💼 Management Samenvatting
De Archiefwet verplicht Nederlandse overheidsorganisaties om informatie duurzaam, volledig en toegankelijk te bewaren. Bij de inzet van cloudplatformen zoals Microsoft 365 en Azure verschuift het archiefbeheer van fysieke dossiers en lokale fileshares naar digitale omgevingen met complexe configuraties, automatische retentie en gedeelde verantwoordelijkheden met leveranciers.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
200u (tech: 80u)
Van toepassing op:
✓ Rijksoverheid
✓ Gemeenten
✓ Provincies
✓ Waterschappen
✓ ZBO's
✓ Gemeenten
✓ Provincies
✓ Waterschappen
✓ ZBO's
In de praktijk worstelen veel organisaties met de vertaling van archiefwetgeving naar moderne cloudomgevingen. Dossiers zijn versnipperd over Teams, SharePoint, OneDrive en e-mail, bewaartermijnen zijn niet consequent ingericht, en het is onduidelijk of informatie na tien of twintig jaar nog vindbaar en leesbaar is. Dit leidt tot risico's bij Woo-verzoeken, parlementaire enquêtes en juridische procedures: cruciale besluiten zijn niet meer te reconstrueren, context ontbreekt en er ontstaat discussie over de authenticiteit van documenten. Bovendien kan onjuiste inrichting van retentie leiden tot voortijdige vernietiging van archiefwaardige informatie of juist onnodige opslag van privacygevoelige gegevens.
PowerShell Modules Vereist
Primary API: Microsoft 365 Admin Center, Microsoft Purview, Azure Portal
Connection:
Required Modules: Microsoft.Graph, Az.Accounts
Connection:
PowerShell, Microsoft Graph, Azure CLIRequired Modules: Microsoft.Graph, Az.Accounts
Implementatie
Dit artikel beschrijft hoe u de eisen uit de Archiefwet vertaalt naar concrete technische en organisatorische maatregelen in Microsoft 365 en Azure. We gaan in op het inrichten van classificatie en retentie, het onderscheiden van archiefwaardige en niet-archiefwaardige informatie, het borgen van authenticiteit en integriteit, en het toegankelijk houden van dossiers over de volledige bewaartermijn. Daarnaast laten we zien hoe u met PowerShell en beheer-API's controles kunt uitvoeren op de volledigheid en kwaliteit van uw digitale archiefomgeving, zodat u aantoonbaar voldoet aan de Archiefwet, de Archiefregeling en relevante handreikingen van het Nationaal Archief.
Juridische context en kernbegrippen van de Archiefwet
De Archiefwet en de onderliggende Archiefregeling vormen het wettelijke kader voor het beheer van overheidsinformatie in Nederland. De wet schrijft voor dat overheidsorganen hun archiefbescheiden in goede, geordende en toegankelijke staat moeten brengen en bewaren, en dat blijvend te bewaren informatie uiteindelijk wordt overgebracht naar een archiefbewaarplaats. In een digitale context betekent dit dat besluiten, onderliggende stukken en correspondentie rond beleid, uitvoering en toezicht zodanig moeten worden vastgelegd dat zij ook over tientallen jaren nog volledig en betrouwbaar zijn. Daarbij maakt de wet geen onderscheid tussen informatie die on-premises wordt bewaard en informatie die in een publieke cloudomgeving is opgeslagen: de zorgdrager blijft altijd eindverantwoordelijk voor het archiefbeheer, ongeacht de gekozen technologie of leverancier.
Belangrijke kernbegrippen uit de Archiefwet zijn onder meer 'archiefbescheiden', 'zorgdrager', 'selectie' en 'bewaartermijn'. Archiefbescheiden omvatten alle documenten, ongeacht vorm, die zijn ontvangen of opgemaakt door een overheidsorgaan en bestemd zijn om daar te berusten. Dit strekt zich uit van formele besluiten en beleidsnota's tot e-mails, chatberichten, vergaderverslagen en technische logbestanden, zolang zij onderdeel uitmaken van de dossiervorming rond een taak. De zorgdrager (bijvoorbeeld een ministerie, gemeente of uitvoeringsorganisatie) is verantwoordelijk voor het vaststellen van selectielijsten, waarin per procestype wordt bepaald welke informatie blijvend moet worden bewaard en welke na een bepaalde termijn mag worden vernietigd. Deze selectielijsten moeten in de cloudpraktijk worden vertaald naar concrete classificaties, labels en retentie-instellingen.
Voor digitale informatie stelt de Archiefregeling aanvullende eisen aan authenticiteit, integriteit, betrouwbaarheid en bruikbaarheid. Dit betekent onder andere dat duidelijk moet zijn wie een document heeft opgesteld, wanneer het is vastgesteld, welke bewerkingen zijn uitgevoerd en of de inhoud sindsdien ongewijzigd is gebleven. In cloudomgevingen komt dit neer op een combinatie van technische maatregelen – zoals versiebeheer, onweerlegbare logging, hashwaarden en write-once storage – en organisatorische afspraken over wie documenten mag aanpassen, goedkeuren en publiceren. Daarnaast moet de organisatie rekening houden met formaten en afhankelijkheden: documenten die nu in een modern Office-formaat zijn opgeslagen, moeten over tientallen jaren nog kunnen worden geopend, of tijdig worden geconverteerd naar duurzame formaten zoals PDF/A. Door deze juridische en technische vereisten expliciet te koppelen aan de inrichting van Microsoft 365 en Azure ontstaat een helder toetsingskader voor archiefwaardige informatie in de cloud.
Classificatie, dossiervorming en retentie in Microsoft 365
Het vertalen van archiefwetgeving naar de praktijk begint bij het eenduidig classificeren van informatie. In Microsoft 365 gebeurt dit doorgaans via een combinatie van sitestructuur, contenttypes, metadata en retentie- of recordlabeling. Voor elk proces in de selectielijst bepaalt u welke informatie archiefwaardig is en welke bewaartermijn geldt. Vervolgens wordt dit vertaald naar concrete configuraties: bijvoorbeeld een SharePoint-site voor beleidsvorming waarin documenten automatisch worden voorzien van een retentielabel 'Beleid – blijvend bewaren', of een Teams-kanaal voor projectcommunicatie met een retentielabel 'Projectdossiers – bewaren 7 jaar'. Door deze configuratie centraal vast te leggen en te beheren, voorkomt u dat individuele teams ad hoc eigen structuren en bewaartermijnen verzinnen die niet aansluiten op de wettelijke eisen.
Een robuuste dossiervorming vraagt om meer dan alleen labels. Dossiers moeten logisch zijn opgebouwd, met duidelijke mappen of metadata voor fase, onderwerp, besluit en verantwoordelijke eenheid. Bij voorkeur worden processen ondersteund door sjablonen en instructies, zodat medewerkers weten welke documenten in welk dossier thuishoren, hoe versies moeten worden beheerd en wanneer een dossier als 'afgesloten' mag worden gemarkeerd. Voor ruwe werkbestanden en concepten kan een kortere bewaartermijn worden ingesteld, terwijl definitieve versies en besluiten aan een langere of blijvende bewaartermijn worden gekoppeld. Dit sluit aan bij het principe van selectieve bewaring: niet elke conceptmail of werknotitie is archiefwaardig, maar de onderliggende besluitvorming en formele vastlegging moeten wel duurzaam beschikbaar blijven.
Het inrichten van retentie in Microsoft 365 vereist nauwe samenwerking tussen informatiebeheerders, CISO, privacy officers en IT-beheer. Retentielabels en -beleid moeten zowel de Archiefwet als de AVG respecteren: archiefwaardige informatie wordt niet voortijdig vernietigd, terwijl niet-archiefwaardige en privacygevoelige gegevens niet langer blijven bestaan dan noodzakelijk. Dit betekent dat selectielijsten, bewaarschema's en privacybeleid op elkaar moeten worden afgestemd en dat uitzonderingen – bijvoorbeeld bij lopende procedures of onderzoeken – goed worden gedocumenteerd. Met Microsoft Purview kunnen organisaties retentiebeleid centraal uitrollen, beleid koppelen aan specifieke locaties of typen content en rapportages genereren over toegepaste labels. Het is essentieel om deze configuratie periodiek te evalueren en aan te passen aan gewijzigde wetgeving, organisatie-inrichting of cloudfunctionaliteit.
Authenticiteit, integriteit en langdurige toegankelijkheid
Om te voldoen aan de Archiefwet moeten organisaties aantonen dat digitale documenten authentiek, integraal en betrouwbaar zijn. In cloudomgevingen betekent dit dat processen rond creatie, goedkeuring en publicatie van documenten zorgvuldig moeten worden ingericht. Formele besluiten worden bijvoorbeeld alleen genomen vanuit vastgestelde sjablonen, met eenduidige naamgevingsconventies en duidelijke vastlegging van de ondertekenaar. Versiebeheer in SharePoint en Teams wordt zodanig ingesteld dat elke wijziging herleidbaar is tot een gebruiker en tijdstip, en dat defnitieve versies kunnen worden gemarkeerd als records die niet zonder meer kunnen worden gewijzigd of verwijderd. Daarnaast wordt logging op organisatieniveau geconfigureerd via Microsoft 365 auditlogs, zodat ook na jaren nog kan worden gereconstrueerd welke handelingen hebben plaatsgevonden rondom cruciale documenten en dossiers.
Langdurige toegankelijkheid vraagt om aandacht voor formaten, afhankelijkheden en migraties. Een document dat vandaag probleemloos wordt geopend in een moderne browser of Office-versie, is niet vanzelfsprekend leesbaar over twintig jaar. Daarom moeten organisaties beleid vastleggen over welke bestandsformaten zijn toegestaan voor archiefwaardige informatie, wanneer conversie naar duurzame formaten wordt uitgevoerd en hoe de leesbaarheid van oudere documenten periodiek wordt gecontroleerd. In Azure kunnen aanvullende voorzieningen worden getroffen, zoals opslag in geo-redundante accounts met immutability-instellingen voor blijvend te bewaren informatie en het gebruik van checksums om bitrot te detecteren. Door technische maatregelen te combineren met periodieke audits en testlezingen van willekeurige dossiers ontstaat vertrouwen dat informatie niet alleen veilig is opgeslagen, maar ook praktisch bruikbaar blijft voor toekomstige generaties onderzoekers, auditors en burgers.
Toegang tot archiefinformatie moet enerzijds voldoende zijn afgeschermd om privacy en vertrouwelijkheid te waarborgen, maar anderzijds zodanig zijn ingericht dat Woo-verzoeken, interne onderzoeken en parlementaire enquêtes efficiënt kunnen worden ondersteund. Dit vraagt om doordachte autorisatiemodellen waarin rollen en functies bepalen tot welke dossiers men toegang heeft, en waarin logging en rapportages beschikbaar zijn over wie welke informatie heeft geraadpleegd. In Microsoft 365 kunnen hiervoor onder meer sensivity labels, groepen en role-based access control worden ingezet. Bij overbrenging van blijvend te bewaren informatie naar een archiefbewaarplaats moeten afspraken worden gemaakt over de overdrachtsformaten, metadata en technische voorzieningen, zodat ook buiten de oorspronkelijke cloudomgeving kan worden voldaan aan de eisen van de Archiefwet.
Monitoring, kwaliteitscontrole en remediatie
Gebruik PowerShell-script archiefwet-requirements.ps1 (functie Invoke-Monitoring) – Voert controles uit op de aanwezigheid en basisconfiguratie van archiefgerelateerde locaties, retentiebeleid en documentatie in Microsoft 365..
Archiefbeheer in de cloud is geen statische eenmalige inrichting, maar een continu verbeterproces. Nieuwe Teams, sites en groepsmailboxen worden dagelijks aangemaakt, processen veranderen en wetgeving wordt aangescherpt. Daarom is een periodieke monitoring nodig om te controleren of nieuwe locaties zijn voorzien van de juiste retentie-instellingen, of archiefwaardige processen daadwerkelijk zijn gekoppeld aan archiefwaardige sites en of essentiële documentatie over selectielijsten, bewaartermijnen en procedures aanwezig en actueel is. Met PowerShell en beheer-API's kunnen organisaties geautomatiseerde controles uitvoeren, bijvoorbeeld door alle SharePoint-sites en Teams te inventariseren, toegepaste retentielabels te analyseren en afwijkingen ten opzichte van het gewenste doelbeeld te rapporteren.
Gebruik PowerShell-script archiefwet-requirements.ps1 (functie Invoke-Remediation) – Genereert basis-sjablonen en mapstructuren voor archiefdocumentatie en ondersteunt bij het corrigeren van ontbrekende of inconsistente configuraties..
Wanneer monitoring uitwijst dat archiefvereisten niet worden gehaald, moet gericht worden bijgestuurd. Dit kan variëren van het toevoegen van ontbrekende retentielabels tot het herstructureren van gehele sites of Teams waarin dossiers versnipperd zijn geraakt. Belangrijk is dat remediatie gestructureerd gebeurt: bevindingen worden vastgelegd, verbeteracties krijgen een eigenaar en deadline, en de voortgang wordt bewaakt in de reguliere planning- en controlcyclus. Bij ernstige tekortkomingen, bijvoorbeeld wanneer archiefwaardige informatie dreigt te verdwijnen of al niet meer beschikbaar is, kan het nodig zijn om tijdelijke beheersmaatregelen te treffen, zoals het bevriezen van vernietigingsprocessen of het uitvoeren van noodexporten. Door monitoring- en remediatieactiviteiten goed te documenteren, ontstaat een verdedigbaar spoor richting toezichthouders en archiefinstellingen waaruit blijkt dat de organisatie actief stuurt op naleving van de Archiefwet.
Compliance & Frameworks
- BIO: 9.01, 9.02, 12.01, 12.03 - Borging van integrale en betrouwbare informatievoorziening, inclusief bewaartermijnen, logging en toegangsbeheer voor archiefwaardige informatie.
- ISO 27001:2022: A.5.32, A.7.4, A.8.12 - Informatieclassificatie, behoud van bewijskracht en bescherming van lange-termijninformatie binnen informatiebeveiligingsmanagementsystemen.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Controles voor Archiefwet-inrichting in Microsoft 365 en Azure.
.DESCRIPTION
Dit script ondersteunt Nederlandse overheidsorganisaties bij het toetsen van
basisvereisten uit de Archiefwet binnen Microsoft 365 en Azure.
Het script voert lichte controles uit op de aanwezigheid van een aantal
kernobjecten (SharePoint-sites, Teams en retentiebeleid) en kan
documentatiesjablonen genereren voor archiefbeleid en selectielijsten.
.NOTES
Filename: archiefwet-requirements.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-26
Last Modified: 2025-11-26
Version: 1.0
Related JSON: content/compliance/archiefwet-requirements.json
.EXAMPLE
.\archiefwet-requirements.ps1 -InvokeMonitoring
Voert basiscontroles uit op archiefgerelateerde locaties en retentiebeleid.
.EXAMPLE
.\archiefwet-requirements.ps1 -InvokeRemediation -WhatIf
Toont welke sjablonen en mapstructuren zouden worden aangemaakt zonder wijzigingen door te voeren.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter()]
[switch]$WhatIf,
[Parameter()]
[Alias("Monitoring")]
[switch]$InvokeMonitoring,
[Parameter()]
[Alias("Remediation")]
[switch]$InvokeRemediation
)
$ErrorActionPreference = 'Stop'
function Get-RepositoryRoot {
<#
.SYNOPSIS
Bepaalt de rootmap van de repository op basis van de locatie van dit script.
#>
[CmdletBinding()]
param()
$root = Resolve-Path (Join-Path $PSScriptRoot "..\..") -ErrorAction SilentlyContinue
if (-not $root) {
throw "Kon de repository-root niet bepalen op basis van PSScriptRoot: $PSScriptRoot"
}
return $root.Path
}
function Get-ArchiefDocumentationPaths {
<#
.SYNOPSIS
Haalt paden op voor lokale archiefdocumentatie.
.OUTPUTS
PSCustomObject met padinformatie.
#>
[CmdletBinding()]
param()
$repoRoot = Get-RepositoryRoot
$docsRoot = Join-Path $repoRoot "documentatie\archiefwet"
$policiesPath = Join-Path $docsRoot "beleid"
$selectionPath = Join-Path $docsRoot "selectielijsten"
[PSCustomObject]@{
RepositoryRoot = $repoRoot
DocsRoot = $docsRoot
PoliciesPath = $policiesPath
SelectionPath = $selectionPath
}
}
function New-ArchiefPolicyTemplate {
<#
.SYNOPSIS
Maakt een sjabloon voor een archief- en informatiebeheerbeleid.
.PARAMETER OutputPath
Pad naar het beleidssjabloon dat moet worden aangemaakt.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[string]$OutputPath
)
$content = @"
# Archief- en informatiebeheerbeleid (sjabloon)
Laatst bijgewerkt: $(Get-Date -Format "yyyy-MM-dd")
## 1. Doel en reikwijdte
Beschrijf de doelstelling van dit beleid, de betrokken organisatieonderdelen en de relatie met de Archiefwet, Archiefregeling en selectielijsten.
## 2. Rollen en verantwoordelijkheden
Leg vast wie zorgdrager is, wie optreedt als informatiebeheerder, CISO, privacy officer en proceseigenaar.
## 3. Classificatie en dossiervorming
Beschrijf hoe processen, dossiers en documenten worden geclassificeerd en hoe dossiervorming plaatsvindt binnen Microsoft 365 en Azure.
## 4. Bewaar- en vernietigingstermijnen
Verwijs naar de geldende selectielijst en licht toe hoe bewaartermijnen in de cloud zijn vertaald naar retentie- en recordlabels.
## 5. Authenticiteit, integriteit en toegankelijkheid
Beschrijf de technische en organisatorische maatregelen om authenticiteit, integriteit en langdurige toegankelijkheid te borgen.
## 6. Monitoring en audits
Beschrijf hoe periodieke controles plaatsvinden, hoe bevindingen worden vastgelegd en opgevolgd, en hoe rapportage richting bestuur en toezichthouders is ingericht.
"@
$folder = Split-Path -Path $OutputPath -Parent
if (-not (Test-Path -Path $folder)) {
New-Item -Path $folder -ItemType Directory -Force | Out-Null
}
$content | Out-File -FilePath $OutputPath -Encoding UTF8
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert lichte controles uit op Archiefwet-gerelateerde configuratie.
.DESCRIPTION
Deze functie controleert:
- Of basisdocumentatie-mappen lokaal bestaan.
- Of verbinding met Microsoft 365 aanwezig is (indien Graph-module beschikbaar is).
- Optioneel of voorbeeld-SharePoint-sites of Teams bestaan (indien rechten en modules aanwezig zijn).
#>
[CmdletBinding()]
param()
Write-Host "`nArchiefwet Monitoring – basiscontroles" -ForegroundColor Cyan
Write-Host "=======================================" -ForegroundColor Cyan
$paths = Get-ArchiefDocumentationPaths
Write-Host "Repository-root: $($paths.RepositoryRoot)" -ForegroundColor DarkGray
Write-Host "Documentatiepad: $($paths.DocsRoot)" -ForegroundColor DarkGray
foreach ($pathProp in @("DocsRoot", "PoliciesPath", "SelectionPath")) {
$path = $paths.$pathProp
if (Test-Path -Path $path) {
Write-Host " ✅ Map gevonden: $path" -ForegroundColor Green
}
else {
Write-Host " ⚠️ Map ontbreekt: $path" -ForegroundColor Yellow
}
}
if (Get-Module -ListAvailable -Name Microsoft.Graph -ErrorAction SilentlyContinue) {
Write-Host "`nMicrosoft Graph-module gevonden. U kunt, indien gewenst, aanvullende controles toevoegen voor SharePoint-sites en Teams." -ForegroundColor DarkGray
}
else {
Write-Host "`nMicrosoft Graph-module niet gevonden in de huidige sessie. Sla onlinecontroles over." -ForegroundColor DarkGray
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Genereert sjablonen en mapstructuren voor Archiefwet-documentatie.
.DESCRIPTION
Maakt, indien nog niet aanwezig, een basisstructuur onder `documentatie\archiefwet`
en een generiek beleidssjabloon voor archief- en informatiebeheer.
#>
[CmdletBinding()]
param()
Write-Host "`nArchiefwet Remediatie – sjablonen genereren" -ForegroundColor Cyan
Write-Host "============================================" -ForegroundColor Cyan
$paths = Get-ArchiefDocumentationPaths
foreach ($pathProp in @("DocsRoot", "PoliciesPath", "SelectionPath")) {
$path = $paths.$pathProp
if (-not (Test-Path -Path $path)) {
if ($WhatIf) {
Write-Host " [WhatIf] Zou map aanmaken: $path" -ForegroundColor Yellow
}
else {
Write-Host " Map aanmaken: $path" -ForegroundColor Yellow
New-Item -Path $path -ItemType Directory -Force | Out-Null
}
}
else {
Write-Host " ✅ Map bestaat al: $path" -ForegroundColor Green
}
}
$policyFile = Join-Path $paths.PoliciesPath "archief-en-informatiebeheerbeleid-sjabloon.md"
if (Test-Path -Path $policyFile) {
Write-Host " ✅ Beleidssjabloon bestaat al: $policyFile" -ForegroundColor Green
}
else {
if ($WhatIf) {
Write-Host " [WhatIf] Zou beleidssjabloon aanmaken: $policyFile" -ForegroundColor Yellow
}
else {
Write-Host " Beleidssjabloon aanmaken: $policyFile" -ForegroundColor Yellow
New-ArchiefPolicyTemplate -OutputPath $policyFile
Write-Host " ✅ Beleidssjabloon aangemaakt." -ForegroundColor Green
}
}
}
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Archiefwet Requirements" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
if ($InvokeMonitoring) {
Invoke-Monitoring
}
elseif ($InvokeRemediation) {
Invoke-Remediation
}
else {
Write-Host "Geen modus opgegeven. Gebruik één van de volgende opties:" -ForegroundColor Yellow
Write-Host " -InvokeMonitoring Voer basiscontroles uit op archiefgerelateerde configuratie." -ForegroundColor Yellow
Write-Host " -InvokeRemediation Genereer mapstructuren en sjablonen voor Archiefwet-documentatie." -ForegroundColor Yellow
}
}
catch {
Write-Error "Fout in archiefwet-requirements.ps1: $_"
throw
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder expliciete vertaling van de Archiefwet naar cloudinrichting ontstaat een groot risico op onvolledige en onbetrouwbare digitale dossiers. De organisatie kan dan bij Woo-verzoeken, onderzoeken en integrale audits niet aantonen dat informatie volledig, authentiek en duurzaam toegankelijk is.
Management Samenvatting
Vertaal selectielijsten en archiefbeleid naar concrete classificatie- en retentieconfiguraties in Microsoft 365 en Azure, inclusief maatregelen voor authenticiteit, integriteit en langdurige toegankelijkheid. Richt monitoring en remediatieprocessen in die continu toetsen of archiefvereisten in de cloud worden nageleefd en documenteer verbeteracties aantoonbaar.
- Implementatietijd: 200 uur
- FTE required: 0.6 FTE