privacy en security beoordeeld of een gecontroleerde uitzondering onder strikte voorwaarden mogelijk is. Dergelijke uitzonderingen worden centraal geregistreerd, voorzien van een vervaldatum en minimaal elk kwartaal herbeoordeeld. Security operations kan aanvullende detecties configureren door te kijken naar applicaties die onverwachts microfoontoegang vragen. Microsoft Defender for Endpoint biedt sensordata over deviceCapabilityAccess. Door regels te maken die Edge-processen met microfoontoegang signaleren, ontstaat een extra waarborg dat het beleid in alle scenario's actief blijft. Wanneer een afwijking wordt gezien, bijvoorbeeld omdat een lokale administrator de registerwaarde wijzigt, wordt een automatische remediatie uitgevoerd via het eerder genoemde PowerShell-script. Naast technische metrics is governance essentieel. Elk kwartaal wordt een controlerapport opgesteld waarin staat hoeveel apparaten compliant zijn, hoeveel uitzonderingen actief zijn en welke incidenten zich hebben voorgedaan. Dit rapport wordt gedeeld met de CISO, de privacy officer en de proceseigenaren van digitale communicatie. Een belangrijk onderdeel van deze review is het toetsen of alternatieve spraaktechnologieën nog voldoen aan de afgesproken eisen, zoals lokale verwerking, logging en toestemming. Indien nieuwe diensten worden geïntroduceerd, bijvoorbeeld een AI-assistent, wordt vooraf getoetst of het Edge-beleid compatibel blijft of dat aanvullende maatregelen nodig zijn. Daarnaast worden steekproeven uitgevoerd door middel van mystery audits. Hierbij vraagt het compliance-team willekeurige medewerkers om te demonstreren hoe zij spraakfunctionaliteit gebruiken en of zij weten welke alternatieven beschikbaar zijn. Deze kwalitatieve toetsing levert inzichten op die niet zichtbaar zijn in dashboards maar wel bepalend zijn voor adoptie. Ook wordt halfjaarlijks een tabletopoefening georganiseerd waarin een fictief datalek via een spraakgestuurde webapplicatie wordt doorgelopen. De oefening laat zien hoe snel het team afwijkingen detecteert, welke gegevens benodigd zijn voor forensisch onderzoek en of contractuele afspraken met leveranciers voldoende zijn vastgelegd. Een aanvullende stap is het periodiek uitvoeren van datamonsteranalyses van netwerkverkeer richting spraakplatforms. Door firewall- en proxylogs te scannen op bekende Web Speech API-eindpunten kan worden vastgesteld of verkeer dat eigenlijk geblokkeerd hoort te zijn, toch plaatsvindt. Wanneer zulke patronen worden ontdekt, volgt direct een diepgaand onderzoek naar de bron en wordt, indien nodig, een tijdelijke blokkade op poort- of domeinniveau geactiveerd. Door monitoring op deze manier te organiseren ontstaat een continu verbeterproces: technische metingen bewaken de instelling, gebruikerssignalen geven inzicht in adoptie, governance waarborgt dat uitzonderingen niet onbeperkt blijven bestaan, simulaties testen de paraatheid bij incidenten en netwerkmetingen controleren de effectiviteit aan de rand. Het geheel maakt het mogelijk om richting auditors aan te tonen dat de organisatie niet slechts een registerwaarde instelt, maar het volledige levenscyclusbeheer van spraakherkenning onder controle heeft.

Compliance en Auditing

Het uitschakelen van webgebaseerde spraakherkenning raakt meerdere juridische en normatieve kaders die voor Nederlandse overheidsorganisaties gelden. De Algemene Verordening Gegevensbescherming (AVG) beschouwt stemgeluid als een persoonsgegeven en, wanneer het wordt gebruikt voor identificatie, zelfs als een biometrisch gegeven van een bijzondere categorie. Artikel 32 AVG vereist dat passende technische en organisatorische maatregelen worden getroffen om deze gegevens te beschermen. Door SpeechRecognitionEnabled op 0 te zetten en zo te voorkomen dat audio naar niet-gecontroleerde cloudplatforms wordt verstuurd, toont de organisatie aan dat zij dataminimalisatie en doelbinding serieus neemt. Binnen de Baseline Informatiebeveiliging Overheid verwijst hoofdstuk 11.01 naar het beschermen van communicatiemiddelen en het beperken van functionaliteiten die onnodig toegang geven tot vertrouwelijke informatie. Het uitschakelen van de browserfunctie sluit aan bij het principe dat informatieverwerking alleen mag plaatsvinden binnen vooraf goedgekeurde processen. Bovendien maakt de maatregel deel uit van de Nederlandse Baseline voor Veilige Cloud, waarin expliciet wordt benoemd dat browserfuncties die onnodig data naar externe diensten sturen, actief moeten worden geblokkeerd tenzij er een aantoonbare bedrijfsnoodzaak is. ISO/IEC 27001:2022 controle A.8.11 en A.8.12 benadrukken dat data in transit en tijdens verwerking beschermd moeten worden tegen ongeautoriseerde toegang. Web Speech API's verwerken audio doorgaans in wereldwijde cloudinfrastructuren zonder dat organisaties exacte controle hebben over de regio of subcontractors. Door de functionaliteit uit te schakelen, wordt voorkomen dat persoonsgegevens onder jurisdicties vallen die niet overeenstemmen met Nederlandse of Europese wetgeving. Tegelijkertijd wordt voldaan aan auditcriteria omdat er logbestanden beschikbaar zijn die aantonen dat het beleid continu actief is en monitoringresultaten worden bewaard gedurende minimaal drie jaar. Ook de NIS2-richtlijn verlangt dat essentiële en belangrijke entiteiten aantoonbaar beleid voeren voor beveiliging van netwerk- en informatiesystemen. Het beperken van standaardfunctionaliteiten die toegang geven tot microfoons draagt bij aan risicobeheersing onder artikel 21, waarin specifiek wordt gesproken over passende technische maatregelen ter bescherming van systemen en gegevens. Door te kunnen laten zien dat een concreet technisch risico (ongecontroleerde audio-uitvoer) is gemitigeerd, scoren organisaties hoger tijdens NIS2-toezichtsaudits. Tijdens audits moet bewijs beschikbaar zijn van beleid, implementatie en werking. Dat betekent dat change-registraties, Intune-rapportages, resultaten van het monitoring-script en communicatie aan gebruikers centraal opgeslagen worden. Auditoren verwachten bovendien dat uitzonderingen worden gedocumenteerd inclusief autorisatie van de privacy officer. Wanneer deze documentatieketen sluitend is, kan de organisatie met vertrouwen aantonen dat de maatregel niet slechts een technische ingreep is, maar onderdeel van een volledige governancecyclus die juridische, organisatorische en technische eisen combineert. Verder sluit de maatregel aan bij het kabinetsbeleid rond digitale soevereiniteit, waarin wordt benadrukt dat kritieke overheidsdata niet afhankelijk mogen zijn van buitenlandse platformen zonder expliciete waarborgen. Door browserfunctionaliteit te beperken, bewijst de organisatie dat zij het principe "privacy by design" hanteert en preventieve maatregelen verkiest boven correctieve acties. Deze proactieve houding kan worden meegenomen in assurance-rapporten richting ketenpartners, wat vertrouwen schept en contractonderhandelingen versnelt. Tot slot vergemakkelijkt het beleid de uitvoering van Data Protection Impact Assessments (DPIA's), omdat de maatregel een concreet antwoord biedt op de vraag welke technische beheersmaatregelen beschikbaar zijn om spraakdata te beschermen. In compliance roadmaps kan deze maatregel bovendien gekoppeld worden aan trainingseisen. Door medewerkers expliciet te informeren over het verbod op webgebaseerde spraakopname en hen alternatieven te bieden, voldoet de organisatie aan de verplichting om "awareness and training" (BIO 06.01) aantoonbaar uit te voeren. Auditors waarderen het wanneer technische maatregelen zijn ingebed in opleidingsprogramma's, omdat dit bewijst dat security geen geïsoleerde discipline is maar onderdeel van de bredere governancecyclus.

Remediatie

Gebruik PowerShell-script speech-recognition-disabled.ps1 (functie Invoke-Remediation) – Herstellen.

Remediatieprocessen worden geactiveerd zodra monitoring aantoont dat een apparaat de waarde SpeechRecognitionEnabled opnieuw op 1 heeft staan of wanneer een gebruiker meldt dat websites plotseling weer spraakinput kunnen ontvangen. Het eerste onderzoek richt zich op het achterhalen van de oorzaak. Veel voorkomende oorzaken zijn een apparaat dat niet langer aan Intune is gekoppeld, een lokale beheerder die policies overschrijft of software van derden die registerinstellingen wijzigt om eigen functionaliteit mogelijk te maken. Zodra de oorzaak is vastgesteld, wordt het PowerShell-remediatiescript met lokale debuginstellingen uitgevoerd zodat direct kan worden gevalideerd welke foutcodes optreden en hoe het script deze herstelt. Het script voert drie stappen uit: controleren, herstellen en loggen. Tijdens de controlefase leest het script de bestaande waarde uit, inclusief de timestamp van de laatste wijziging. Vervolgens schrijft het de waarde 0 terug en forceert het een Edge-policy refresh. Tot slot worden resultaten naar een centraal log gestuurd zodat auditors kunnen zien dat het herstel is uitgevoerd. Wanneer het script niet succesvol is, bijvoorbeeld omdat de gebruiker onvoldoende rechten heeft, wordt het incident geëscaleerd naar het werkplekteam dat via een beheerde account inlogt en dezelfde procedure volgt. Naast technische remediatie moet elke afwijking organisatorisch worden afgehandeld. Het incident wordt geregistreerd in het service management systeem met classificatie "Policy drift spraakherkenning". Het ticket bevat de oorzaak, de genomen maatregelen en eventuele vervolgacties zoals aanvullende training voor de betrokken gebruiker. Als blijkt dat een applicatie functioneel afhankelijk is van webgebaseerde spraakherkenning, wordt een formele uitzonderingsaanvraag ingediend bij de privacy officer en de CISO. Deze aanvraag bevat een DPIA-paragraaf, beschrijving van datastromen en compenserende maatregelen zoals contractuele garanties van de leverancier of het gebruik van een aparte, geïsoleerde werkplek. Voor structurele problemen wordt een problem management-proces gestart. Daarbij wordt onderzocht of bijvoorbeeld een bepaalde imagedeployment een verouderde Edge-versie bevat of dat er conflicterende policies bestaan. De uitkomst kan leiden tot updates van het Intune-profiel, aanpassingen in het PowerShell-script of strengere beperkingen op lokale administratorrechten. Door problem management te koppelen aan change management wordt voorkomen dat dezelfde storing zich blijft herhalen. Tot slot is communicatie naar stakeholders belangrijk. Gebruikers worden geïnformeerd dat het beleid opnieuw is toegepast en dat het ongewenst is om instellingen handmatig te wijzigen. Het securityteam rapporteert periodiek hoeveel remediaties zijn uitgevoerd en welke trends zichtbaar zijn. Wanneer het aantal incidenten toeneemt, wordt herhaaldelijk gecommuniceerd waarom de maatregel essentieel is voor privacybescherming en hoe medewerkers alternatieve spraakoplossingen kunnen gebruiken. Zo blijft de combinatie van technische remediatie en bewustwording effectief en aantoonbaar onder controle. Als best practice wordt jaarlijks een scenario-oefening georganiseerd waarin een team bewust probeert het beleid te omzeilen. De lessen uit deze "red team"-oefening leiden tot aanvullende hardening, zoals het vergrendelen van bevoegdheden in het lokale register of het afdwingen van Device Control-profielen die microfoons uitsluitend beschikbaar maken voor goedgekeurde toepassingen. Daarnaast wordt geëvalueerd of de logging nog voldoet aan de bewaartermijnen en of correlatie met SIEM-oplossingen voldoende context levert voor forensisch onderzoek. Door remediatie te integreren met deze periodieke oefeningen blijft het proces volwassen en auditwaardig. Hiermee is remediatie geen reactieve klus maar een volwaardige controlcycle: incidenten leveren input voor probleemanalyses, verbetermaatregelen worden als change geregistreerd en lessons learned vloeien terug naar awarenessprogramma's. Deze gesloten keten maakt indruk tijdens audits en zorgt ervoor dat afwijkingen sneller verdwijnen en minder snel terugkeren.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Privacy: Speech Recognition Disabled .DESCRIPTION CIS - Speech recognition moet disabled (privacy/processing). .NOTES Filename: speech-recognition-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\SpeechRecognitionEnabled|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "SpeechRecognitionEnabled"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "speech-recognition-disabled.ps1"; PolicyName = "Speech Recognition Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default disabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Speech recognition disabled" }else { $r.Details += "Speech recognition enabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Speech recognition disabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Wanneer webgebaseerde spraakherkenning ingeschakeld blijft, kunnen websites ongemerkt microfoongegevens opnemen en verwerken binnen onbekende cloudomgevingen. Daarmee ontstaat een aanzienlijk privacyrisico, kunnen biometrische kenmerken uitlekken en is naleving van AVG en BIO moeilijk te onderbouwen.

Management Samenvatting

Configureer SpeechRecognitionEnabled op 0 via Intune, GPO of het PowerShell-script uit code/edge/privacy zodat Edge geen audio meer deelt met webpagina's. Bied gelijktijdig een lokaal gecontroleerd alternatief voor medewerkers die dicteerfuncties nodig hebben en monitor continue op policy drift.