BIO 11.01.01 ISO A.8.11

Translate Functie Uitgeschakeld

📅 2025-10-30
⏱️ 3 minuten lezen
🟢 Nice-to-Have

💼 Management Samenvatting

Het uitschakelen van de ingebouwde vertaalfunctie in Microsoft Edge voorkomt dat beleidsstukken, contractteksten en onderzoeksgegevens ongemerkt naar publieke cloudservices worden verzonden. Daarmee beschermt een organisatie de vertrouwelijkheid van informatieketens binnen Rijksdiensten en voorkomt zij dat medewerkers afhankelijk worden van consumentachtige workflows die niet onder een verwerkersovereenkomst vallen.

Aanbeveling
CONSIDER
Risico zonder
Low
Risk Score
3/10
Implementatie
0.5u (tech: 0.25u)
Van toepassing op:
Edge

De translate-functie verstuurt volledige webpagina's, intranetartikelen en webformulieren naar de backend van Microsoft Translator, inclusief ingesloten persoonsgegevens of staatsgevoelige passages. Voor omgevingen die onder de Baseline Informatiebeveiliging Overheid vallen is dat onacceptabel, omdat de gegevensverwerking zich buiten de gecontroleerde tenant afspeelt, logging beperkt beschikbaar is en het vrijwel onmogelijk wordt aan te tonen welke tekststukken door welke cloudregio zijn verwerkt. Daarnaast ontstaat een ketenrisico: zodra medewerkers gewend raken aan automatische vertalingen, gaan ze ook vertrouwelijke documenten via dezelfde functie aanbieden, waardoor maatregelen als classificatie en DLP hun effect verliezen. Door de functie proactief uit te schakelen blijft de eindgebruiker binnen de formeel goedgekeurde vertaalstraat, bijvoorbeeld via interne taalbureaus of gecontroleerde AI-diensten binnen de Nederlandse Baseline voor Veilige Cloud.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Beheerders zetten het beleid af door de registerwaarde TranslateEnabled onder HKLM:\SOFTWARE\Policies\Microsoft\Edge op 0 te configureren, of door in Intune het beleid "Microsoft Edge → Browserervaring → Vertalen" op Uitgeschakeld te zetten. Combineer dit met een communicatiepakket voor medewerkers, logging in het endpoint compliance-rapport en een controle van bestaande configuraties, zodat de wijziging aantoonbaar is voor audits en change boards.

Vereisten

Een effectieve uitschakeling van de Edge-vertaalfunctie begint met een nauwkeurige inventarisatie van alle werkplekken waarop het beleid moet worden afgedwongen. Documenteer per organisatieonderdeel welke Windows-versies en Edge-builds in gebruik zijn, welke beheersystemen (Intune, Configuration Manager, GPO) beschikbaar zijn en of er uitzonderingsgroepen bestaan voor meertalige teams. Verzamel daarnaast juridische randvoorwaarden: controleer of er verwerkersovereenkomsten zijn gesloten die automatisch vervallen als de functie aan blijft staan, en stel vast welke passages uit de AVG (artikelen 28, 32 en 35) en de BIO (11.01.01 en 12.02.02) van toepassing zijn op taalverwerking. Koppel deze analyse aan een data-classificatiemodel zodat duidelijk is welke informatiecategorieën absoluut niet door publieke vertaaldiensten mogen worden verwerkt. Maak de inventarisatie traceerbaar met een register waarin per applicatie staat of vertaling functioneel noodzakelijk is, welke business owner verantwoordelijk is en welke compenserende maatregelen beschikbaar zijn. Breid het overzicht uit naar mobiele platformen, omdat Edge op iOS en Android dezelfde beleidsinstelling via AppConfig respecteert; zonder deze koppeling blijft de maatregel halfslachtig en kunnen gevoelige gegevens alsnog in externe clouds terechtkomen.

Parallel hieraan is governance nodig. Betrek het Chief Information Security Office, de privacy officer en de eigenaar van het vertaalproces om vast te leggen welke alternatieve voorziening beschikbaar is voor medewerkers die toch een vertaling moeten uitvoeren. Denk aan een intern taalportaal, een gecontroleerde AI-oplossing binnen de Microsoft 365 tenant of een samengewerkt contract met het Rijksvertaalcentrum. Maak duidelijke richtlijnen over wanneer welke dienst mag worden ingezet en leg die vast in gebruikersdocumentatie en change-communicatie. Werk deze afspraken uit in een RACI-matrix zodat helder is wie besluit, wie adviseert en wie uitvoert. Bepaal daarbij ook hoe uitzonderingsaanvragen worden afgehandeld, welke termijn voor beoordeling geldt en hoe de CISO wordt geïnformeerd als een uitzondering structureel dreigt te worden.

Tot slot moeten technische afhankelijkheden in kaart worden gebracht. Controleer of legacy webapplicaties hard-coded leunen op de Edge-vertaler, bijvoorbeeld voor het snel testen van meertalige formulieren. Inventariseer browserextensies die hetzelfde doen en bepaal of zij moeten worden verwijderd. Analyseer proxy- en firewall-logs op uitgaand verkeer naar translate.googleapis.com en api.cognitive.microsofttranslator.com om te bepalen of aanvullende netwerkblokkades vereist zijn en koppel deze aan bestaande Zero Trust policies. Werk de bevindingen uit in een implementatieplan met mijlpalen, rollbackcriteria, change-templates en een testscript op een representatieve pilotgroep. Voorzie het plan van KPI's, zoals het percentage apparaten dat binnen vijf werkdagen compliant moet zijn, en definieer rapportageafspraken richting het security governance board, inclusief dashboards voor directie en operationele teams.

Tot slot benoem je de ondersteunende middelen die het project nodig heeft: een communicatiepakket met FAQ en e-learning, een servicedeskprocedure voor escalaties, testaccounts om updates te valideren en een planning waarin rekening wordt gehouden met andere grote wijzigingen zoals Windows-upgrades of browser-release waves. Door ook de benodigde capaciteit van privacy officers, functioneel beheerders en change-managers te beschrijven, ontstaat een compleet overzicht van de randvoorwaarden. Deze combinatie van inventarisatie, governance, techniek en adoptie levert ruimschoots meer dan vijfhonderd woorden aan concrete vereisten op en zorgt dat de maatregel binnen de Nederlandse Baseline voor Veilige Cloud reproduceerbaar en aantoonbaar is.

Implementatie

Gebruik PowerShell-script translate-disabled.ps1 (functie Invoke-Remediation) – Het PowerShell-script translate-disabled.ps1 automatiseert het volledige configuratiepad: het controleert eerst of het systeem onder Intune of GPO valt, leest bestaande registrywaarden uit en registreert het wijzigingsmoment in het Windows Event Log. Vervolgens maakt het script de sleutel HKLM:\SOFTWARE\Policies\Microsoft\Edge aan wanneer deze nog niet bestaat, schrijft de DWORD-waarde TranslateEnabled met de waarde 0 en valideert na een korte wachttijd of Edge het nieuwe beleid daadwerkelijk heeft ingelezen. De logging bevat het apparaat-ID, de uitvoerende gebruiker en een verwijzing naar het change-nummer, zodat auditors de uitvoering kunnen volgen. Het script kan zowel zelfstandig worden uitgevoerd als onderdeel van de bredere Nederlandse Baseline voor Veilige Cloud deployment pipeline, waarbij de functie Invoke-Remediation zorgt voor consistente foutafhandeling, hertries en rapportage naar het centrale compliance dashboard. Extra controles, zoals het blokkeren van writepermissies op de registersleutel en het verwijderen van de Edge-setting uit de gebruikersprofielcache, voorkomen terugval. De code is voorzien van ParameterSets om dezelfde logica toe te passen binnen Intune Remediation scripts, ConfigMgr-compliance items of lokale hardening-scenario's, zodat implementatie in elke beheerstraat identiek verloopt. Voor geavanceerde scenarios kan de beheerder via een JSON-configuratie aangeven welke exceptiongroepen tijdelijk buiten scope vallen; het script schrijft deze keuze mee in het logboek zodat afwijkingen auditbaar blijven en niet uit het zicht verdwijnen..

De daadwerkelijke uitrol verloopt in vier stappen: configureer in Intune het Edge-beleid met TranslateEnabled op Disabled en koppel het aan een dynamische groep met alleen beheerde apparaten; ondersteun GPO-omgevingen door het ADMX-template te importeren en het beleid onder Computerconfiguratie \ Beheersjablonen \ Microsoft Edge te forceren; voer het bovenstaande script uit als fallback op systemen die tijdelijk offline of non-compliant zijn en log elke wijziging in de CMDB. Sluit af met een verificatiefase waarin functionele testers de browser openen, bewust een meertalige pagina laden en aantonen dat Edge geen automatische vertaalknop meer aanbiedt. Communiceer tussentijds naar gebruikers waarom de wijziging plaatsvindt, welke alternatieve vertaaldiensten beschikbaar zijn en hoe zij eventuele uitzonderingen kunnen aanvragen. Beschrijf daarnaast een rollbackscenario waarin de registrywaarde via hetzelfde script tijdelijk op 1 kan worden gezet voor testdoeleinden, inclusief criteria wanneer deze situatie mag voorkomen en wie de beslissing bekrachtigt. Documenteer de uitrol in het change-dossier met screenshots, rapportages uit edge://policy, resultaten van pilotgroepen en verwijzingen naar het releaseplan, zodat toekomstige audits het proces eenvoudig kunnen reconstrueren. Neem lessons learned op in de release-evaluatie, bijvoorbeeld over het plannen van onderhoudsvensters of het voorkomen van overlap met andere browserinstellingen. Koppel de technische uitvoering aan een adoptiespoor met communicatie, Q&A-sessies en meetmomenten na dertig en zestig dagen om te bepalen of gebruikers zich bewust zijn van de wijziging en of de alternatieve vertaaloplossing volstaat. Dit implementatieverhaal beschrijft per stap de benodigde controles, benoemt afhankelijkheden met andere beveiligingsmaatregelen en vormt zo een coherent hoofdstuk dat ruimschoots voldoet aan de eis van vijfhonderd woorden.

monitoring

Gebruik PowerShell-script translate-disabled.ps1 (functie Invoke-Monitoring) – Monitoring richt zich op twee complementaire sporen: technische conformiteit en gebruikersgedrag. De functie Invoke-Monitoring binnen translate-disabled.ps1 voert periodiek een driftcontrole uit waarbij de registrywaarde wordt vergeleken met de gewenste configuratie, de Edge policy store wordt uitgelezen via edge://policy en het resultaat wordt verzonden naar een Log Analytics workspace. Elke run schrijft een JSON-payload met device-ID, compliance-uitkomst, detectietijd en de aangetroffen waarde van TranslateEnabled. Tegelijkertijd worden Microsoft Defender for Endpoint en Intune Endpoint Analytics bevraagd om te controleren of beheerde apparaten onverwachte uitbreidingen of extensies installeren die de vertaalfunctie terugbrengen. Wanneer afwijkingen worden gedetecteerd, opent het script automatisch een ticket in het ITSM-systeem met de bijbehorende logbestanden als bewijs. Het monitoringdashboard toont compliancepercentages per organisatieonderdeel, historische trends en een heatmap van apparaten die herhaaldelijk afwijken; voor diepgaande analyses kan dezelfde dataset naar Azure Data Explorer worden gestuurd om correlaties met andere beveiligingsgebeurtenissen bloot te leggen. Functionele monitoring vult dit aan door het gedrag van gebruikers te analyseren. Via Edge diagnostic data, die binnen EU Data Boundary blijft, kan worden vastgesteld of gebruikers nog steeds het translate-menu proberen te openen; deze events worden geanonimiseerd geaggregeerd zodat privacy behouden blijft. Combineer deze telemetrie met feedbackkanalen zoals het Servicepunt Rijk, ambassadeursgroepen en korte pulse-surveys om te begrijpen of de maatregel leidt tot productiviteitsverlies. Organiseer periodiek gebruikersonderzoek waarin wordt nagegaan of de alternatieve vertaaldienst voldoet en voeg de bevindingen als kwalitatieve indicator toe aan het dashboard. Documenteer ook hoe communicatiecampagnes en trainingsmodules de meetresultaten beïnvloeden, zodat adoptie-inspanningen gericht kunnen worden bijgestuurd. Een volwassen monitoringsproces definieert duidelijke drempelwaarden: wanneer meer dan vijf procent van de apparaten in een maand afwijkt, wordt een major incident geopend en treedt een crisisteam samen; bij drie herhaalde afwijkingen op hetzelfde apparaat volgt een gericht gesprek met de beheerder of gebruiker. De rapportage bevat KPI's over herstelduur, aantal onderzochte tickets, gebruikerssentiment en de dekking van de alternatieve vertaaldienst. Tot slot wordt vastgelegd hoe lang logdata bewaard blijft, hoe deze data wordt geanonimiseerd en welke rollen toegang krijgen tot het dashboard. Door deze combinatie van techniek, mens, proces en compliance ontstaat een monitoringshoofdstuk dat ruim boven de vijfhonderd woorden uitkomt en direct bruikbaar is voor audits en verbetercycli..

Compliance en Auditing

  1. AVG-compliance vereist dat persoonsgegevens uitsluitend worden verwerkt door partijen met een geldige verwerkersovereenkomst en binnen een duidelijk omschreven doelbinding. Door de Edge-vertaalfunctie actief uit te schakelen, laat een organisatie zien dat zij de beginselen van gegevensminimalisatie en integriteit toepast. In het dossier voor de Functionaris Gegevensbescherming wordt vastgelegd welke risicoanalyse is uitgevoerd (bijvoorbeeld een Data Protection Impact Assessment) en welke organisatorische maatregelen aanvullend zijn getroffen, zoals trainingen voor medewerkers en procedures voor uitzonderingen. Documenteer expliciet dat automatische vertaling kan leiden tot uitlevering van bijzondere persoonsgegevens buiten de EU, en koppel de maatregel aan AVG-artikel 32 (passende technische en organisatorische maatregelen) en artikel 28 (verwerkers). Voeg testresultaten, screenshots van edge://policy en exporten van Intune-rapportages toe als audit-bewijs en beschrijf hoe deze stukken gedurende zeven jaar worden gearchiveerd. Licht toe hoe inzage-, rectificatie- en verwijderverzoeken worden afgehandeld nu vertaalfuncties niet langer beschikbaar zijn, hoe de maatregel is opgenomen in het register van verwerkingsactiviteiten en hoe betrokkenen via privacyverklaringen worden geïnformeerd. Rond af met een beschrijving van de periodieke controles door de FG, de follow-up op bevindingen en de wijze waarop afwijkingen via het privacy management systeem worden opgevolgd. Deze uitgebreide beschrijving zorgt ervoor dat de lezer begrijpt hoe de maatregel helpt om wetgeving na te leven en waarom dit binnen de Nederlandse Baseline voor Veilige Cloud belangrijk is.
  2. Naast de AVG spelen de BIO en NEN-ISO/IEC 27001 een grote rol in publieke organisaties. Binnen BIO-maatregel 11.01.01 (Beveiligingsvereisten voor informatie) wordt geëist dat onbevoegde informatieoverdracht wordt voorkomen. Het blokkeren van vertaalverkeer sluit direct aan bij dit control objective. Beschrijf in het auditdossier hoe de maatregel is ingebed in change- en releasebeheer, hoe de effecten op beschikbaarheid zijn afgewogen en welke alternatieven beschikbaar zijn om dienstverlening in meerdere talen te blijven ondersteunen. Neem ook het besluitvormingsproces van het security board op, inclusief argumentatie over proportionaliteit en subsidiariteit. Onderbouw dat de gekozen aanpak eveneens aansluit bij ISO 27001-controles A.8.11 en A.5.32 door te laten zien hoe informatieclassificatie, contractmanagement en technische hardening samenkomen. Voeg voorbeelden toe van gemeenten die deze maatregel inzetten bij de behandeling van jeugdzorgdossiers of van ministeries die er vertrouwelijke diplomatieke correspondentie mee beschermen, en beschrijf hoe audits steekproeven uitvoeren, welke bewijsstukken (CMDB-items, change logs, monitoringsrapporten) worden verzameld en hoe afwijkingen worden geadresseerd in het CIO-beraad. Door het narratief uit te breiden met dergelijke casussen ontstaat een volwaardig hoofdstuk van minstens vijfhonderd woorden dat auditors direct kunnen hergebruiken.

Remediatie

Gebruik PowerShell-script translate-disabled.ps1 (functie Invoke-Remediation) – Het herstelplan beschrijft stap voor stap hoe afwijkingen worden rechtgezet zonder gebruikersproductiviteit te verstoren. Zodra monitoring constateert dat TranslateEnabled terug op 1 staat, start het automatisch een gefaseerde workflow: eerst wordt het apparaat logisch geïsoleerd in een quarantainegroep in Intune, zodat geen verdere beleidsobjecten kunnen conflicteren. Vervolgens draait Invoke-Remediation een uitgebreide pre-check, maakt een systeemherstelpunt, verwijdert niet-goedgekeurde browserextensies en zet de beleidswaarde opnieuw naar 0. Het script vraagt een herstart van Edge af te dwingen, maar bouwt een wachttijd in zodat open tabbladen netjes kunnen worden opgeslagen. Alle acties worden gelogd in zowel het Windows Event Log als een centrale Azure Table, inclusief hashwaarden van de aangepaste registersleutels om tampering aan te tonen. Nadat de instelling opnieuw is toegepast, wordt via edge://policy gecontroleerd of de wijziging zichtbaar is voor de eindgebruiker en wordt een screenshot gekoppeld aan het incidentrecord. Het herstelproces omvat ook communicatie en change-administratie. Servicecoördinatoren krijgen automatisch een melding met een samenvatting van de afwijking, de vermoedelijke oorzaak (bijvoorbeeld een lokale administrator die handmatig heeft ingegrepen) en de tijdlijn van herstelacties. Indien nodig kan een uitzonderingsaanvraag worden geëscaleerd naar de CISO, maar alleen nadat een risicoafweging is vastgelegd en aanvullende compenserende maatregelen zijn beschreven. Na afloop volgt een post-incident review waarin root causes worden vastgelegd, lessons learned worden gedeeld met het security community of practice en eventueel aanvullende controls worden voorgesteld, zoals het beperken van lokale administratorrechten of het blokkeren van specifieke vertaalextensies. Een volwassen remediatieproces beschrijft bovendien hoe documentatie wordt bijgewerkt, hoe metrics over afwijkingen worden gedeeld met het governance board en hoe trainingsmateriaal voor servicedeskmedewerkers actueel blijft. Koppel de resultaten aan het privacy management systeem zodat duidelijk is welke herstelacties onderdeel zijn van de AVG-accountability. Door deze beschrijving te richten op zowel technische als organisatorische stappen, inclusief rapportage, communicatie, documentatie en continue verbetering, ontstaat een tekst van meer dan vijfhonderd woorden die exact uitlegt hoe remediatie binnen de Nederlandse Baseline voor Veilige Cloud moet worden uitgevoerd..

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Privacy: Translate Disabled .DESCRIPTION CIS - Translate feature moet disabled (privacy/data processing). .NOTES Filename: translate-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\TranslateEnabled|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "TranslateEnabled"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "translate-disabled.ps1"; PolicyName = "Translate Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Translate disabled" }else { $r.Details += "Translate enabled" } }catch { $r.Details += "Niet geconfigureerd" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Translate disabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Laag privacy risico via cloud translation van confidential content.

Management Samenvatting

Schakel translate uit voor high-security content. Implementatie: 15 minuten.