Eind 2021 voerde Microsoft een zogenaamde ‘automatische vervaldatum’ in voor video opnamen van Teams vergaderingen. Ik schreef daar eerder over. Dat was best wel bijzonder, want het is absoluut een uitzondering dat er voor bestanden in OneDrive of SharePoint een automatische verwijdering geldt. Als de Teams beheerder geen verandering in deze standaard instelling aanbrengt, wordt een vergadering of presentatie dus na 120 dagen automatisch in de Prullenbak geplaatst. Hoe moet je daar als Microsoft 365 beheerder nu mee omgaan? En hallo informatiebeheerders – zijn jullie aangehaakt? Wat betekent het voor privacy? En wat betekent het voor eindgebruikers van het platform?
Wat doet Microsoft?
Je hebt een Teams gesprek met collega’s belegd. Je wilt het opnemen om het gesprek voor een afwezige collega beschikbaar te hebben. De opname wordt na afloop automatisch geplaatst in je OneDrive in de map Opnamen. De rechten op de opname (bewerken, verwijderen, lezen) zijn daarbij afhankelijk van degene die de vergadering had georganiseerd, wie de opname startte en of je als deenemer intern of extern bent. Heb je een meeting georganiseerd in een kanaal in Teams, dan wordt de opname in SharePoint geplaatst, in de teamsite van het team, in de map van het kanaal. Mocht je organisatie (nog) niet beschikken over OneDrive en SharePoint, dan houdt Teams je opname 21 dagen vast, voordat deze automatisch wordt verwijderd. Maak je wel gebruik van OneDrive en SharePoint, dan heeft Microsoft de automatische verwijdering dus afgesteld op 120 dagen.
Wat kan mijn Microsoft 365 beheerder daar aan doen?
Wijzigingen op het standaard beleid kunnen worden aangebracht in het Teams beheercentrum>Beleidsregels voor vergaderingen. Er zijn verschillende wijzigingen mogelijk. Ten eerste kan je de automatische verwijdering uitschakelen. Je kan de standaard van 120 dagen ook wijzigen naar een keuze tussen 1 dag en 99999 dagen. En je kan met verschillende sets van Beleidsregels voor vergaderingen ook nog een verschillend beleid voor verschillende groepen gebruikers aanbrengen.
Let op: iedere wijziging in de automatische vervaldatum heeft ALLEEN effect op de opnamen van NA de datum van wijziging. De opnamen van voor de wijziging blijven dus onder de oude (bijvoorbeeld standaard 120 dagen) termijn bewaard.
Wat betekent dat voor gebruikers?
Gebruikers kunnen zien dat dat de vergaderopname in OneDrive en SharePoint onderhevig is aan een ’vervaldatum’ zoals Microsoft de automatische verwijdering aanduidt. De termijn is door de gebruiker te verkorten. Het is immers een verwijderbeleid en geen archivering voor die vergaderopnamen. Gebruikers kunnen de opnamen dus altijd ook nog zelf verwijderen voor het verstrijken van die datum.
Ook kunnen gebruikers de zelf en door het systeem verwijderde opnamen nog enige tijd herstellen! In het laatste geval krijgt de eigenaar van het bestand een notificatie. De opnamen worden namelijk verwijderd naar de Prullenbak functie van OneDrive en SharePoint. Bestanden die in de prullenbak terecht komen kunnen nog 93 dagen lang worden hersteld. Vanaf het moment dat ze door iemand nog eens worden verwijderd, komen ze voor de resterende duur van de 93 dagen terecht in de zogenaamde Prullenbak 2e fase en kunnen ze voor de resterende duur van de termijn alleen nog door de siteverzameling eigenaar worden hersteld.
Wanneer de opname is verplaatst naar de Prullenbak verwijdert het systeem de vervaldatum op het bestand. Dus na herstel is er geen sprake meer van automatische verwijdering! Microsoft geeft in documentatie aan dat verplaatsing naar de Prullenbak functie meestal binnen dag, maar soms pas na vijf dagen gebeurt.
Wat moeten we hier als informatiebeheerder, functionaris gegevensbescherming of recordsmanager mee?
Natuurlijk kunnen de systeem instellingen in Teams beheercentrum niet allemaal afhangen van de keuzes van de Microsoft 365 beheerder of Teams admin! Het is een vraag van informatiebeheer wat er kan of moet met dit soort informatie. De vergaderopnamen kunnen bewust zijn gemaakt als bewijs van een bijeenkomst (als ‘videotulen’), maar worden meestal alleen gemaakt omdat iemand er niet bij kon zijn. Het is dan ook vrijwel nooit wenselijk om ze lang te bewaren. Ik denk zelf dat drie of vier weken lang genoeg is.
Het is zelfs de vraag of je het uit oogpunt van veiligheid en privacy moet willen dat opnamen van vergaderingen en andere bijeenkomsten worden bewaard. Zonder maatregelen tegen intern of zelfs extern delen kunnen ze door downloaden en delen gemakkelijk gaan ‘zwerven’. Ook wordt doorgaans gemakkelijker iets gezegd in een vergadering als niet ieder woord in notulen of een opname terecht komt; het staat een vrije gedachtewisseling in de weg als daar niet op mag worden vertrouwd.
Exegese van de wetstekst en toelichting van de AVG en de verklarende teksten van de Autoriteit Persoonsgegevens daarover zegt mij dat a. deelnemers van een vergadering zouden moeten instemmen met hun vastlegging op beeld en b. dat niet iedere opname an sich als verwerking bijzondere persoonsgegevens in de zin van de AVG moet worden opgevat:
“Geen bijzondere persoonsgegevens – U verwerkt gewone – en dus géén bijzondere – persoonsgegevens met uw foto’s of filmpjes als alle 3 de volgende punten gelden:
- De foto’s of filmpjes zijn niet gericht op bijzondere persoonsgegevens of het maken van onderscheid op basis van deze gegevens.
- Het is voor u redelijkerwijs ook niet te voorzien dat iemand onderscheid zal maken op basis van uw foto’s of filmpjes.
- Het is onvermijdelijk dat u bijzondere persoonsgegevens verwerkt als u de foto’s of filmpjes maakt.”
Ook het Ministerie van Justitie vatte de toelichting van AP op dit vlak zo samen in zijn memo van februari 2022 aan CIO RIJK, CIO-beraad, deelnemers SLM Microsoft, Google en AWS Rijk & geïnteresseerden:
“De Autoriteit Persoonsgegevens past een doelcriterium toe bij de uitleg wanneer foto’s bijzondere persoonsgegevens zijn. Kort samengevat: als het niet de bedoeling is om onderscheid te maken naar bijzondere kenmerken, zijn het géén bijzondere persoonsgegevens.”
Hetzelfde memo adviseert de aangeschreven organisaties en functionarissen onder andere om deelnemers aan video vergaderingen te wijzen op de mogelijkheid om hun camera uit te zetten en een verwijderbeleid met een korte termijn te hanteren.
Conclusie en advies
De opnamen kunnen dus zowel automatisch als door gebruikers worden verwijderd. Gebruik als automatische vervaldatum bij voorkeur een korte termijn. Verwacht je als informatiebeheerder juist dat ze als videotulen voor enige tijd bewaard moeten blijven, dus zonder gelegenheid tot mutatie of verwijdering, dan zal je archivering moeten toepassen. Dat kan gelukkig ook met Microsoft 365, met retentielabels en bewaarbeleid in Microsoft Purview. Zowel retentielabels (voor enkele bestanden, mappen, documentensets en gehele documentbibliotheken met optie voor vernietigingslijst) en bewaarbeleid (documentbibliotheken, geen vernietigingslijst) als e-Discovery hold (een ad hoc bewaring, ingesteld in een e-Discovery case bijvoorbeeld in het kader van een WOO-verzoek) zullen het automatische expiratiebeleid vanuit Teams beheercentrum overrulen. Natuurlijk geldt voor al dit soort instellingen en afspraken dat ze alleen in een Microsoft 365 governance team met deelname van informatiebeheerder, recordsmanager, privacy-officer of functionaris gegevensbescherming tot stand kunnen komen! En dat kan dus nooit een taak of verantwoordelijkheid van de functioneel beheerder, laat staan een externe beheerpartij zijn!
Afbeelding: Chris Montgonery – Unsplash
Schermafbeeldingen: Eric Burger
