BIO 08.01.03 ISO A.5.19

Government Cloud-opties Voor Nederlandse Overheidsorganisaties

📅 2025-01-27
⏱️ 22 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Microsoft biedt verschillende cloudomgevingen voor overheden, waaronder Azure Government voor de Verenigde Staten en Azure Commercial met specifieke EU-voorzieningen zoals de EU Data Boundary. Voor Nederlandse overheidsorganisaties is het cruciaal om te begrijpen welke cloudomgeving het beste aansluit bij hun compliance-vereisten, data residency-eisen en strategische doelen. Een verkeerde keuze kan leiden tot onnodige complexiteit, beperkte servicebeschikbaarheid of zelfs schending van juridische verplichtingen.

Aanbeveling
KIES AZURE COMMERCIAL MET BEWUSTE ARCHITECTUURKEUZES VOOR EU-REGIO'S EN EU DATA BOUNDARY
Risico zonder
High
Risk Score
7/10
Implementatie
140u (tech: 80u)
Van toepassing op:
Azure Tenant
Azure Government
Publieke Sector
Overheidsorganisaties

Nederlandse overheidsorganisaties die werken onder de BIO, AVG en NIS2 moeten zorgvuldig afwegen welke cloudomgeving zij kiezen. Azure Government is primair ontworpen voor Amerikaanse overheidsorganisaties en biedt geen automatische voordelen voor Europese entiteiten. Nederlandse organisaties die Azure Government kiezen kunnen bovendien te maken krijgen met beperkte beschikbaarheid van diensten, complexere integraties met Europese systemen en mogelijk zelfs juridische complicaties rondom dataverwerking buiten de EU. Aan de andere kant biedt Azure Commercial met de EU Data Boundary voorzieningen wel passende oplossingen voor Nederlandse publieke organisaties, maar deze vereisen bewuste architectuurkeuzes en implementatie. Zonder een gedegen vergelijking en strategische afweging lopen organisaties het risico om te kiezen voor een omgeving die niet optimaal aansluit bij hun behoeften, wat kan leiden tot onnodige kosten, beperkte functionaliteit en compliance-uitdagingen.

PowerShell Modules Vereist
Primary API: Azure API en Azure Government API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Resources, Az.Profile

Implementatie

Dit artikel biedt Nederlandse publieke organisaties een uitgebreide analyse van beschikbare government cloud-opties en hun geschiktheid voor de Nederlandse context. We beginnen met een overzicht van de verschillende Microsoft cloudomgevingen, waaronder Azure Government (US), Azure Commercial, en de EU Data Boundary voorzieningen. Vervolgens bespreken we de belangrijkste verschillen in servicebeschikbaarheid, certificeringen, data residency en compliance-kaders. We gaan dieper in op welke optie het meest geschikt is voor Nederlandse overheidsorganisaties, waarbij we rekening houden met AVG, BIO, NIS2 en andere relevante normenkaders. In de secties over implementatie en migratie behandelen we praktische overwegingen bij het kiezen en overstappen naar een specifieke omgeving. Tot slot bespreken we monitoring en governance-aspecten, inclusief een PowerShell-script dat helpt bij het inventariseren en evalueren van de huidige cloudomgeving en het maken van weloverwogen keuzes voor de toekomst.

Overzicht van Microsoft Government Cloud-omgevingen

Microsoft biedt verschillende cloudomgevingen die specifiek zijn ontworpen voor overheidsorganisaties, elk met eigen karakteristieken, certificeringen en gebruiksscenario's. Azure Government is de primaire cloudomgeving voor Amerikaanse federale, statelijke en lokale overheden. Deze omgeving is volledig fysiek en logisch gescheiden van Azure Commercial en wordt beheerd door Amerikaanse personen met specifieke beveiligingsclearances. Azure Government biedt uitgebreide certificeringen die relevant zijn voor de Amerikaanse overheid, zoals FedRAMP High, DoD Impact Level 5 en Criminal Justice Information Services (CJIS). De omgeving wordt gehost in specifieke datacenters binnen de Verenigde Staten en is ontworpen om te voldoen aan strikte Amerikaanse overheidsvereisten rondom data residency, toegangscontroles en beveiligingsstandaarden. Belangrijk om te begrijpen is dat Azure Government primair is geoptimaliseerd voor Amerikaanse overheidsorganisaties en niet automatisch voordelen biedt voor Europese entiteiten.

Azure Commercial is de standaard publieke cloudomgeving van Microsoft die wereldwijd beschikbaar is, inclusief uitgebreide datacenter-infrastructuur in Europa. Voor Europese organisaties heeft Microsoft specifieke voorzieningen ontwikkeld, zoals de EU Data Boundary, die ervoor zorgt dat veel kerngegevens en verwerkingsactiviteiten binnen de Europese Unie blijven. Azure Commercial biedt toegang tot de breedste set aan services en de nieuwste functionaliteiten, omdat Microsoft hierop primair focust voor ontwikkeling en innovatie. De omgeving beschikt over diverse certificeringen die relevant zijn voor Europese organisaties, zoals ISO 27001, ISO 27018, ISO 22301 en compliance met de AVG. Voor Nederlandse overheidsorganisaties die werken onder de BIO en NIS2 kan Azure Commercial met de juiste architectuurkeuzes en configuraties vaak een geschikte oplossing bieden, vooral wanneer gebruik wordt gemaakt van EU-regio's en de EU Data Boundary voorzieningen.

Naast Azure Government en Azure Commercial zijn er ook gespecialiseerde omgevingen zoals Azure China, die worden beheerd door lokale partners en voldoen aan Chinese regelgeving. Voor Nederlandse organisaties zijn deze omgevingen doorgaans niet relevant. Een belangrijk onderscheid dat vaak wordt gemaakt is tussen dedicated government clouds, die volledig fysiek gescheiden zijn, en commercial clouds met government-specifieke configuraties en compliance-mogelijkheden. Nederlandse overheidsorganisaties moeten zich realiseren dat een volledig fysiek gescheiden omgeving niet automatisch nodig is om te voldoen aan BIO, AVG of NIS2-vereisten. In plaats daarvan is een weloverwogen architectuur binnen Azure Commercial, met expliciete keuzes rondom datalocaties, toegangscontroles en compliance-frameworks, vaak voldoende en biedt bovendien meer flexibiliteit en toegang tot een breder scala aan services.

Vergelijking van servicebeschikbaarheid, certificeringen en compliance

Bij het vergelijken van Azure Government en Azure Commercial zijn er belangrijke verschillen in servicebeschikbaarheid. Azure Commercial biedt toegang tot alle beschikbare Azure-services, inclusief de nieuwste innovaties zoals Azure OpenAI, geavanceerde AI-diensten, en cutting-edge analytics-oplossingen. Services worden doorgaans eerst uitgebracht in Azure Commercial en pas later, indien relevant en technisch haalbaar, beschikbaar gemaakt in Azure Government. Dit betekent dat organisaties die Azure Government kiezen vaak moeten wachten op nieuwe functionaliteiten of zelfs moeten accepteren dat bepaalde services nooit beschikbaar komen in die omgeving. Voor Nederlandse overheidsorganisaties die toegang willen tot de breedste set aan moderne cloudservices kan dit een belangrijk nadeel zijn. Bovendien zijn integraties met andere Microsoft-diensten, zoals Microsoft 365, Power Platform en Dynamics 365, doorgaans naadlozer en uitgebreider binnen Azure Commercial.

Wat betreft certificeringen en compliance-bewijzen zijn er eveneens significante verschillen. Azure Government beschikt over uitgebreide Amerikaanse overheids-certificeringen, zoals FedRAMP High, DoD Impact Level 5 en CJIS, die essentieel zijn voor Amerikaanse overheidsorganisaties maar weinig tot geen waarde bieden voor Nederlandse entiteiten. Azure Commercial daarentegen beschikt over certificeringen die direct relevant zijn voor Europese en Nederlandse organisaties. Dit omvat ISO 27001 voor informatiebeveiligingsmanagement, ISO 27018 voor bescherming van persoonsgegevens in de cloud, ISO 22301 voor business continuity management, en uitgebreide compliance met de Algemene Verordening Gegevensbescherming (AVG). Microsoft publiceert regelmatig compliance-documentatie waarin wordt uitgelegd hoe Azure Commercial voldoet aan specifieke artikelen van de AVG, wat waardevol is voor Nederlandse overheidsorganisaties die moeten kunnen aantonen dat zij passende technische en organisatorische maatregelen hebben getroffen.

Data residency en jurisdictie vormen een cruciaal onderscheid. Azure Government is ontworpen om data binnen de Verenigde Staten te houden, wat voor Nederlandse organisaties betekent dat gegevens buiten de Europese Unie worden verwerkt. Dit kan leiden tot complexe juridische vragen rondom doorgifte van persoonsgegevens aan derde landen, zoals beschreven in de AVG artikelen 44-49. Nederlandse overheidsorganisaties die Azure Government gebruiken zouden moeten kunnen onderbouwen waarom zij een passende waarborg hebben voor internationale doorgifte, wat vaak complexer is dan wanneer data binnen de EU blijft. Azure Commercial met de EU Data Boundary biedt daarentegen de mogelijkheid om veel gegevensverwerking binnen de Europese Unie te houden, wat eenvoudiger aansluit bij AVG-vereisten en Nederlandse wettelijke verplichtingen. Het is belangrijk te beseffen dat de EU Data Boundary niet automatisch voor alle services en datacategorieën geldt, maar dat organisaties bewuste keuzes moeten maken en hun architectuur hierop moeten afstemmen. Voor Nederlandse overheidsorganisaties die prioriteit geven aan data residency binnen de EU is Azure Commercial met expliciete EU-regioselectie en gebruik van de EU Data Boundary doorgaans de meest logische keuze.

Geschiktheid voor Nederlandse overheidsorganisaties

Voor Nederlandse overheidsorganisaties die werken onder de Baseline Informatiebeveiliging Overheid (BIO), de Algemene Verordening Gegevensbescherming (AVG) en de NIS2-richtlijn is Azure Commercial met bewuste architectuurkeuzes doorgaans de meest geschikte optie. De BIO benadrukt beheersing van uitbesteding, contractmanagement en ketenverantwoordelijkheid. Organisaties moeten kunnen aantonen welke cloudleverancier welke gegevens verwerkt, in welke regio's dit gebeurt en welke garanties er zijn rondom continuïteit en beveiliging. Azure Commercial biedt uitgebreide documentatie en transparantie over datalocaties, compliance-posities en beveiligingsmaatregelen, wat helpt bij het invullen van BIO-vereisten. Bovendien sluiten de certificeringen van Azure Commercial beter aan bij Europese normenkaders dan de Amerikaanse certificeringen van Azure Government.

Vanuit AVG-perspectief is data residency binnen de Europese Unie een belangrijk aandachtspunt. De AVG vereist dat organisaties passende waarborgen treffen wanneer persoonsgegevens worden doorggegeven aan derde landen. Azure Commercial met gebruik van EU-regio's en de EU Data Boundary voorzieningen maakt het mogelijk om veel gegevensverwerking binnen de EU te houden, waardoor complexe doorgiftegrondslagen minder vaak nodig zijn. Nederlandse overheidsorganisaties die bijzondere categorieën van persoonsgegevens verwerken, zoals gezondheidsgegevens of strafrechtelijke gegevens, hebben extra zorgvuldigheid nodig. In dergelijke gevallen is het essentieel om specifieke Azure-services en -configuraties te kiezen die voldoen aan de strikte eisen rondom verwerking van gevoelige gegevens. Azure Commercial biedt hiervoor de benodigde flexibiliteit en configureerbaarheid, terwijl Azure Government primair is geoptimaliseerd voor Amerikaanse contexten en mogelijk niet optimaal aansluit bij Nederlandse juridische vereisten.

NIS2 verlangt van essentiële en belangrijke entiteiten dat zij risico's in de toeleveringsketen systematisch beoordelen en documenteren. Dit omvat het evalueren van cloudleveranciers, hun datalocaties, beveiligingsmaatregelen en compliance-posities. Azure Commercial biedt uitgebreide informatie over beveiligingsmaatregelen, compliance-documentatie en transparantie rondom datalocaties, wat helpt bij het invullen van NIS2-vereisten. Nederlandse overheidsorganisaties moeten hun cloudkeuze baseren op een gestructureerde risicoanalyse waarin wordt beoordeeld welke omgeving het beste aansluit bij hun specifieke vereisten rondom data residency, servicebeschikbaarheid, compliance en beveiliging. In de meeste gevallen zal Azure Commercial met bewuste architectuurkeuzes de beste balans bieden tussen functionaliteit, compliance en kosten. Alleen in zeer uitzonderlijke gevallen, bijvoorbeeld wanneer organisaties moeten werken met strikt geclassificeerde informatie die specifieke fysieke scheiding vereist, of wanneer er sprake is van unieke integratievereisten met Amerikaanse systemen, zou Azure Government mogelijk relevant kunnen zijn, maar dit zijn uitzonderingen die een grondige rechtvaardiging vereisen.

Implementatieoverwegingen en migratiestrategie

Wanneer Nederlandse overheidsorganisaties een keuze maken voor een specifieke cloudomgeving, zijn er verschillende praktische implementatieoverwegingen. Ten eerste moeten organisaties een duidelijke strategie ontwikkelen voor tenantinrichting en regioselectie. Binnen Azure Commercial betekent dit dat expliciet wordt vastgelegd welke Azure-regio's worden gebruikt, met voorkeur voor EU-regio's zoals West Europe, North Europe, Germany West Central en andere goedgekeurde locaties. Organisaties moeten Azure Policies configureren die alleen deployment toestaan in vooraf goedgekeurde regio's, waardoor wordt voorkomen dat resources onbedoeld buiten de EU worden uitgerold. Daarnaast is het belangrijk om gebruik te maken van de EU Data Boundary voorzieningen waar mogelijk en om te documenteren welke services en datacategorieën binnen de boundary vallen en welke niet.

Voor organisaties die overwegen om te migreren tussen omgevingen, bijvoorbeeld van Azure Government naar Azure Commercial of vice versa, zijn er aanzienlijke uitdagingen. Migraties tussen verschillende cloudomgevingen zijn complex en kunnen leiden tot downtime, dataverliesrisico's en aanzienlijke kosten. Bovendien zijn niet alle resources en configuraties direct overdraagbaar tussen omgevingen. Nederlandse overheidsorganisaties die momenteel Azure Government gebruiken en overwegen over te stappen naar Azure Commercial moeten een grondige migratieplanning uitvoeren, inclusief risicoanalyse, testscenario's en fallback-plannen. Het is belangrijk om te beseffen dat migraties vaak maanden in beslag nemen en zorgvuldige coördinatie vereisen tussen technische teams, beveiliging, compliance en bestuur. In de meeste gevallen is het verstandiger om vanaf het begin de juiste omgeving te kiezen dan om later te moeten migreren.

Governance en monitoring vormen cruciale aspecten van een succesvolle implementatie. Organisaties moeten duidelijke governance-structuren opzetten die besluitvorming rondom cloudkeuzes, regioselectie en servicegebruik ondersteunen. Dit omvat het vastleggen van architectuurprincipes, het opstellen van richtlijnen voor developers en het implementeren van technische guardrails zoals Azure Policies. Regelmatige monitoring is essentieel om te verifiëren dat resources daadwerkelijk in de beoogde regio's draaien en dat de organisatie blijft voldoen aan data residency-vereisten. Het bijbehorende PowerShell-script helpt hierbij door periodiek te inventariseren welke cloudomgeving en regio's worden gebruikt, wat helpt bij compliance-rapportages en het tijdig signaleren van afwijkingen. Door governance en monitoring op deze manier te structureren, kunnen Nederlandse overheidsorganisaties aantoonbaar beheersen welke cloudomgeving zij gebruiken en waarom deze keuze aansluit bij hun compliance- en strategische vereisten.

Monitoring en governance van cloudomgeving-keuzes

Gebruik PowerShell-script government-cloud-options.ps1 (functie Invoke-Monitoring) – Inventariseert en evalueert de huidige Azure-omgeving, identificeert welke cloudomgeving wordt gebruikt (Government vs Commercial), rapporteert over regiogebruik en biedt inzicht in compliance-positie met ondersteuning voor lokale debugmodus..

Periodieke monitoring van de gekozen cloudomgeving is essentieel om te verifiëren dat de organisatie blijft voldoen aan haar compliance-vereisten en strategische doelen. Monitoring moet zich niet beperken tot eenmalige configuratiecontroles, maar moet een continu proces zijn dat veranderingen in de omgeving signaleert en rapporteert. Het bijbehorende PowerShell-script ondersteunt dit door periodiek te inventariseren welke Azure-omgeving wordt gebruikt, welke regio's actief zijn en hoe dit zich verhoudt tot de beoogde architectuurprincipes. De uitkomsten van deze monitoring kunnen worden gebruikt om compliance-rapportages te onderbouwen, afwijkingen tijdig te signaleren en bestuurders inzicht te geven in de daadwerkelijke cloudstrategie van de organisatie.

Governance rondom cloudomgeving-keuzes moet worden verankerd in bredere IT-governance-structuren. Dit betekent dat besluitvorming over welke cloudomgeving wordt gebruikt, welke regio's zijn toegestaan en welke services mogen worden afgenomen, wordt ondersteund door duidelijke processen, richtlijnen en technische guardrails. Architectuurcommissies, security review-processen en change management-procedures moeten expliciet rekening houden met cloudomgeving-implicaties. Door deze governance-structuren te koppelen aan periodieke monitoring en rapportage ontstaat een volwassen aanpak waarin cloudkeuzes niet alleen strategisch worden gemaakt, maar ook continu worden geëvalueerd en bijgesteld wanneer nodig. Dit helpt Nederlandse overheidsorganisaties om aantoonbaar te voldoen aan BIO, AVG en NIS2-vereisten en om vertrouwen te wekken bij bestuurders, auditors en toezichthouders.

Besluitvormingsraamwerk en aanbevelingen

Nederlandse overheidsorganisaties die een keuze moeten maken tussen verschillende cloudomgevingen kunnen gebruikmaken van een gestructureerd besluitvormingsraamwerk. Dit raamwerk begint met een duidelijk overzicht van de specifieke vereisten van de organisatie, waaronder compliance-vereisten (BIO, AVG, NIS2), data residency-eisen, functionele behoeften en strategische doelen. Vervolgens worden de beschikbare opties vergeleken op basis van deze criteria, waarbij expliciet wordt gekeken naar servicebeschikbaarheid, certificeringen, data residency-mogelijkheden en kosten. Belangrijk is dat organisaties niet alleen kijken naar wat technisch mogelijk is, maar ook naar wat juridisch, compliance-technisch en strategisch verantwoord is. Een keuze die perfect technisch werkt maar juridische vragen oproept of niet aansluit bij compliance-vereisten is geen goede keuze.

Voor de overgrote meerderheid van Nederlandse overheidsorganisaties leidt dit besluitvormingsraamwerk tot de conclusie dat Azure Commercial met bewuste architectuurkeuzes de meest geschikte optie is. Dit betekent dat organisaties expliciet kiezen voor EU-regio's, gebruikmaken van de EU Data Boundary waar mogelijk, en hun architectuur en governance hierop afstemmen. Door deze keuze te combineren met robuuste monitoring, duidelijke governance-structuren en regelmatige evaluatie kunnen Nederlandse overheidsorganisaties optimaal profiteren van de voordelen van de cloud, zoals schaalbaarheid, innovatie en kostenbesparingen, terwijl zij tegelijkertijd aantoonbaar voldoen aan hun compliance- en data residency-vereisten. Het bijbehorende PowerShell-script ondersteunt dit proces door organisaties te helpen hun huidige situatie te inventariseren, te evalueren en weloverwogen beslissingen te nemen voor de toekomst.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Inventariseert en evalueert de huidige Azure-cloudomgeving en regiogebruik .DESCRIPTION Voert een analyse uit op: - Welke Azure-cloudomgeving wordt gebruikt (Government vs Commercial) - Welke regio's actief zijn binnen subscriptions - Hoe het regiogebruik zich verhoudt tot EU Data Boundary-vereisten - Indicatieve compliance-positie voor Nederlandse overheidsorganisaties Het script ondersteunt twee gebruiksscenario's: - Productie: verbinding met Azure om daadwerkelijke omgevingsgegevens op te halen - Lokale debugmodus: synthetische testdata genereren zonder cloudverbinding Dit script sluit inhoudelijk aan op het artikel 'Government Cloud-opties voor Nederlandse Overheidsorganisaties'. .NOTES Filename: government-cloud-options.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/compliance/government-cloud-options.json #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Resources [CmdletBinding()] param( [Parameter()] [switch]$Monitoring, [Parameter()] [switch]$DebugMode ) $ErrorActionPreference = 'Stop' $PolicyName = "Government Cloud-opties - Omgevingsevaluatie" function Get-EuRegions { <# .SYNOPSIS Geeft de lijst met geaccepteerde EU-regio's terug #> [CmdletBinding()] param() return @( "westeurope", "northeurope", "germanywestcentral", "germanynorth", "norwayeast", "norwaywest", "swedencentral", "swedensouth", "uksouth", "ukwest", "francecentral", "francesouth", "switzerlandnorth", "switzerlandwest", "italynorth", "spaincentral", "polandcentral" ) } function Get-AzureEnvironmentType { <# .SYNOPSIS Bepaalt welk type Azure-omgeving wordt gebruikt .OUTPUTS String: "Government", "Commercial", of "Unknown" #> [CmdletBinding()] param( [switch]$DebugMode ) if ($DebugMode) { # Synthetische testdata return "Commercial" } try { $context = Get-AzContext -ErrorAction Stop if ($null -eq $context) { return "Unknown" } $environment = $context.Environment.Name if ($environment -like "*government*" -or $environment -like "*usgov*") { return "Government" } elseif ($environment -like "*china*") { return "China" } else { return "Commercial" } } catch { Write-Verbose "Kon omgevingstype niet bepalen: $_" return "Unknown" } } function Connect-RequiredServices { [CmdletBinding()] param( [switch]$DebugMode ) if ($DebugMode) { Write-Verbose "DebugMode is ingeschakeld: er wordt geen verbinding met Azure gemaakt." return } if (-not (Get-AzContext -ErrorAction SilentlyContinue)) { Connect-AzAccount -ErrorAction Stop | Out-Null } } function Get-EnvironmentAnalysis { <# .SYNOPSIS Voert een analyse uit van de Azure-omgeving en regiogebruik .OUTPUTS PSCustomObject met omgevingstype, regiogebruik en compliance-indicatoren #> [CmdletBinding()] param( [switch]$DebugMode ) $euRegions = Get-EuRegions $environmentType = Get-AzureEnvironmentType -DebugMode:$DebugMode if ($DebugMode) { # Synthetische testdata voor lokale validatie zonder cloudverbinding return [PSCustomObject]@{ Mode = "Debug" EnvironmentType = $environmentType TotalSubscriptions = 3 TotalResources = 150 ResourcesInEu = 145 ResourcesOutsideEu = 5 EuCompliancePercentage = [math]::Round((145 / 150) * 100, 1) IsEuCompliant = $false DetectedRegions = @("westeurope", "northeurope", "eastus") Recommendations = @( "Overweeg migratie van resources in 'eastus' naar EU-regio's", "Zorg voor expliciete Azure Policies die alleen EU-regio's toestaan" ) } } $subscriptions = Get-AzSubscription -ErrorAction Stop | Where-Object { $_.State -eq 'Enabled' } $totalResources = 0 $resourcesInEu = 0 $resourcesOutsideEu = 0 $regions = [System.Collections.Generic.HashSet[string]]::new([System.StringComparer]::OrdinalIgnoreCase) foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id -ErrorAction Stop | Out-Null try { $resources = Get-AzResource -ErrorAction SilentlyContinue if ($resources) { foreach ($r in $resources) { if (-not $r.Location) { continue } $totalResources++ $location = $r.Location.ToLowerInvariant() $null = $regions.Add($location) if ($euRegions -contains $location) { $resourcesInEu++ } else { $resourcesOutsideEu++ } } } } catch { Write-Verbose "Kon resources voor subscription '$($sub.Name)' niet ophalen: $_" } } $euCompliancePercentage = $null if ($totalResources -gt 0) { $euCompliancePercentage = [math]::Round(($resourcesInEu / $totalResources) * 100, 1) } $recommendations = @() if ($environmentType -eq "Government") { $recommendations += "Azure Government is primair ontworpen voor Amerikaanse overheden. Overweeg of Azure Commercial met EU-regio's beter aansluit bij Nederlandse compliance-vereisten." } elseif ($resourcesOutsideEu -gt 0) { $recommendations += "Er zijn resources buiten EU-regio's aangetroffen. Overweeg migratie naar EU-regio's voor betere data residency-compliance." $recommendations += "Implementeer Azure Policies die alleen deployment toestaan in goedgekeurde EU-regio's." } [PSCustomObject]@{ Mode = "Live" EnvironmentType = $environmentType TotalSubscriptions = $subscriptions.Count TotalResources = $totalResources ResourcesInEu = $resourcesInEu ResourcesOutsideEu = $resourcesOutsideEu EuCompliancePercentage = $euCompliancePercentage IsEuCompliant = ($resourcesOutsideEu -eq 0 -and $environmentType -eq "Commercial") DetectedRegions = @($regions) | Sort-Object Recommendations = $recommendations } } try { Connect-RequiredServices -DebugMode:$DebugMode if ($Monitoring) { $result = Get-EnvironmentAnalysis -DebugMode:$DebugMode Write-Host "" -ForegroundColor White Write-Host "========================================" -ForegroundColor Cyan Write-Host $PolicyName -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host ("Modus : {0}" -f $result.Mode) -ForegroundColor White Write-Host ("Azure-omgevingstype : {0}" -f $result.EnvironmentType) -ForegroundColor White Write-Host ("Subscripties : {0}" -f $result.TotalSubscriptions) -ForegroundColor White Write-Host ("Totaal aantal resources : {0}" -f $result.TotalResources) -ForegroundColor White Write-Host ("Resources in EU-regio's : {0}" -f $result.ResourcesInEu) -ForegroundColor White Write-Host ("Resources buiten EU-regio : {0}" -f $result.ResourcesOutsideEu) -ForegroundColor White if ($null -ne $result.EuCompliancePercentage) { Write-Host ("EU-compliancepercentage : {0}%" -f $result.EuCompliancePercentage) -ForegroundColor White } else { Write-Host "EU-compliancepercentage : n.v.t. (geen resources gevonden)" -ForegroundColor Yellow } if ($result.DetectedRegions -and $result.DetectedRegions.Count -gt 0) { Write-Host ("Gedetecteerde regio's : {0}" -f ($result.DetectedRegions -join ", ")) -ForegroundColor White } if ($result.Recommendations -and $result.Recommendations.Count -gt 0) { Write-Host "" -ForegroundColor White Write-Host "Aanbevelingen:" -ForegroundColor Yellow foreach ($rec in $result.Recommendations) { Write-Host (" - {0}" -f $rec) -ForegroundColor Yellow } } if (-not $result.IsEuCompliant) { Write-Host "" -ForegroundColor White Write-Host "[WAARSCHUWING] De huidige omgeving voldoet niet volledig aan EU-compliancevereisten. Raadpleeg het artikel voor aanbevelingen." -ForegroundColor Yellow } } else { $result = Get-EnvironmentAnalysis -DebugMode:$DebugMode Write-Host "" Write-Host ("Government Cloud-evaluatie: {0} omgeving, {1} subscripties, {2} resources (EU: {3}, buiten EU: {4}, EU-compliance: {5})" -f ` $result.EnvironmentType, ` $result.TotalSubscriptions, ` $result.TotalResources, ` $result.ResourcesInEu, ` $result.ResourcesOutsideEu, ` ($(if ($null -ne $result.EuCompliancePercentage) { "$($result.EuCompliancePercentage)%" } else { "n.v.t." }))) } } catch { Write-Error $_ exit 1 } # ================================================================================ # Standaard Invoke-* Functions (conform Azure script-schema) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert configuratie (delegeert naar monitoring) #> [CmdletBinding()] param( [switch]$DebugMode ) Invoke-Monitoring -DebugMode:$DebugMode } function Invoke-Monitoring { <# .SYNOPSIS Voert de monitoringcheck uit voor cloudomgeving en regiogebruik #> [CmdletBinding()] param( [switch]$DebugMode ) try { Connect-RequiredServices -DebugMode:$DebugMode $result = Get-EnvironmentAnalysis -DebugMode:$DebugMode Write-Host "" -ForegroundColor White Write-Host "========================================" -ForegroundColor Cyan Write-Host $PolicyName -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host ("Modus : {0}" -f $result.Mode) -ForegroundColor White Write-Host ("Azure-omgevingstype : {0}" -f $result.EnvironmentType) -ForegroundColor White Write-Host ("Subscripties : {0}" -f $result.TotalSubscriptions) -ForegroundColor White Write-Host ("Totaal aantal resources : {0}" -f $result.TotalResources) -ForegroundColor White Write-Host ("Resources in EU-regio's : {0}" -f $result.ResourcesInEu) -ForegroundColor White Write-Host ("Resources buiten EU-regio : {0}" -f $result.ResourcesOutsideEu) -ForegroundColor White if ($null -ne $result.EuCompliancePercentage) { Write-Host ("EU-compliancepercentage : {0}%" -f $result.EuCompliancePercentage) -ForegroundColor White } else { Write-Host "EU-compliancepercentage : n.v.t. (geen resources gevonden)" -ForegroundColor Yellow } if ($result.DetectedRegions -and $result.DetectedRegions.Count -gt 0) { Write-Host ("Gedetecteerde regio's : {0}" -f ($result.DetectedRegions -join ", ")) -ForegroundColor White } if ($result.Recommendations -and $result.Recommendations.Count -gt 0) { Write-Host "" -ForegroundColor White Write-Host "Aanbevelingen:" -ForegroundColor Yellow foreach ($rec in $result.Recommendations) { Write-Host (" - {0}" -f $rec) -ForegroundColor Yellow } } if (-not $result.IsEuCompliant) { Write-Host "" -ForegroundColor White Write-Host "[WAARSCHUWING] De huidige omgeving voldoet niet volledig aan EU-compliancevereisten. Raadpleeg het artikel voor aanbevelingen over cloudomgeving-keuzes en regioselectie." -ForegroundColor Yellow } } catch { Write-Error $_ exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Ondersteunt remediatie door omgevingsanalyse en aanbevelingen te presenteren .DESCRIPTION Dit script voert geen automatische remediatie uit, maar geeft duidelijke inzichten en aanbevelingen om de cloudomgeving beter te laten aansluiten bij Nederlandse compliance-vereisten. #> [CmdletBinding()] param( [switch]$DebugMode ) Write-Host "[INFO] Dit is een analysegerichte control zonder automatische remediatie." -ForegroundColor Yellow Write-Host "[INFO] Gebruik de resultaten en aanbevelingen om weloverwogen beslissingen te nemen over cloudomgeving-keuzes en regioselectie." -ForegroundColor Yellow Invoke-Monitoring -DebugMode:$DebugMode }

Risico zonder implementatie

Risico zonder implementatie
High: Wanneer organisaties kiezen voor een cloudomgeving zonder grondige analyse van hun specifieke vereisten lopen zij het risico op beperkte servicebeschikbaarheid, compliance-uitdagingen, juridische complicaties en onnodige kosten. Voor Nederlandse overheidsorganisaties kan een verkeerde keuze, bijvoorbeeld Azure Government wanneer Azure Commercial meer geschikt is, leiden tot bestuurlijke verantwoordelijkheid en reputatieschade.

Management Samenvatting

Nederlandse overheidsorganisaties moeten zorgvuldig afwegen welke Microsoft cloudomgeving het beste aansluit bij hun compliance-vereisten en strategische doelen. In de meeste gevallen is Azure Commercial met bewuste keuzes voor EU-regio's en gebruik van de EU Data Boundary de meest geschikte optie. Dit artikel biedt een gestructureerd besluitvormingsraamwerk, praktische implementatie-overwegingen en monitoring-ondersteuning om weloverwogen keuzes te maken en continu te evalueren.