L1 BIO 11.01.01 CIS Privacy regelt - Tracking Prevention

Tracking Prevention Balanced Mode

📅 2025-10-30
⏱️ 5 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Tracking Prevention in Microsoft Edge vormt de eerste verdedigingslinie tegen agressieve advertentienetwerken, fingerprinting-technieken en onzichtbare social media pixels. Het verplicht configureren van minimaal de Balanced-stand (niveau 2) zorgt ervoor dat gebruikers zonder merkbare vertraging kunnen werken terwijl achtergrondverkeer dat persoonsgegevens probeert te verzamelen systematisch wordt afgewezen. Deze instelling creëert een consistente privacybaseline voor alle werkstations binnen de Nederlandse Baseline voor Veilige Cloud en reduceert het aantal incidentmeldingen over ongewenste trackers aanzienlijk.

Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
6/10
Implementatie
3u (tech: 1u)
Van toepassing op:
Edge

Edge kent vier niveaus voor trackingbescherming. Niveau 0 schakelt de bescherming volledig uit en is binnen overheids- en vitale sectoren onacceptabel. Basic (niveau 1) blokkeert de meest agressieve trackers maar laat het merendeel van de advertentiedomeinen ongemoeid, waardoor profielopbouw nog steeds mogelijk is. Balanced (niveau 2) combineert intelligente blokkades met een lage kans op functieverlies en vormt daarmee de standaard voor organisatiebrede uitrol. Strict (niveau 3) biedt maximale bescherming, maar kan portalen, HR-systemen of legacy SaaS-diensten breken doordat first-party functionaliteit per ongeluk wordt tegengehouden. Door Balanced als minimumnorm vast te leggen en Strict gericht toe te passen voor hoog-risicogroepen, ontstaat een robuuste mix van privacy, bedrijfscontinuïteit en beheerbaarheid.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Deze maatregel schrijft voor dat de policywaarde TrackingPrevention in het registerpad HKLM:\SOFTWARE\Policies\Microsoft\Edge wordt ingesteld op 2 voor Balanced of 3 voor Strict. De primaire verwachting is dat ieder zakelijk apparaat minstens niveau 2 afdwingt, aangevuld met managed uitzonderingen voor scenario's die tijdelijk een lagere stand vereisen. Voor onderzoeksteams of functionarissen die met staatsgeheime data werken, kan niveau 3 worden geactiveerd in combinatie met een zorgvuldig beheerde allowlist. De configuratie verloopt via Intune, GPO of het meegeleverde PowerShell-script, waarna monitoring controleert of de instelling persistent actief blijft.

Implementatie

Gebruik PowerShell-script tracking-prevention-balanced.ps1 (functie Invoke-Remediation) – PowerShell script - stelt Balanced mode in.

Een succesvolle implementatie begint met het expliciet definiëren van de organisatiebrede norm: trackingbescherming staat standaard op niveau 2, terwijl niveau 3 alleen wordt ingezet voor afdelingen met verhoogd privacyrisico. Deze norm wordt vastgelegd in het beveiligingsbeleid en gekoppeld aan de Nederlandse Baseline voor Veilige Cloud zodat alle beheer- en auditprocessen dezelfde uitgangspositie hanteren. Door deze uitgangspositie te documenteren, voorkomt u uitzonderingen waarin teams per ongeluk terugvallen naar niveau 1 of zelfs de bescherming uitschakelen.

De primaire implementatieroute loopt via Microsoft Intune. Maak in het Intune-beheercentrum een nieuw configuratieprofiel aan onder Apparaten → Configuratieprofielen met het platform "Windows 10 en later" en de Instellingencatalogus. Zoek binnen de catalogus naar Microsoft Edge → Privacy en voeg de instelling TrackingPrevention toe. Stel de waarde in op Balanced (2). Voor gebruikers die onder het hoogste risicoprofiel vallen, maakt u een apart profiel met waarde Strict (3) en koppelt u dit aan een dynamische Azure AD-groep. Documenteer in dezelfde stap welke groepen zijn uitgesloten en waarom, zodat auditors exact kunnen volgen hoe de verdeling tot stand is gekomen.

Organisaties die nog Group Policy Objects gebruiken, configureren dezelfde instelling via de Administrative Templates voor Microsoft Edge. Activeer de policy "Configure tracking prevention" onder Computer Configuration → Policies → Administrative Templates → Microsoft Edge. Kies hier eveneens voor Balanced en blokkeer gebruikers om eigen wijzigingen aan te brengen. Zorg ervoor dat het resulterende registerpad HKLM:\SOFTWARE\Policies\Microsoft\Edge de DWORD-waarde TrackingPrevention bevat en dat eventuele oudere waarde op gebruikersniveau wordt verwijderd, zodat er geen conflictsituaties ontstaan.

Plan vervolgens een gefaseerde uitrol. Start met een pilotgroep die representatief is voor kritieke werkstromen zoals bancaire portalen, HR-systemen en specialistische SaaS-diensten. Meet laadprestaties met en zonder de nieuwe instelling en registreer eventuele websites die aanvullende uitzonderingen vereisen. Gebruik Microsoft Edge's diagnostische logging om te zien welke trackers worden geblokkeerd en of deze invloed hebben op functionaliteit. Pas alleen uitzonderingen toe wanneer er een goedgekeurde business case bestaat en leg vast wanneer de uitzondering opnieuw wordt beoordeeld.

Het meegeleverde PowerShell-script tracking-prevention-balanced.ps1 automatiseert zowel configuratie als verificatie. Het script controleert of het apparaat beheerd wordt via Intune, schrijft de juiste waarde naar het register, zet ConfigRefresh in gang en logt het resultaat naar het Windows Event Log. Voeg het script toe aan een Proactive Remediation in Intune zodat apparaten die tijdelijk offline zijn geweest automatisch worden hersteld zodra ze weer verbinding maken.

Sluit de implementatie af met duidelijke communicatie aan gebruikers en serviceorganisaties. Publiceer een intranetbericht waarin u uitlegt waarom Balanced de nieuwe standaard is, hoe trackers worden geblokkeerd en wat gebruikers moeten doen als een specifieke website moeite heeft met inloggen. Lever aan het helpdeskteam een stappenplan met relevante Edge-instellingen en scripts zodat zij snel kunnen bevestigen of de policy actief is. Door technische implementatie te koppelen aan governance, training en documentatie voorkomt u dat de controle na verloop van tijd verwatert.

Leg tenslotte vast hoe wijzigingen worden beheerd. Koppel ieder verzoek om de instelling te versoepelen aan het wijzigingsproces binnen het Change Advisory Board, inclusief risicobeoordeling, communicatiemomenten en evaluatiecriteria. Documenteer in het beveiligingsregister wie de eigenaar is van de policy, wanneer herbeoordeling plaatsvindt en welke meetwaarden bepalen of een strengere stand nodig is. Deze informatie voedt toekomstige audits en zorgt ervoor dat Tracking Prevention onderdeel blijft van het bredere privacyprogramma.

monitoring

Gebruik PowerShell-script tracking-prevention-balanced.ps1 (functie Invoke-Monitoring) – Controleren.

Monitoring voor trackingbescherming mag nooit worden gereduceerd tot een eenmalige controle van het register. Omdat gebruikers lokale wijzigingen kunnen proberen af te dwingen, updates de browserinstellingen kunnen resetten en sommige migraties beleid tijdelijk loslaten, is een continue meetcyclus noodzakelijk. De monitoringstrategie combineert daarom configuratievalidatie, gedragsobservatie en feedback van eindgebruikers.

Het monitoring-script leest het registerpad HKLM:\SOFTWARE\Policies\Microsoft\Edge uit, controleert of de DWORD-waarde TrackingPrevention aanwezig is en of de ingestelde waarde 2 of 3 bedraagt. Het script schrijft de uitkomst naar het eventlogkanaal "NBVC-EdgePrivacy" met duidelijke succes- of foutcodes. Via Microsoft Endpoint Manager kunt u deze events verzamelen en opnemen in een Kusto-query zodat afwijkingen direct zichtbaar worden. Stel alerts in wanneer de waarde ontbreekt, lager is dan 2 of wanneer het script detecteert dat een gebruiker een lokale override probeert te plaatsen.

Daarnaast levert Intune configuratieprofielrapportages die tonen of apparaten het toegewezen policyprofiel hebben toegepast. Controleer dagelijks de status "In conflict" of "Mislukt" en corrigeer instellingen voordat gebruikers merken dat trackers niet langer geblokkeerd worden. Organisaties met Configuration Manager of GPO's kunnen dezelfde inzichten verkrijgen door compliance baselines of Resultant Set of Policy rapportages te exporteren.

Gedragsmonitoring vormt de tweede laag. Microsoft Defender for Endpoint registreert Edge-telemetrie over geblokkeerde trackers. Door in het Security-portaal een aangepaste rapportage te bouwen die het aantal geblokkeerde requests per apparaat toont, ziet u snel welke systemen plotseling veel minder blokkades registreren; dat kan een teken zijn dat de policy is uitgeschakeld. Omgekeerd kan een plotselinge piek duiden op een malafide campagne waarbij juist extra analyseresources nodig zijn.

Naast technische signalen is het essentieel om de gebruikerservaring te monitoren. Richt een proces in waarbij helpdeskmedewerkers tickets over websitecompatibiliteit labelen met het trefwoord "Tracking Prevention". Een maandelijkse analyse van deze tickets geeft inzicht in de effectiviteit van communicatie en in de noodzaak om specifieke domeinen tijdelijk op een allowlist te plaatsen. Combineer deze informatie met feedback vanuit productteams die testen uitvoeren op overheidsportalen of sector-specifieke SaaS-oplossingen.

Sluit af met managementrapportages waarin u KPI's vastlegt zoals het percentage apparaten met waarde 2 of hoger, het aantal toestemmingsaanvragen voor uitzonderingen en de trend van geblokkeerde trackers. Door deze gegevens te presenteren op het securitydashboard van de organisatie blijft zichtbaarheid hoog en kan het CISO-team sneller prioriteiten stellen wanneer afwijkingen ontstaan.

Automatiseer waar mogelijk correctieve acties. Combineer de output van het monitoring-script met Intune Proactive Remediations zodat apparaten met een afwijkende waarde automatisch worden hersteld en vervolgens opnieuw worden gecontroleerd. Stel service level agreements vast voor het oplossen van afwijkingen (bijvoorbeeld binnen 24 uur voor basiswerkplekken en binnen 4 uur voor hoog-risicoapparaten) en koppel escalaties aan het SOC. Zo ontstaat een gesloten regelkring waarin detectie, herstel en rapportage elkaar versterken.

Compliance en Auditing

Trackingbescherming raakt direct aan de kernprincipes van de Nederlandse Baseline voor Veilige Cloud: dataminimalisatie, privacy-by-default en aantoonbare naleving. Door Balanced als standaardniveau te verankeren, kiest de organisatie ervoor om persoonsgegevens alleen te delen wanneer dat absoluut noodzakelijk is. Dit ondersteunt gegevensbeschermingsbeleid voor gemeenten, uitvoeringsorganisaties en andere publieke instellingen die dagelijks met gevoelige burgerdata werken.

De Algemene Verordening Gegevensbescherming verplicht in Artikel 5 tot verwerking die beperkt blijft tot het doel waarvoor gegevens zijn verzameld. Trackers verzamelen vaak persoonsgegevens zonder dat een gebruiker hier expliciet toestemming voor geeft. Door tracking preventie af te dwingen, verkleint u het risico op ongeoorloofde gegevensstromen en kunt u aantonen dat de organisatie actief maatregelen neemt om gegevensminimalisatie te realiseren. Artikel 25 (privacy by design en by default) wordt praktisch ingevuld omdat Edge direct na installatie in een privacyvriendelijke stand draait.

Artikel 32 van de AVG en de BIO-paragraaf 11.01 vragen beide om passende technische en organisatorische maatregelen. Balanced mode is een technische maatregel die ongeautoriseerde toegang tot persoonsgegevens voorkomt door trackingdomeinen te blokkeren. De documentatie van pilotresultaten, change requests en monitoringrapportages vormt de organisatorische component. Samen tonen zij aan dat privacybescherming structureel is ingericht en niet afhankelijk is van individuele gebruikers.

Binnen de CIS Microsoft Edge Benchmark valt deze controle in de categorie Privacy Controls. Het benchmarkdocument schrijft niveau 2 expliciet voor om commerciële trackers te neutraliseren. Door te verwijzen naar de CIS-sectie en het versienummer van de benchmark in auditdossiers, kan een auditor eenvoudig zien dat de configuratie overeenkomt met internationale best practices. Voeg screenshots of exports van Intune-profielen toe als ondersteunend bewijs.

Voor organisaties die onder de NIS2-richtlijn vallen, ondersteunt deze controle de eisen uit Artikel 21 lid 2d (versleuteling en gegevensbescherming) en lid 2e (toezicht op netwerk- en informatiesystemen). Door trackers te blokkeren voorkomt u dat gevoelige metadata via buitenlandse advertentienetwerken het land verlaat. In combinatie met logging en incidentresponsprocessen kan de organisatie aantonen dat zij passende maatregelen heeft genomen tegen datalekken door profilering.

Ook ISO/IEC 27001:2022 bevat controles die relevant zijn, zoals A.8.11 (Beveiliging van gevoelige data) en A.8.20 (Gebruik van beveiligingsfunctionaliteit). Door Balanced mode centraal te beheren, voldoet de organisatie aan deze controls en kan zij dit opnemen in de Statement of Applicability. Een Data Protection Impact Assessment waarin deze Edge-configuratie wordt genoemd, versterkt het bewijs richting toezichthouders.

Voor audittrail-doeleinden bewaart u minimaal de volgende artefacten: export van het Intune-configuratieprofiel, een overzicht van toegewezen Azure AD-groepen, resultaten van monitoring-scripts, een register van goedgekeurde uitzonderingen met einddatum, en rapportages van geblokkeerde trackers per maand. Deze set vormt het formele bewijs dat de organisatie de controle niet alleen heeft ingesteld maar ook actief beheert. Tijdens audits kan snel worden aangetoond hoe afwijkingen worden opgespoord en verholpen.

Remediatie

Gebruik PowerShell-script tracking-prevention-balanced.ps1 (functie Invoke-Remediation) – Herstellen.

Remediatie begint zodra monitoring aantoont dat TrackingPrevention is uitgeschakeld of naar een lager niveau is teruggevallen. Markeer het betrokken apparaat in het SOC-dashboard en controleer of er recente wijzigingsverzoeken of noodprocedures actief zijn. Als er geen geldige uitzondering bestaat, start u direct het herstelproces om te voorkomen dat privacygevoelige data ongecontroleerd wordt verzameld.

Voer het PowerShell-script uit via Intune Proactive Remediation, Configuration Manager of een remote PowerShell-sessie. Het script schrijft de juiste waarde terug naar het register, zet de Edge-policyservice opnieuw aan en logt de correctie. Controleer aansluitend of er aanvullende instellingen zijn overschreven, bijvoorbeeld doordat een niet-beheerde extensie is geïnstalleerd, en verwijder eventuele overblijvende restanten.

Na de technische herstelling valideert u dat het beleid ook werkelijk actief blijft. Start Microsoft Edge op het betreffende systeem, navigeer naar edge://policy en verifieer dat TrackingPrevention op Enforced staat met waarde Balanced of Strict. Gebruik vervolgens de ingebouwde testpagina edge://compat of een privacytestsite om te bevestigen dat trackers daadwerkelijk worden geblokkeerd.

Documenteer iedere remediatie-actie in het securityticket met datum, oorzaak, verantwoordelijke en bevestiging van herstel. Wanneer herhaaldelijk dezelfde applicatie of gebruiker betrokken is, voer dan een root cause analyse uit: moet er extra training komen, is er een conflicterend GPO, of probeert een applicatie via lokale scripts policies te wijzigen? Los structurele oorzaken op zodat handmatige correcties niet blijven terugkeren.

Sluit het remediatieproces af door het apparaat opnieuw op te nemen in de reguliere monitoringrapportage en de gebruiker te informeren dat de privacybescherming weer actief is. Indien de storing is veroorzaakt door een legitieme bedrijfsbehoefte, begeleid dan het wijzigingsverzoek om een tijdelijke allowlist of aparte profielconfiguratie aan te maken. Zo blijft de controle effectief zonder innovatie te blokkeren.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Privacy: Tracking Prevention Balanced .DESCRIPTION CIS - Tracking prevention op balanced mode (minimum 1). .NOTES Filename: tracking-prevention-balanced.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\TrackingPrevention|Expected: 2 (balanced) #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "TrackingPrevention"; $ExpectedValue = 2 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "tracking-prevention-balanced.ps1"; PolicyName = "Tracking Prevention Balanced"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -ge 1) { $r.IsCompliant = $true; $r.Details += "Tracking prevention: level $($r.CurrentValue)" }else { $r.Details += "Tracking prevention: $($r.CurrentValue)" } }catch { $r.Details += "Niet geconfigureerd" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Tracking prevention balanced" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Medium privacy risk - cross-site tracking, fingerprinting, data harvesting zonder bescherming. Tracking prevention is fundamentele privacy control.

Management Samenvatting

Configureer TrackingPrevention is 2 (Balanced) minimum. Blokkeert meeste trackers met minimale breakage. Voor high-privacy: level 3 (Strict) + exceptions. NOOIT uitschakelen (0). Implementatie: 1-3 uur.