L2 BIO 11.01.01 ISO A.18.1.4 CIS Edge Privacy - Cookie Beheer

Derde Partij Cookies Geblokkeerd

📅 2025-10-30
⏱️ 6 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Het blokkeren van cookies van derden elimineert de meest agressieve vormen van persoonsvolgende tracking in Microsoft Edge en ondersteunt een verdedigbare privacy-by-default strategie voor Nederlandse overheidsinstellingen.

Aanbeveling
CONSIDER
Risico zonder
Low
Risk Score
4/10
Implementatie
4u (tech: 2u)
Van toepassing op:
Edge

Derdepartijcookies zijn gegevenspakketten die niet afkomstig zijn van het domein dat de gebruiker actief bezoekt, maar van advertentie-exchanges, socialemediaplatforms of analytische diensten die onzichtbaar meeliften op pagina’s. Zij leggen klikpaden, zoekopdrachten en dienstspecifieke voorkeuren vast en koppelen die aan bestaande profielen om gedrag over dienstverleners heen te voorspellen. Voor publieke organisaties is dat problematisch omdat browsingdata van ambtenaren regelmatig beleidsstukken, lopende aanbestedingen of vertrouwelijke casuïstiek verraadt. Wanneer zulke signalen buiten de organisatie terechtkomen ontstaat het risico dat leveranciers of kwaadwillenden gevoelige informatie kunnen reconstrueren, met mogelijke schending van de AVG-beginselen van minimale gegevensverwerking en doelbinding. Bovendien is er een arbeidsrechtelijk aspect: werknemers hebben recht op een digitale werkomgeving waarin monitoring proportioneel is en vooraf kenbaar is gemaakt, iets wat bij grootschalige tracking door derden onmogelijk is. Zelfs wanneer toestemming wordt gevraagd, is de vraag of die toestemming geldig is voor overheidsorganisaties die burgers en medewerkers vaak geen reële keus kunnen bieden. Door cookies van derden standaard te blokkeren wordt het besluitvormingsproces omgedraaid: alleen wanneer een applicatie aantoonbaar niet functioneert en de Functionaris Gegevensbescherming instemt, wordt een uitzondering toegestaan. Dit voorkomt discussies achteraf met toezichthouders en creëert een herhaalbaar proces waarin technische maatregelen, beleidskeuzes en documentatie hand in hand gaan.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

De maatregel dwingt de beleidsinstelling BlockThirdPartyCookies af door de registerwaarde HKLM:\\SOFTWARE\\Policies\\Microsoft\\Edge\\BlockThirdPartyCookies op 1 te zetten, of dezelfde configuratie via Intune/GPO in de Edge policy catalogus te distribueren. Daarmee worden uitsluitend cookies uit het actuele top-level domein geaccepteerd, terwijl alle verzoeken die een andere oorsprong hebben direct worden geweigerd en onder de intelligentere SameSite-regels vallen. De instelling kan worden gecombineerd met Tracking Prevention in Balanced of Strict modus zodat bekende trackers al worden geneutraliseerd nog voordat er een cookie dialoog ontstaat. Voor applicaties die afhankelijk zijn van externe authenticatie- of rapportagediensten wordt een gecontroleerde uitzonderingslijst gehanteerd, waarbij elke toevoeging wordt voorzien van een business case, testresultaten en een retrospectieve einddatum. Zo ontstaat een beheersbaar evenwicht: de standaardconfiguratie maximaliseert privacy, terwijl er ruimte blijft om specifieke elektronische dienstverlening functioneel te houden zonder de gehele organisatie bloot te stellen aan massale profiling.

Vereisten

Voor het implementeren van deze maatregel is een combinatie nodig van technische baselines, procesafspraken en draagvlak vanuit het privacy- en securityteam. Het beheerteam moet vooraf bepalen op welke werkplekken deze instelling verplicht wordt, welke uitzonderingen worden getolereerd en hoe zij worden vastgelegd. Daarbij hoort ook het afstemmen met leveranciers en functioneel beheerders van bedrijfskritische webapplicaties, omdat er altijd scenario’s zijn waarin een externe aanmeldingsdienst of rapportageportaal afhankelijk is van derdepartijcookies. Door deze voorbereiding zorgvuldig te doorlopen voorkomt de organisatie paniekreacties zodra een website niet meer goed werkt en kan elke wijziging worden onderbouwd richting de Functionaris Gegevensbescherming en de ondernemingsraad.

  1. Een Microsoft Edge-installatie die via het Evergreen-model wordt bijgewerkt, zodat beleidsinstellingen rond SameSite en Enhanced Security Mode volledig worden ondersteund en testresultaten niet per build verschillen.
  2. Een ondersteund besturingssysteem (Windows 10/11 of Windows Server 2016 en hoger) met de nieuwste cumulatieve updates en de Enterprise of Education edition, waardoor alle privacybeleidssjablonen beschikbaar zijn.
  3. Beheerdersrechten binnen de centrale configuratieketen: voor GPO-implementaties zijn domein- of beleidsbeheerdersrechten nodig, voor Intune zijn roltoewijzingen vereist om Settings Catalog-profielen te maken, te testen en te publiceren.
  4. Een gedocumenteerd testplan waarin bedrijfskritische websites, SSO-ketens, intranetportalen en embedded dashboards systematisch worden gecontroleerd op aanmeld- en weergaveproblemen voordat de instelling organisatiebreed wordt afgedwongen.
  5. Een uitzonderingsregister dat beschrijft waarom een applicatie tijdelijk cookies van derden mag plaatsen, welke mitigerende maatregelen zijn getroffen (bijvoorbeeld aparte Edge-profielen of tijdelijke groepstoewijzingen) en wanneer de uitzondering opnieuw wordt beoordeeld.
  6. Een alternatief scenario waarbij Tracking Prevention in Balanced- of Strikte modus als tussenstap wordt gebruikt voor gebruikersgroepen die afhankelijk zijn van complexe SaaS-diensten, zodat de organisatie gefaseerd kan migreren zonder datadiensten abrupt stil te zetten.

Tot slot is er een organisatorisch vereiste: betrek communicatie en juridische teams vooraf zodat zij weten hoe gebruikers worden geïnformeerd en hoe externe leveranciers op uitzonderingen kunnen rekenen. Door een centrale Q&A te publiceren en afspraken te maken over supportprocessen wordt voorkomen dat medewerkers hun eigen browserinstellingen aanpassen of dat leveranciers rechtstreeks druk uitoefenen op ontwikkelaars. Deze zachte voorwaarden zijn minstens zo belangrijk als de technische randvoorwaarden omdat ze de maatregel duurzaam maken.

Implementatie

Derdepartijcookies blokkeren is geen losse registerwaarde maar een klein traject waarin beleid, distributie en adoptie samenkomen. Start met het vastleggen van de gewenste instelling in het centrale configuratiesjabloon en vertaal dit naar zowel GPO als Intune zodat hybride apparaten geen afwijkende ervaring krijgen. Vervolgens definieer je een pilotgroep met uiteenlopende werkstromen (inkoop, sociaal domein, beleid, ontwikkelaars) om na te gaan waar de keten onverwacht stopt. De bevindingen uit die pilot worden gebruikt om uitzonderingen of compenserende maatregelen vast te leggen. Pas daarna wordt het beleid geborgd in de standaard endpoint baseline en opgenomen in het wijzigingsbeheer. Het is cruciaal dat dit proces wordt begeleid door communicatie naar gebruikers, zodat zij begrijpen waarom bepaalde websites extra verificatie vragen of helemaal niet meer laden.

Gebruik PowerShell-script third-party-cookies-blocked.ps1 (functie Invoke-Remediation) – PowerShell-script dat policies uitleest, de BlockThirdPartyCookies-waarde afdwingt, bestaande uitzonderingen archiveert en optioneel een rapport genereert dat kan worden opgenomen in het wijzigingsdossier..

Voor een handmatige Intune-implementatie wordt een settings catalog-profiel gebruikt, omdat dat de meest transparante logging en versiebeheer oplevert. Hieronder staat een aanbevolen werkwijze die de technische stap combineert met governance-activiteiten.

  1. Open het Microsoft Intune-beheercentrum met een rol die configuratieprofielen mag publiceren en documenteer in het wijzigingsverzoek welke groepen binnen scope vallen zodat audittrail en technische uitvoering synchroon lopen.
  2. Maak een nieuw Windows 10 en later-profiel op basis van de Settings catalog en voeg naast de BlockThirdPartyCookies-waarde ook ondersteunende instellingen toe, zoals het blokkeren van het wissen van beleidscookies door eindgebruikers, zodat de maatregel consistent blijft.
  3. Selecteer onder Microsoft Edge → Privacy de instelling BlockThirdPartyCookies en kies de waarde Enabled, waarmee Intune automatisch een waarde van 1 naar het juiste registerpad pusht en compliance-rapportages kan genereren.
  4. Voeg desgewenst TrackingPrevention instellingen toe en beschrijf in het profielnotitieveld dat Balanced de standaard is, zodat toekomstige beheerders begrijpen waarom beide policies gelijktijdig in één profiel staan.
  5. Ken een dynamische groepsfilter toe voor pilotgebruikers en communiceer vooraf dat bepaalde SaaS-diensten cookies van derden mogelijk moeten toestaan, inclusief een kanaal voor het melden van problemen.
  6. Gebruik de rapportagemogelijkheden binnen Intune om te controleren of alle apparaten het profiel ontvangen en plan een evaluatiemoment met privacy- en securityofficers om uitzonderingen te beoordelen voordat je de brede uitrol start.
  7. Breid de toewijzing gefaseerd uit naar productie- en beheergroepen, zodat helpdesk en functioneel beheer opvolgvragen gecontroleerd kunnen opvangen.
  8. Leg de definitieve configuratie vast in de centrale Edge-baseline, inclusief versiebeheer en verwijzing naar de risicobeoordeling, zodat hercertificering in audits eenvoudiger wordt.

Hoewel het blokkeren van cookies van derden de meest eenduidige maatregel is, blijkt in de praktijk dat sommige dienstverleners nog hard-coded verwijzingen gebruiken naar externe domeinen. Daarom adviseren we een tweesporenaanpak waarin Tracking Prevention in Balanced modus als vangnet fungeert en uitzonderingen altijd tijdelijk zijn.

  1. Schakel TrackingPrevention op waarde 2 (Balanced) in voor alle gebruikers zodat bekende trackers worden geneutraliseerd, maar essentiële authenticatieketens kunnen blijven functioneren terwijl je uitzonderingen inventariseert.
  2. Documenteer per applicatie waarom een uitzondering nodig is en koppel daar mitigaties aan, zoals het verplicht gebruik van een apart Edge-profiel met beperkte machtigingen of het toepassen van Conditional Access-beperkingen.
  3. Maak waar mogelijk gebruik van Content Settings om specifieke domeinen alleen voor bepaalde groepen toe te staan, zodat de organisatie granulariteit houdt en afwijkingen niet per ongeluk algemeen worden.
  4. Evalueer elk kwartaal of uitzonderingen nog nodig zijn en vervang ze zodra leveranciers overstappen op privacyvriendelijke integraties, zodat de standaard telkens dichter bij volledige blokkering komt.

Monitoring

Gebruik PowerShell-script third-party-cookies-blocked.ps1 (functie Invoke-Monitoring) – Controleert beleidsstatussen, vergelijkt registerwaarden met Intune-rapportages en schrijft afwijkingen weg naar een CSV die rechtstreeks in audits kan worden gebruikt..

Monitoring is tweeledig: enerzijds moet technisch worden vastgesteld dat de registerwaarde aanwezig blijft na herstarts, anderzijds moet worden beoordeeld of gebruikers uitzonderingen aanvragen of websites laten whitelisten. Plan daarom een maandelijkse controle waarin security operations, privacy officers en functioneel beheer samen de resultaten bekijken en beoordelen of aanvullende communicatie nodig is.

  1. Controleer het registerpad HKLM:\\SOFTWARE\\Policies\\Microsoft\\Edge en documenteer de actie in het wijzigingsdossier zodat duidelijk is op welke datum en door wie de steekproef is uitgevoerd.
  2. Lees de waarde BlockThirdPartyCookies uit met ConfigMgr, Intune of het PowerShell-monitoringscript en markeer systemen als non-compliant wanneer gebruikers de waarde wissen via lokale beheerrechten.
  3. Verifieer dat de DWORD-waarde 1 blijft na Edge-updates of herinstallaties; afwijkingen kunnen wijzen op conflicterende profielinstellingen of verkeerde volgorde van GPO-toepassing.
  4. Koppel servicedeskregistraties van websiteproblemen aan de lijst met uitzonderingen, zodat zichtbaar is of klachten voortkomen uit strenge blokkades of uit regressies in de webapplicatie zelf.
  5. Gebruik het Edge-privacydashboard (edge://settings/privacy) of de enterprise diagnostische sjablonen om te zien hoeveel trackers zijn geblokkeerd en welke domeinen blijven proberen cookies te plaatsen.
  6. Houd een register bij van uitzonderingsaanvragen, inclusief goedkeuringsdatum, verantwoordelijke manager en geplande herbeoordeling, zodat tijdelijke maatregelen niet onnodig permanent worden.

Rond iedere controlesessie af met een kort rapport waarin technische bevindingen worden vertaald naar managementinformatie. Beschrijf hoeveel apparaten compliant zijn, welke uitzonderingen zijn toegekend, welke websites problemen veroorzaakten en welke vervolgacties gepland staan. Deze rapportage voedt de periodieke privacy- en securityoverleggen en vormt bewijs dat het beleid actief wordt beheerd in plaats van eenmalig is ingesteld.

Compliance en Auditing

Het afdwingen van een standaardinstelling voor het blokkeren van cookies van derden onderbouwt meerdere wettelijke en normatieve verplichtingen. Het documenteren van het besluit, de configuratie en de testresultaten zorgt ervoor dat auditors inzicht hebben in zowel de technische maatregel als het governanceproces daaromheen. Koppel de configuratie aan de privacy impact assessment van digitale werkplekken en leg uit welke uitzonderingen er zijn, zodat controleurs direct kunnen beoordelen of de organisatie voldoet aan proportionaliteitseisen.

  1. CIS Microsoft Edge Benchmark – privacygerelateerde instellingen schrijven voor dat cookies van derden standaard worden geblokkeerd; toon tijdens audits het Intune-profiel of de GPO-export om aan te tonen dat deze aanbeveling structureel is geïmplementeerd.
  2. AVG artikel 5 (beginselen gegevensverwerking) vereist dat alleen noodzakelijke gegevens worden verzameld; door cookies van derden niet toe te staan, wordt aantoonbaar invulling gegeven aan dataminimalisatie en doelbinding.
  3. AVG artikel 25 (privacy by design en by default) stelt dat technische en organisatorische maatregelen standaard de hoogste privacybescherming moeten bieden; het beleid maakt duidelijk dat gebruikers alleen met expliciete motivatie kunnen afwijken.
  4. AVG artikel 32 (beveiliging van verwerking) vraagt om passende maatregelen tegen ongeoorloofde toegang; het blokkeren van tracking voorkomt dat externe partijen inzicht krijgen in surfgedrag dat mogelijk gevoelige beleidsinformatie verraadt.
  5. ePrivacy-richtlijn en Telecommunicatiewet schrijven voorafgaande toestemming voor het plaatsen van trackingcookies; een standaardblokkade ondersteunt het bewijs dat zonder toestemming geen data naar derde partijen vliegt.
  6. BIO 11.01 benadrukt gecontroleerde toegang tot informatie; centralisatie van cookiebeleid voorkomt dat persoonsgegevens onbewust worden gedeeld met derden en ondersteunt logging en rapportage.
  7. ISO 27001 controle A.18.1.4 verlangt bescherming van persoonsgegevens; een gedocumenteerd cookiebeleid en de bijbehorende technische handhaving vormen een direct aantoonbare maatregel.

Remediatie

Gebruik PowerShell-script third-party-cookies-blocked.ps1 (functie Invoke-Remediation) – Herstelt afgedwaalde configuraties door de beleidsinstelling opnieuw te schrijven, edge://policy te herladen voor de eindgebruiker en een samenvatting te loggen in het centrale wijzigingsregister..

In de praktijk wordt het script ingezet als geautomatiseerde tegenmaatregel zodra monitoring uitwijst dat een apparaat of gebruikersprofiel terugvalt naar de standaardinstelling van Microsoft Edge. Het script controleert eerst of de betreffende machine tot een uitzonderingsgroep behoort. Zo niet, dan wordt de registerwaarde opnieuw gezet, wordt de Intune policy refresh getriggerd en ontvangt de gebruiker een korte melding waarin staat dat het privacybeleid is hersteld. Deze transparantie voorkomt dat medewerkers denken dat Edge spontaan kapot is en stimuleert hen om afwijkende websites bij het functioneel beheer te melden in plaats van zelf oplossingen te improviseren.

Wanneer een website aantoonbaar stukloopt op de blokkade, start een remediatiepad dat verder gaat dan alleen techniek. De applicatie-eigenaar documenteert waarom een uitzondering noodzakelijk is, welke gegevensstromen zijn betrokken en welke periode wordt overbrugd. Vervolgens beoordeelt de privacy officer of de uitzondering juridisch houdbaar is en of aanvullende maatregelen nodig zijn, zoals het beperken tot een aparte Edge-profielconfiguratie of het verplichten van VPN-verbindingen. Pas daarna wordt de uitzondering in Intune of GPO doorgevoerd. Deze procedure zorgt ervoor dat uitzonderingen zeldzaam blijven, inzichtelijk zijn en automatisch expireren zodra de leverancier een privacyvriendelijk alternatief biedt.

Evalueer elk remediatiegeval na dertig dagen: controleer of het probleem daadwerkelijk is opgelost, of de uitzondering nog relevant is en of gebruikers zich houden aan de aanvullende maatregelen. Neem deze evaluatie op in de privacy governance-cyclus en koppel de uitkomsten aan leveranciersmanagement, zodat eisen rond privacyvriendelijke integraties onderdeel worden van contractverlengingen. Zo groeit de organisatie stap voor stap naar een situatie waarin standaardinstellingen volstaan en uitzonderingen steeds zeldzamer worden.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Privacy: Third-Party Cookies Blocked .DESCRIPTION CIS - Third-party cookies moeten blocked (tracking/privacy). .NOTES Filename: third-party-cookies-blocked.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\BlockThirdPartyCookies|Expected: 1 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "BlockThirdPartyCookies"; $ExpectedValue = 1 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "third-party-cookies-blocked.ps1"; PolicyName = "3rd Party Cookies Blocked"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "3rd party cookies blocked" }else { $r.Details += "3rd party cookies toegestaan" } }catch { $r.Details += "Niet geconfigureerd" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Third-party cookies blocked" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Zonder blokkade blijven advertentienetwerken en embedded analysetools meekijken met het surfgedrag van medewerkers. Dat kan leiden tot ongeoorloofde profilering, weglekken van beleidsinformatie en klachten van de Autoriteit Persoonsgegevens omdat toestemming voor tracking in een ambtelijke werkomgeving zelden geldig is. Daarnaast ontstaat een onduidelijke situatie waarin uitzonderingen niet centraal worden bijgehouden en leveranciers ongecontroleerd meekijken in processen die onder het ambtsgeheim vallen.

Management Samenvatting

Dwing BlockThirdPartyCookies af als standaard, combineer dit met Tracking Prevention Balanced voor compatibiliteit en documenteer uitzonderingen per applicatie. Zo blijven privacy-eisen en werkbaarheid in balans terwijl audits eenvoudig kunnen vaststellen dat de maatregel structureel wordt toegepast.