💼 Management Samenvatting
Deze maatregel beschrijft hoe een organisatie locatiediensten op Windows‑apparaten centraal uitschakelt via Microsoft Intune, zodat persoonsgegevens over de fysieke locatie van gebruikers niet onnodig worden verzameld of verwerkt. Door locatiedata standaard te blokkeren ontstaat een voorspelbare, privacyvriendelijke en beter beheersbare configuratie voor alle beheerde eindpunten.
Aanbeveling
IMPLEMENTEREN
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Locatiegegevens worden beschouwd als gevoelige persoonsgegevens, omdat zij veel kunnen onthullen over het gedrag, de routines en mogelijke kwetsbaarheden van medewerkers en burgers. Wanneer locatiediensten ongecontroleerd zijn ingeschakeld, kunnen applicaties van derden deze gegevens verzamelen, opslaan of delen zonder dat de organisatie hier volledig zicht op heeft. Dit creëert risico’s op het gebied van privacy, compliance met de AVG en mogelijke misbruikscenario’s, zoals profilering of ongewenste monitoring. Door locatiediensten centraal uit te schakelen, beperkt de organisatie het aanvalsoppervlak, voorkomt zij dat data buiten de vastgestelde beleidskaders wordt verwerkt en wordt geborgd dat uitzonderingen alleen bewust en aantoonbaar worden toegestaan.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
In deze maatregel wordt uitgelegd hoe locatiediensten op Windows‑apparaten worden uitgeschakeld met behulp van Intune configuratieprofielen en, waar nodig, aanvullende compliance policies. De sectie behandelt de functionele en technische vereisten, de stappen om het beleid uit te rollen naar verschillende devicegroepen, de inrichting van monitoring en rapportages en de wijze waarop afwijkingen worden hersteld. Daarnaast wordt beschreven hoe deze inrichting aansluit op bredere security‑ en privacydoelstellingen binnen de "Nederlandse Baseline voor Veilige Cloud" en hoe de gekozen instellingen aansluiten bij relevante normen en wetgeving.
Vereisten
Voordat deze maatregel kan worden geïmplementeerd, moet de organisatie enkele functionele en technische randvoorwaarden hebben ingevuld. Allereerst is een werkende Microsoft Intune‑omgeving vereist waarin Windows‑apparaten zijn ingeschreven en worden beheerd. De apparaten moeten zijn gekoppeld aan het juiste Entra ID‑tenant en worden georganiseerd in logische groepen, bijvoorbeeld op basis van organisatieonderdeel, gevoeligheid van de informatie of type gebruiker. Dit maakt het mogelijk om beleid gericht toe te passen en uitzonderingen beheersbaar te houden. Daarnaast moet er een vastgesteld informatiebeveiligings‑ en privacybeleid zijn waarin is vastgelegd hoe de organisatie omgaat met locatiedata en andere gevoelige persoonsgegevens. In dit beleid wordt beschreven welke gegevens als noodzakelijk worden gezien voor de dienstverlening, welke verwerkingen zijn toegestaan en onder welke voorwaarden uitzonderingen mogen worden gemaakt. De maatregel om locatiediensten uit te schakelen sluit aan op dit beleid en zorgt ervoor dat het beleid technisch wordt afgedwongen op alle relevante Windows‑apparaten. Aan de beheerzijde is het belangrijk dat er minimaal één beheergroep verantwoordelijk is voor het lifecycle‑beheer van dit Intune‑beleid. Deze groep bestaat idealiter uit Intune‑beheerders, security officers en privacy officers, zodat zowel technische als juridische en organisatorische belangen zijn vertegenwoordigd. Zij zorgen voor het ontwerpen, testen, implementeren en onderhouden van de configuratie. Tot slot moeten logging en rapportage in de beheertooling zijn ingeschakeld, zodat inzichtelijk is welke apparaten het beleid succesvol toepassen, waar er afwijkingen zijn en welke maatregelen zijn genomen om deze afwijkingen op te lossen.
Implementatie
De implementatie van het uitschakelen van locatiediensten start met het ontwerpen van een Intune‑configuratieprofiel dat expliciet bepaalt dat Windows‑locatiediensten zijn uitgeschakeld. In de praktijk wordt hiervoor een device configuration profile of, indien beschikbaar, een security baseline gebruikt waarin de relevante privacyinstellingen zijn opgenomen. Binnen dit profiel worden de beleidsinstellingen rond locatievoorzieningen zo ingesteld dat het besturingssysteem geen locatie kan bepalen of delen met applicaties, tenzij er sprake is van een vooraf goedgekeurde uitzondering. Het is raadzaam om het beleid in eerste instantie op een beperkte pilotgroep toe te passen, bijvoorbeeld een testgroep binnen IT of een kleine representatieve gebruikersgroep, zodat de impact op applicaties en werkprocessen kan worden beoordeeld. Tijdens de pilotfase controleert de organisatie of bedrijfs‑ of lijnspecifieke toepassingen afhankelijk zijn van locatiediensten, bijvoorbeeld voor noodhulp, logistiek of veldwerk. Als dergelijke afhankelijkheden aanwezig zijn, wordt vastgesteld of er alternatieve oplossingen mogelijk zijn of dat voor die specifieke scenario’s een gecontroleerde uitzondering nodig is. Uitzonderingen worden bij voorkeur afgedekt via aparte Intune‑groepen met een eigen configuratieprofiel, zodat de standaardinstelling – locatiediensten uitgeschakeld – intact blijft voor de grote meerderheid van de apparaten. Na een succesvolle pilot wordt het beleid gefaseerd uitgerold naar de productieomgeving. Dit gebeurt bij voorkeur per organisatieonderdeel of devicegroep, met duidelijke communicatie naar gebruikers over de wijziging en de achterliggende motivatie. In de communicatie wordt benadrukt dat het doel is om privacy en informatiebeveiliging te verbeteren, niet om functionaliteit onnodig te beperken. Gedurende de uitrol worden Intune‑rapportages en eventuele aanvullende scripts gebruikt om te controleren of de apparaten het beleid correct ontvangen en toepassen. Eventuele foutmeldingen of incompatibele configuraties worden geregistreerd en opgelost voordat de volgende uitrolgolf start.
Gebruik PowerShell-script location-services-disabled.ps1 (functie Invoke-Monitoring) – Het PowerShell‑script "location-services-disabled.ps1" wordt gebruikt om geautomatiseerd te controleren of de ingestelde Intune‑configuratie daadwerkelijk is doorgevoerd op de beheerde Windows‑apparaten. Het script leest relevante registry‑ en beleidsinstellingen uit en rapporteert welke systemen nog niet aan het gewenste locatiedienstenbeleid voldoen..
Monitoring
Structurele monitoring is essentieel om te borgen dat locatiediensten daadwerkelijk uitgeschakeld blijven en niet door lokale wijzigingen, foutieve configuraties of uitzonderingsscenario’s alsnog worden geactiveerd. De basis van deze monitoring ligt in de rapportagemogelijkheden van Intune zelf. Via ingebouwde compliance‑rapportages, device configuration status en policy health‑overzichten kan worden gecontroleerd welke apparaten het beleid succesvol toepassen en waar fouten of conflictsituaties optreden. Deze informatie wordt periodiek geanalyseerd en vastgelegd in reguliere beheer‑ en securityrapportages. Naast de standaardrapportages maakt de organisatie gebruik van aanvullende PowerShell‑scripts en geautomatiseerde controles om de status van locatiediensten te verifiëren. Deze controles kunnen bijvoorbeeld draaien in een beheer‑ of rapportageomgeving en de resultaten centraal opslaan in een log‑ of SIEM‑platform. Hierdoor kan het security‑ of privacyteam trends herkennen, zoals terugkerende problemen bij specifieke devicegroepen of locaties, en tijdig bijsturen. Ook biedt dit inzicht in de effectiviteit van het beleid en ondersteunt het bij interne en externe audits. Monitoring moet niet alleen technisch van aard zijn, maar ook procesmatig worden ingebed. Dit betekent dat er duidelijke afspraken zijn over wie de rapportages beoordeelt, hoe vaak dit gebeurt en welke opvolgacties worden verwacht bij afwijkingen. Bijvoorbeeld: als een apparaat herhaaldelijk aangeeft dat locatiediensten niet zijn uitgeschakeld, wordt dit onderzocht door de servicedesk of het endpoint‑beheerteam. Zij nemen contact op met de eigenaar van het apparaat, controleren of er sprake is van bewuste aanpassing of technische storing en zorgen dat het systeem weer in lijn wordt gebracht met de gestelde norm. Op deze manier wordt monitoring een continu proces in plaats van een eenmalige controle.
Gebruik PowerShell-script location-services-disabled.ps1 (functie Invoke-Monitoring) – De functie "Invoke-Monitoring" binnen het script werkt als geautomatiseerde controle die periodiek of on‑demand kan worden uitgevoerd. De resultaten kunnen worden geëxporteerd naar dashboards of auditrapportages, zodat management en toezichthouders aantoonbaar inzicht hebben in de naleving van het locatiedienstenbeleid..
Remediatie
Wanneer uit monitoring blijkt dat locatiediensten toch zijn ingeschakeld of dat apparaten het configuratieprofiel niet correct hebben toegepast, is een gestructureerde remediatieaanpak noodzakelijk. De eerste stap is het identificeren van de oorzaak: gaat het om een tijdelijk communicatieprobleem met Intune, een fout in de toegewezen groepen, een conflict met ander beleid of een bewuste wijziging door een lokale beheerder of gebruiker? Op basis hiervan wordt bepaald of een heruitrol van het beleid volstaat of dat aanvullende maatregelen nodig zijn, zoals het verwijderen van conflicterende configuraties of het aanpassen van uitzonderingsregels. De standaardaanpak bestaat uit het opnieuw toepassen van het relevante configuratieprofiel en het forceren van een device sync. Wanneer dit geen resultaat oplevert, wordt het probleem opgeschaald naar het endpoint‑beheerteam dat diepergaande technische analyse uitvoert. In gevallen waarin blijkt dat gebruikers bewust instellingen hebben aangepast, wordt dit gezien als een afwijking op het beveiligingsbeleid en kunnen aanvullende maatregelen volgen, zoals extra bewustwording, restricties op lokale beheermogelijkheden of, in uiterste gevallen, disciplinaire stappen. De gekozen aanpak wordt vastgelegd zodat vergelijkbare situaties in de toekomst sneller kunnen worden hersteld. Het is belangrijk dat remediatie reproduceerbaar en auditbaar is. Daarom worden stappen zoveel mogelijk geautomatiseerd via Intune, PowerShell‑scripts en standaardchangeprocedures binnen de IT‑organisatie. Door het gebruik van gestandaardiseerde scripts, zoals de functie "Invoke-Remediation" in het bijbehorende PowerShell‑script, kan snel en consistent worden opgetreden bij afwijkingen. Alle uitgevoerde acties worden gelogd, zodat achteraf kan worden aangetoond welke apparaten zijn hersteld, wanneer dit is gebeurd en welke oorzaak aan de afwijking ten grondslag lag.
Gebruik PowerShell-script location-services-disabled.ps1 (functie Invoke-Remediation) – De functie "Invoke-Remediation" automatiseert herstelacties op apparaten waarbij locatiediensten niet in overeenstemming zijn met het beleid. Het script probeert de juiste instellingen opnieuw af te dwingen en rapporteert welke systemen succesvol zijn hersteld en waar aanvullende manuele interventie nodig is..
Compliance en Auditing
Het uitschakelen van locatiediensten draagt direct bij aan naleving van de AVG en de Nederlandse bio‑ en rijksbrede beveiligingskaders, omdat de hoeveelheid verzamelde persoonsgegevens wordt beperkt tot wat strikt noodzakelijk is. Vanuit het principe van dataminimalisatie is het niet toegestaan om locatiegegevens te verwerken als daar geen duidelijk doel en rechtsgrond voor bestaat. Door locatiediensten standaard uit te schakelen en alleen via expliciete uitzonderingen toe te staan, kan de organisatie aantonen dat zij deze verplichting serieus neemt en technische en organisatorische maatregelen heeft getroffen om de verwerking van gevoelige gegevens te beperken. Voor auditdoeleinden moet inzichtelijk zijn welke beleidsinstellingen zijn geconfigureerd, welke apparaten onder het beleid vallen en hoe wordt gecontroleerd dat de inrichting in stand blijft. Dit betekent dat documentatie beschikbaar is over het ontwerp van de Intune‑configuratie, de gebruikte scripts, de logische groepering van apparaten en de procedures rond monitoring en remediatie. Auditrapportages bevatten een overzicht van de nalevingsgraad, geconstateerde afwijkingen en de maatregelen die zijn genomen om deze op te lossen. Bij voorkeur worden deze rapportages periodiek gedeeld met het CISO‑office, de privacy officer en, indien van toepassing, de interne auditdienst. Wanneer externe toezichthouders, zoals de Autoriteit Persoonsgegevens of een accountantsorganisatie, vragen naar de beheersing van locatiedata, kan de organisatie met behulp van deze documentatie en logging aantonen dat locatiediensten onder controle zijn gebracht. Dit laat zien dat de inrichting niet alleen een technische keuze is, maar onderdeel vormt van een breder governance‑ en risicobeheerraamwerk binnen de "Nederlandse Baseline voor Veilige Cloud".
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Privacy: Location Services Disabled
.DESCRIPTION
CIS - Location services volledig disabled.
.NOTES
Filename: location-services-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Windows\LocationAndSensors\DisableLocation|Expected: 1
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\LocationAndSensors"; $RegName = "DisableLocation"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "location-services-disabled.ps1"; PolicyName = "Location Services"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Disabled"; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v) { $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Location disabled" }else { $r.Details += "Location enabled" } }else { $r.Details += "Niet geconfigureerd" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Location services disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Als locatiediensten ongecontroleerd ingeschakeld blijven, kunnen gevoelige locatiegegevens van medewerkers en burgers onnodig worden verzameld, gedeeld of misbruikt, wat leidt tot privacyrisico’s, mogelijke overtredingen van de AVG en een groter aanvalsoppervlak voor kwaadwillenden.
Management Samenvatting
Schakel locatiediensten centraal uit via Intune om gevoelige locatiegegevens te beschermen en te voldoen aan privacy‑ en beveiligingseisen.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE