Hoe OneDrive uw gegevens in de cloud beschermt

U beheert uw gegevens. Wanneer u uw gegevens in OneDrive-cloudopslag plaatst, blijft u de eigenaar van de gegevens. Zie Office 365 Privacy by Design voor meer informatie over het eigendom van uw gegevens.

Bekijk deze training voor meer informatie over OneDrive-functies die u kunt gebruiken om uw bestanden, foto's en gegevens te beveiligen: OneDrive beveiligen en herstellen

Hoe u uw gegevens kunt beveiligen

U kunt diverse dingen doen om uw bestanden te beveiligen in OneDrive:

• Maak een sterk wachtwoord.Controleer de sterkte van uw wachtwoord.
• Voeg beveiligingsgegevens toe aan uw Microsoft-account. U kunt bijvoorbeeld uw telefoonnummer, een ander e-mailadres en een beveiligingsvraag en -antwoord toevoegen. Stel dat u ooit uw wachtwoord vergeet of dat uw account wordt gehackt, dan kunnen we uw beveiligingsgegevens gebruiken om uw identiteit te controleren en u helpen weer toegang te krijgen tot uw account. Ga naar de pagina Beveiligingsgegevens.
• Gebruik tweevoudige verificatie. U kunt uw account beveiligen door te vereisen dat er een extra beveiligingscode wordt ingevoerd wanneer u zich aanmeldt op een apparaat dat niet wordt vertrouwd. De tweede verificatie kan worden gedaan via een telefoontje, sms of app. Zie Verificatie in twee stappen gebruiken met uw Microsoft-account voor meer informatie over verificatie in twee stappen.
• Schakel versleuteling in op uw mobiele apparaten. Als u de mobiele OneDrive-app hebt, raden we aan versleuteling in te schakelen op uw iOS- of Android-apparaten. Dit helpt om uw OneDrive bestanden te beveiligen als u uw mobiele apparaat verliest, als het wordt gestolen of als iemand er toegang toe krijgt.
• Abonneer u op Microsoft 365. Een Microsoft 365-abonnement biedt u geavanceerde bescherming tegen virussen en cybercriminaliteit en manieren om uw bestanden te herstellen tegen schadelijke aanvallen.

Hoe OneDrive uw gegevens beveiligt

Microsoft-technici beheren OneDrive met behulp van een Windows PowerShell-console waarvoor tweeledige verificatie is vereist. We voeren dagelijkse taken uit via werkstromen, zodat we snel kunnen reageren op nieuwe situaties. Geen enkele technicus heeft permanent toegang tot de service. Wanneer technici toegang nodig hebben, moeten ze deze aanvragen. Bevoegdheden worden gecontroleerd en als toegang van de technicus is goedgekeurd, is dit slechts voor een beperkte tijd.

Daarnaast investeren OneDrive en Office 365 sterk in systemen, processen en medewerkers om de kans op inbreuk op persoonsgegevens te verminderen en snel de gevolgen van een inbreuk te detecteren en te beperken, mocht die zich voordoen. Enkele van onze investeringen op dit gebied zijn:

Toegangsbeheersystemen: voor OneDrive en Office 365 geldt een 'zero-standing access-beleid', wat betekent dat technici geen toegang hebben tot de service, tenzij deze expliciet wordt verleend als reactie op een specifiek incident waarvoor toegang is vereist. Wanneer toegang wordt verleend, gebeurt dit volgens het principe van minimale bevoegdheid: bij een specifiek verzoek wordt toestemming gegeven voor een minimale set handelingen die nodig is om het verzoek uit te voeren. Bij OneDrive en Office 365 bestaat een strikte scheiding tussen "bevoegdheidsrollen", waarbij elke rol alleen bepaalde vooraf gedefinieerde handelingen toestaat. De rol 'Toegang tot klantgegevens' verschilt van andere rollen die vaker worden gebruikt voor het beheer van de service en aan deze rol worden de zwaarste eisen gesteld voorafgaand aan goedkeuring. De combinatie van deze investeringen in toegangsbeheer vermindert de kans aanzienlijk dat een technicus in OneDrive of Office 365 ongewenste toegang heeft tot klantgegevens.

Beveiligingsbewakingssystemen en automatisering: OneDrive en Office 365 robuuste, realtime beveiligingsbewakingssystemen onderhouden. Deze systemen genereren onder meer waarschuwingen bij pogingen om op illegale wijze toegang te krijgen tot klantgegevens of bij pogingen om gegevens op illegale wijze over te dragen vanuit onze service. Met betrekking tot de punten over toegangsbeheer die hierboven zijn genoemd, houden onze veiligheidsmonitoringsystemen gedetailleerde logs bij van bevoegdheidsuitbreidingsaanvragen die worden gedaan en de uitgevoerde handelingen bij een bevoegdheidsuitbreidingsaanvraag. OneDrive en Office 365 investeren ook in automatische oplossingen, die automatisch bedreigingen inperken als reactie op problemen die we detecteren, en speciale teams die reageren op waarschuwingen die niet automatisch kunnen worden opgelost. Om onze veiligheidsmonitoringsystemen te valideren, houden OneDrive en Office 365 geregeld Red Team-oefeningen waarbij een intern testteam het gedrag van een aanvaller simuleert in de liveomgeving. Deze oefeningen leiden tot regelmatige verbeteringen van onze veiligheidsmonitoring en responscapaciteit.

Personeel en processen: Naast de hierboven beschreven automatisering onderhouden OneDrive en Office 365 processen en teams die verantwoordelijk zijn voor het opleiden van de bredere organisatie over privacy- en incidentbeheerprocessen en voor het uitvoeren van deze processen tijdens een schending. Teams binnen de organisatie werken bijvoorbeeld met een gedetailleerde SOP (Standard Operating Procedure) in het geval van privacyschendingen. Deze SOP beschrijft in detail de rollen en verantwoordelijkheden van zowel afzonderlijke teams binnen OneDrive en Office 365, als de gecentraliseerde responsteams in het geval van beveiligingsincidenten. Dit omvat zowel wat teams moeten doen om hun eigen beveiligingsgedrag te verbeteren (beveiligingsbeoordelingen uitvoeren, integreren met centrale veiligheidsmonitoringsystemen en andere best practices) en wat teams moeten doen in het geval van een daadwerkelijke schending (snelle escalatie naar incidentrespons, het onderhouden en leveren van specifieke gegevensbronnen die worden gebruikt om het responsproces te versnellen). Teams worden ook regelmatig getraind op dataclassificatie en de juiste verwerkings- en opslagprocedures voor persoonlijke gegevens.

Het belangrijkste is dat OneDrive en Office 365, voor zowel consumenten als zakelijke abonnementen, sterk investeren in het verminderen van de kans op en de gevolgen van inbreuk op persoonlijke gegevens van onze klanten. Is er sprake van inbreuk op persoonsgegevens, dan doen we er alles aan om onze klanten snel op de hoogte te stellen zodra deze inbreuk is bevestigd. 

Beveiliging bij verzending en in opslag

Beveiliging bij verzending

Als gegevens worden verstuurd door klanten naar de service, en tussen datacenters, zijn deze gegevens beschermd via TLS-versleuteling (Transport Layer Security). Alleen beveiligde toegang is toegestaan. Ongeautoriseerde verbindingen via http worden niet door ons toegestaan, maar doorgestuurd naar https.

Beveiliging bij opslag

Fysieke beveiliging: slechts een beperkt aantal noodzakelijke medewerkers heeft toegang tot datacenters. Hun identiteiten worden geverifieerd via meerdere verificatiefactoren, inclusief smartcards en biometrie. Op het terrein zijn beveiligingsmedewerkers, bewegingssensoren en videobewaking aanwezig. Ongewone activiteit wordt gemonitord met inbraakdetectiemeldingen.

Netwerkbeveiliging: de netwerken en identiteiten zijn geïsoleerd van het bedrijfsnetwerk van Microsoft. Firewalls beperken het verkeer naar de omgeving vanaf niet-geautoriseerde locaties.

Toepassingsbeveiliging: technici die functies bouwen, volgen de levenscyclus voor beveiligingsontwikkeling. Geautomatiseerde en handmatige analyses helpen mogelijke kwetsbaarheden identificeren. Het Microsoft Security Response Center helpt bij het sorteren van binnenkomende beveiligingsrapporten en het evalueren van risicobeperkingen. Via de Microsoft Cloud Bug Bounty-voorwaarden kunnen mensen over de hele wereld geld verdienen door beveiligingsproblemen te melden.

Inhoudsbeveiliging: elk opgeslagen bestand wordt versleuteld met een unieke AES256-sleutel. Deze unieke sleutels worden versleuteld met een set hoofdsleutels die zijn opgeslagen in de Azure-hoofdkluis.

Maximaal beschikbaar, altijd herstelbaar

Onze datacenters zijn geografisch verspreidt binnen de regio en bestand tegen storingen. Gegevens worden gespiegeld in minimaal twee verschillende Azure-regio's, die zich minstens enkele honderden kilometers van elkaar bevinden, zodat we de gevolgen van een natuurramp of verlies in een regio kunnen beperken.

Continu gevalideerd

We monitoren onze datacenters voortdurend om ze in veilig en in goede conditie te houden. Dit begint met inventarisatie. Een inventarisatiefunctionaris voert een statusopname van elke machine uit.

Als we een inventarisatie hebben, kunnen we de conditie van de machines monitoren en herstellen. Continue implementatie zorgt ervoor dat elke machine patches, bijgewerkte antivirushandtekeningen en een bekende goede configuratie heeft. Implementatielogica zorgt ervoor dat we slechts een bepaald percentage machines tegelijk patchen of draaien.

Het Microsoft 365 'Red Team' binnen Microsoft bestaat uit inbraakspecialisten. Ze zoeken naar mogelijkheden om onbevoegd toegang te krijgen. Het "Blue Team" bestaat uit beveiligingstechnici die zich richten op preventie, detectie en herstel. Ze bouwen technologieën voor inbraakdetectie en -respons. Zie Security Office 365 (blog) voor meer informatie over de beveiligingsteams bij Microsoft.

Aanvullende OneDrive beveiligingsfuncties

Als cloudopslagservice heeft OneDrive veel andere beveiligingsfuncties. Inclusief:

• Virusscans naar bekende bedreigingen bij downloaden - De Windows Defender antimalware-engine scant documenten op het moment van downloaden op inhoud die overeenkomt met een AV-handtekening (elk uur bijgewerkt).
• Controle van verdachte activiteiten - Om onbevoegde toegang tot uw account te voorkomen, controleert OneDrive verdachte aanmeldingspogingen en blokkeert deze. Daarnaast sturen we u een e-mailmelding als er ongebruikelijke activiteiten worden gedetecteerd, zoals een aanmeldpoging vanaf een nieuw apparaat of nieuwe locatie.
• Detectie en herstel van ransomware : als Microsoft 365-abonnee wordt u gewaarschuwd als OneDrive een ransomware of schadelijke aanval detecteert. U kunt uw bestanden eenvoudig herstellen naar een bepaald tijdstip voordat ze werden beïnvloed, tot 30 dagen na de aanval. U kunt ook uw hele OneDrive herstellen tot 30 dagen na een kwaadaardige aanval of andere soorten gegevensverlies, zoals beschadigde bestanden of onbedoelde verwijderingen en bewerkingen.
• Versiegeschiedenis voor alle bestandstypen - in het geval van ongewenste bewerkingen of onbedoeld verwijderen kunt u verwijderde bestanden terugzetten vanuit de Prullenbak van OneDrive of een eerdere versie van een bestand in OneDriveherstellen.
• Met een wachtwoord beveiligde & verlopende koppelingen voor delen : als Microsoft 365-abonnee kunt u uw gedeelde bestanden veiliger houden door een wachtwoord te vereisen om ze te openen of een vervaldatum in te stellen op de koppeling voor delen.
• Melding en herstel van massaverwijdering van bestanden: als u per ongeluk of opzettelijk een groot aantal bestanden in uw OneDrive-cloudback-up verwijdert, zullen we u waarschuwen en u voorzien van stappen om deze bestanden te herstellen.

Persoonlijke kluis

Persoonlijke OneDrive-kluis is een beveiligd gebied in OneDrive dat u alleen kunt openen met een sterke verificatiemethode of een tweede stap van identiteitsverificatie, zoals uw vingerafdruk, gezicht, pincode of een code die via e-mail of sms naar u wordt verzonden. ¹ Uw vergrendelde bestanden in persoonlijke kluis hebben een extra beveiligingslaag, waardoor ze beter beveiligd blijven voor het geval iemand toegang krijgt tot uw account of uw apparaat. Persoonlijke kluis is beschikbaar op uw pc, op OneDrive.com en in de mobiele OneDrive-app, en bevat ook de volgende functies:

• Rechtstreeks in persoonlijke kluis scannen: u kunt de mobiele OneDrive-app gebruiken om foto's of video's rechtstreeks in uw persoonlijke kluis te maken, zodat u deze niet kunt beveiligen op minder veilige gebieden van uw apparaat, zoals uw camera-album. ² U kunt belangrijke reis-, identificatie-, voertuig-, woning- en verzekeringsdocumenten ook rechtstreeks in uw persoonlijke kluis scannen. En u heeft toegang tot deze foto's en documenten, waar u ook bent, op al uw apparaten.
• BitLocker-versleuteling - Pc's met Windows 10 synchroniseren OneDrive bestanden in uw persoonlijke kluis met een door BitLocker versleuteld gebied op uw lokale harde schijf.
• Automatische vergrendeling - Persoonlijke kluis wordt automatisch opnieuw vergrendeld op uw pc, apparaat of online na een korte periode van inactiviteit. Zodra de verbinding is vergrendeld, worden alle bestanden die u gebruikte, ook vergrendeld en moet opnieuw worden geverifieerd om toegang te krijgen. ³

Samen zorgen deze maatregelen ervoor dat uw vergrendelde bestanden in de persoonlijke kluis veilig blijven, zelfs als u uw Windows 10 pc of mobiel apparaat verliest, het wordt gestolen of iemand er toegang toe krijgt.

¹ Gezichts- en vingerafdrukverificatie vereist gespecialiseerde hardware, waaronder een apparaat dat geschikt is voor Windows Hello, vingerafdruklezer, verlichte IR-sensor of andere biometrische sensoren en compatibele apparaten.
² Voor de OneDrive-app op Android en iOS is Android 6.0 of hoger of iOS 12.0 of hoger vereist.
³ Automatische vergrendelingsinterval verschilt per apparaat en kan door de gebruiker worden ingesteld.