L2 BIO 13.02 ISO A.8.10 CIS 2.1.8

Gegevensverlies Prevention (DLP) Policies Geconfigureerd

📅 2025-10-29
⏱️ 11 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Beleid voor gegevensverliespreventie vormt de digitale schil rond vertrouwelijke informatie binnen Microsoft 365 en zorgt ervoor dat persoonsgegevens, financiële gegevens, medische dossiers en intellectueel eigendom nooit onbeheerst de organisatie verlaten.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
32u (tech: 16u)
Van toepassing op:
M365
Exchange
SharePoint
OneDrive
Teams

Nederlandse overheden verwerken dagelijks grote hoeveelheden bijzondere persoonsgegevens die onder de AVG en de BIO vallen. Zonder preventieve maatregelen kunnen gebruikers – al dan niet onbedoeld – documenten met burgerservicenummers, creditcardgegevens of medische rapporten delen via Teams, e-mail of synchronisatie naar persoonlijke opslag. Een enkel incident kan leiden tot langdurige toezichtmaatregelen van de Autoriteit Persoonsgegevens, miljoenenboetes en verlies van vertrouwen bij burgers. Een goed ontworpen DLP-architectuur is daarom geen luxe, maar een wettelijke en maatschappelijke plicht.

PowerShell Modules Vereist
Primary API: Security & Compliance PowerShell
Connection: Connect-IPPSSession
Required Modules: ExchangeOnlineManagement

Implementatie

Dit dossier beschrijft hoe je organisatiebrede DLP-beleidsregels opzet voor Exchange Online, SharePoint Online, OneDrive for Business en Microsoft Teams. We behandelen de inventarisatie van gevoelige informatietypen zoals het Nederlandse BSN, IBAN, medische classificaties en maatwerkzoektermen, het vastleggen van detectiecriteria en uitzonderingen, het ontwerpen van passende acties en waarschuwingen, en het gefaseerd activeren van policies via test-, audit- en afdwingende modi. Het resultaat is een samenhangende controle die technische detectie combineert met gebruikerscommunicatie, rapportage en continue verbetering.

Vereisten

Een effectieve invoering van gegevensverliespreventie begint met het leggen van een solide fundament. Dat fundament bestaat allereerst uit licenties die de volledige DLP-functionaliteit ontsluiten, zoals Microsoft 365 E5 of een aanvullende Information Protection & Governance suite. Zonder deze licenties zijn beleidsregels wel zichtbaar, maar ontbreekt de mogelijkheid om waarschuwingen op documentniveau te geven of om Teams-gesprekken live te inspecteren. Even cruciaal is de beschikbaarheid van de juiste rollen: Compliance Administrator, Security Administrator en een Azure AD-role voor het beheren van gevoelige informatietypen. Deze rechten moeten bij voorkeur aan een klein, gecontroleerd team worden toegewezen, waarbij elke toekenning in het toegangsbeheerregister wordt vastgelegd en periodiek wordt herbeoordeeld. Vervolgens is een actuele dataclassificatie noodzakelijk. Inventariseer welke informatiestromen persoonsgegevens, staatsgeheime informatie of financiële data bevatten en leg voor elk type vast welke wet- of regelgeving van toepassing is. Voor de Nederlandse context betekent dit minimaal het modelleren van burgerservicenummers, IBAN-rekeningen, COV- of UZI-nummers, medische behandelcodes en combinaties van sleutelwoorden uit beleidsdocumenten. Gebruik de catalogus met Microsoft Sensitive Information Types als uitgangspunt en voeg maatwerkregelsets toe voor lokale sjablonen zoals gemeentelijke zaaknummers of provinciale subsidietabellen. Deze inventarisatie levert de parameters waarmee het DLP-engine documenten kan scannen zonder overdreven false positives te creëren. Technische randvoorwaarden spelen eveneens een rol. Zorg dat Exchange Online PowerShell, de Security & Compliance PowerShell (Connect-IPPSSession) en het Purview-portaal beschikbaar zijn op beheerderswerkplekken, inclusief moderne authenticatie met meervoudige verificatie. Controleer of alle workloads zijn onboard, dus dat SharePoint en OneDrive zijn gemigreerd naar moderne sites en dat Teams-tenant-wide instellingen het inspecteren van chat en kanaalberichten toestaan. Voor hybride scenario’s moet worden vastgesteld hoe klassieke on-premises mailroutes of legacy archieven worden meegenomen in de scope. Daarnaast moet het organisatieproces gereed zijn. Stel een communicatieplan op waarin staat hoe gebruikers worden geïnformeerd over nieuwe notificaties, welke training zij ontvangen om beleidstips correct te interpreteren en hoe zij ondersteuning krijgen wanneer een blokkade onterecht lijkt. Leg het escalatiepad vast: eerstelijns servicedesk voor uitleg, functioneel beheer voor uitzonderingsverzoeken en het CISO-office voor structurele wijzigingen. Richt een uitzondering- en vrijgaveworkflow in met duidelijke criteria, bijvoorbeeld wanneer een toezichthouder om spoedige informatieverstrekking vraagt. Deze workflow omvat registratie in een ticketingsysteem, tijdelijke versoepelingen met automatische einddatum en verplichte goedkeuring door twee functionarissen (four-eyes-principe). Tot slot hoort documentatie bij de voorbereidingen. Werk een draaiboek uit voor beheer- en onderhoudstaken, beschrijf de procedures voor wijzingen van beleid, definieer meetwaarden voor volwassenheidsmetingen en stel een audittrail-sjabloon op waarmee het team elke wijziging met tijdstempel, verantwoordelijke en reden kan reconstrueren. Door deze vereisten vooraf te borgen, voorkom je dat de technische implementatie vastloopt op ontbrekende beslissingen of governance-afspraken en kan de organisatie direct aantonen dat zij voldoet aan de eisen uit de AVG, de BIO en de Nederlandse Baseline Informatiebeveiliging Overheid. Naast deze organisatorische componenten moeten ook de business-eigenaren van informatie worden aangehaakt. Benoem per ministerie, uitvoeringsorganisatie of gemeente een datasponsor die verantwoordelijk is voor de inhoud van zijn processen en die mee beslist over blokkades en uitzonderingen. Laat deze sponsors risicoacceptaties formeel bekrachtigen en zorg dat zij beschikken over rapportages die inzicht geven in incidenttrends voor hun domein. Hun betrokkenheid versnelt besluitvorming, verhoogt draagvlak bij eindgebruikers en maakt duidelijk dat gegevensverliespreventie geen puur IT-project is, maar een integraal veiligheidsmechanisme dat verankerd is in de Nederlandse Baseline voor Veilige Cloud.

Implementatie

De implementatiefase start met een gedetailleerde blueprint. Inventariseer per workload welke informatie wordt verwerkt, welke compliance-eisen gelden en welke gebruikersgroepen het hoogste risico vormen. Documenteer typische delingsscenario’s, zoals het versturen van rapportages aan externe accountants of het delen van projectdossiers met leveranciers, en koppel er beleidsdoelen aan. Gebruik deze analyse om een logische onderverdeling te maken in policies, bijvoorbeeld één voor persoonsgegevens en één voor bedrijfsvertrouwelijke informatie. Elke policy krijgt een duidelijke naamconventie, een beschrijving van de doelstelling en een eigenaar zodat wijzigingen traceerbaar blijven. Vervolgens configureer je de beleidssjablonen in het Microsoft Purview complianceportaal. Kies alleen voor een standaardtemplate wanneer deze perfect aansluit op de Nederlandse context; in de meeste gevallen is een maatwerkpolicy met expliciete verwijzingen naar BSN, IBAN, medische hoofdletters en sleutelwoorden noodzakelijk. Stel alle relevante locaties in: Exchange e-mail, SharePoint-sites, OneDrive-homedirectories en Microsoft Teams-chats en -kanalen. Voor elke locatie kun je voorwaarden verfijnen, zoals het uitsluiten van zeer vertrouwelijke projectruimtes waar aanvullende encryptie al aanwezig is of juist het verplicht monitoren van gedeelde kanalen met private sectorpartners. Houd rekening met dataverwerking in nested workloads, bijvoorbeeld documenten die via Teams in een gekoppelde SharePoint-bibliotheek worden opgeslagen. Daarna definieer je de detectieregels. Combineer out-of-the-box sensitive information types met maatwerkregex, sleutelwoordenlijsten en EDM (Exact Data Match)-schema’s voor sterk gecontroleerde datasets. Bepaal drempelwaarden, zoals het aantal hits dat nodig is om een document als risicovol te beoordelen, en voeg contextbewuste voorwaarden toe, bijvoorbeeld het verschil tussen interne en externe ontvangers of het gebruik van vertrouwelijkheidslabels. Zorg dat beleidstips informatief maar niet intimiderend zijn: beschrijf waarom het bericht is geblokkeerd, welke gegevens zijn aangetroffen en welke alternatieve procedures bestaan. Acties vormen het hart van de implementatie. Stel blokkades in voor het delen buiten de organisatie, bied een override-mogelijkheid met verplichte zakelijke motivatie en laat de motivatie opslaan in de auditlog. Activeer automatische meldingen naar Security Operations, inclusief een duidelijke taxonomie (prioriteit, datacategorie, beleidsregel). Integreer de meldingen met Microsoft Sentinel of een SOC-ticketplatform, zodat incidenten automatisch worden opgevolgd. Voor scenario’s waarin blokkeren disproportioneel is, kun je kiezen voor automatische encryptie of watermerken om de verspreiding te beheersen zonder het proces te stoppen. Tijdens de pilotfase schakel je policies in de modus “Testen met volledige resultaten”. Monitor gedurende minimaal dertig dagen de incidentrapporten, false positives en gebruikersfeedback. Gebruik Power BI of het Purview-rapportagedashboard om trends zichtbaar te maken per afdeling of datacategorie. Op basis van deze inzichten verfijn je voorwaarden, pas je sleutelwoorden aan en breid je education uit. Pas nadat de foutmarge acceptabel is verklaard door de CISO en de gegevensbeschermingfunctionaris, zet je de policy om naar afdwingen. Doe dit gefaseerd per workload om de impact beheersbaar te houden. Tot slot borg je de operationele beheerprocessen. Automatiseer maandelijkse evaluaties via PowerShell-scripts (bijvoorbeeld Connect-IPPSSession in combinatie met Get-DlpCompliancePolicy) om configuraties weg te schrijven in een configuratieregister. Documenteer wijzigingsverzoeken in het CAB-proces, inclusief risicoanalyse en testbewijs. Richt kennisoverdracht in naar servicedesk en data-eigenaren, zodat zij gebruikers kunnen begeleiden. Door deze gestructureerde aanpak ontstaat een robuust DLP-landschap dat technologische mogelijkheden koppelt aan governance en menselijke bewustwording.

Compliance en Auditing

Het DLP-beleid vormt een directe vertaling van meerdere normenkaders naar concrete technische maatregelen. Binnen de CIS Microsoft 365 Foundations Benchmark verwijst control 2.1.8 expliciet naar het inschakelen van DLP voor alle relevante workloads. Door de policies aantoonbaar te configureren, bewaart de organisatie niet alleen logbestanden van incidenten, maar legt zij ook vast welke uitzonderingen zijn goedgekeurd en hoe vaak overrides plaatsvinden. Dit stelt auditors in staat om de effectiviteit van het controlframework te toetsen en geeft securitymanagers meetbare indicatoren voor hun Key Control Testing. Voor Nederlandse overheden is de Baseline Informatiebeveiliging Overheid leidend. BIO-maatregel 13.02 verlangt dat overdracht van informatie onder controle staat en dat gevoelige data alleen via goedgekeurde kanalen verloopt. Door DLP te koppelen aan SharePoint en OneDrive kan men documentstromen naar externe partijen beperken en afdwingen dat vertrouwelijke dossiers uitsluitend via beveiligde samenwerkingsruimten verlaten. Tegelijkertijd ondersteunt DLP de verplichtingen uit BIO 9.02 rondom logging en monitoring, omdat elke detectie een volledige gebeurtenis in het auditregister toevoegt. Het bijhouden van deze registraties gedurende minimaal zeven jaar zorgt ervoor dat audits of Woo-verzoeken (Wet open overheid) kunnen worden beantwoord met concrete feiten in plaats van aannames. Ook internationale normen vragen om aantoonbare beheersing. ISO/IEC 27001:2022 controle A.8.10 richt zich op het beschermen van informatie tijdens opslag en transmissie, terwijl A.13.2.1 ziet op informatieoverdracht binnen en buiten de organisatie. Een volwassen DLP-implementatie biedt het bewijs dat documentstromen zijn geautomatiseerd bewaakt, dat beleidsbeslissingen zijn gedocumenteerd en dat afwijkingen leiden tot tijdige maatregelen. Door periodiek rapporten te genereren en deze te koppelen aan het Information Security Management System (ISMS) kan de organisatie tijdens audits direct laten zien hoe controles zijn ingericht en welke verbeterslagen gepland staan. De AVG verlangt in artikel 25 dat organisaties privacy by design toepassen en in artikel 32 dat zij passende technische en organisatorische maatregelen treffen. DLP ondersteunt beide artikelen doordat de beleidsregels standaard actief zijn voor elke nieuwe site, mailbox of Team en doordat gebruikers concrete feedback ontvangen wanneer zij persoonsgegevens buiten de organisatie proberen te delen. Registreer in het privacyregister welke categorieën persoonsgegevens door elke policy worden beschermd en leg vast hoe lang logbestanden worden bewaard, zodat de Functionaris Gegevensbescherming kan aantonen dat verwerkingsverantwoordelijkheden zijn ingevuld. Voor specifieke sectornormen, zoals PCI-DSS vereiste 3.4 voor het beschermen van kaartgegevens, biedt DLP aanvullende zekerheid dat kaartnummers niet ongecontroleerd rondgaan in e-mailketens of chats. De komst van de NIS2-richtlijn en de Wet beveiliging netwerk- en informatiesystemen 2.0 verhoogt de verwachtingen richting vitale aanbieders en belangrijke entiteiten. Artikel 21 benadrukt technische en organisatorische maatregelen die de risico’s voor netwerk- en informatiesystemen beperken. Door DLP te koppelen aan rapportagelijnen richting het Nationaal Cyber Security Centrum of sectorale CERTs kan een organisatie aantonen dat zij proactief misbruik detecteert en dat datalekken direct worden onderzocht. Integreer DLP-telemetrie met het Security Operations Center zodat incidentresponsprocessen worden geactiveerd zodra een blokkade meerdere keren voor dezelfde gebruiker optreedt. Zo ontstaat een aantoonbare lijn van detection → triage → behandeling die auditors verwachten in de context van NIS2. Tot besluit is externe assurance belangrijk. Verzamel per kwartaal een “compliance evidence pack” met beleidsconfiguraties, exports van Get-DlpCompliancePolicy, voorbeelden van gebruikerscommunicatie en beslisnotities van het CAB. Koppel deze bundel aan het auditdossier van de interne accountant of de externe IT-auditor. Daarmee is niet alleen zichtbaar dat het beleid bestaat, maar ook dat het leeft binnen de organisatie. En mocht een toezichthouder vragen naar het voorkomen van datalekken, dan kan de CISO verwijzen naar deze verzamelde bewijslast en aantonen dat gegevensverliespreventie integraal onderdeel is van de Nederlandse Baseline voor Veilige Cloud.

Monitoring

Gebruik PowerShell-script dlp-policies.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Gebruik PowerShell-script dlp-policies.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS DLP Policies Configuration .DESCRIPTION Ensures Data Loss Prevention (DLP) policies are configured in Microsoft 365 Purview. DLP policies help protect sensitive information from being shared inappropriately. .NOTES Filename: dlp-policies.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-10-16 Last Modified: 2025-10-17 Version: 2.0 Related JSON: content/m365/audit-compliance/dlp-policies.json Category: audit-compliance Workload: m365 .LINK https://github.com/m365-tenant-best-practise .EXAMPLE .\dlp-policies.ps1 -Monitoring Check compliance status .EXAMPLE .\dlp-policies.ps1 -Remediation Apply configuration #> #Requires -Version 5.1 #Requires -Modules ExchangeOnlineManagement [CmdletBinding()] param( [Parameter()] [switch]$Monitoring, [Parameter()] [switch]$Remediation, [Parameter()] [switch]$Revert, [Parameter()] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' # ============================================================================ # HEADER # ============================================================================ Write-Host " ========================================" -ForegroundColor Cyan Write-Host "DLP Policies Configuration" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "======================================== " -ForegroundColor Cyan # ============================================================================ # FUNCTIONS # ============================================================================ function Test-Compliance { <# .SYNOPSIS Tests if current configuration is compliant #> [CmdletBinding()] param() return Invoke-Monitoring } function Invoke-Monitoring { <# .SYNOPSIS Monitors current configuration status #> [CmdletBinding()] param() try { Write-Host "`nMonitoring:" -ForegroundColor Yellow # Connect to Security & Compliance PowerShell Write-Host " Connecting to Security & Compliance Center..." -ForegroundColor Gray Connect-IPPSSession -ShowBanner:$false -ErrorAction Stop # Get all DLP compliance policies Write-Host " Retrieving DLP compliance policies..." -ForegroundColor Gray $policies = Get-DlpCompliancePolicy -ErrorAction Stop # Analyze policies $result = @{ isCompliant = ($policies.Count -gt 0) totalPolicies = $policies.Count enabledPolicies = 0 disabledPolicies = 0 policyDetails = @() } if ($policies.Count -eq 0) { Write-Host " No DLP policies found" -ForegroundColor Red } else { Write-Host "`n DLP Policies:" -ForegroundColor Cyan foreach ($policy in $policies) { $policyInfo = @{ Name = $policy.Name Enabled = $policy.Enabled Mode = $policy.Mode Locations = @() } if ($policy.Enabled) { $result.enabledPolicies++ Write-Host " ENABLED: $($policy.Name) (Mode: $($policy.Mode))" -ForegroundColor Green } else { $result.disabledPolicies++ Write-Host " DISABLED: $($policy.Name) (Mode: $($policy.Mode))" -ForegroundColor Yellow } # Check locations if ($policy.ExchangeLocation) { $policyInfo.Locations += "Exchange" } if ($policy.SharePointLocation) { $policyInfo.Locations += "SharePoint" } if ($policy.OneDriveLocation) { $policyInfo.Locations += "OneDrive" } if ($policy.TeamsLocation) { $policyInfo.Locations += "Teams" } if ($policyInfo.Locations.Count -gt 0) { Write-Host " Locations: $($policyInfo.Locations -join ', ')" -ForegroundColor Gray } $result.policyDetails += $policyInfo } } # Summary Write-Host "`n Summary:" -ForegroundColor Cyan Write-Host " Total Policies: $($result.totalPolicies)" -ForegroundColor Gray Write-Host " Enabled: $($result.enabledPolicies)" -ForegroundColor Gray Write-Host " Disabled: $($result.disabledPolicies)" -ForegroundColor Gray # Compliance status if ($result.isCompliant) { Write-Host "`n COMPLIANT: DLP policies are configured" -ForegroundColor Green exit 0 } else { Write-Host "`n NON-COMPLIANT: No DLP policies configured" -ForegroundColor Red exit 1 } return $result } catch { Write-Host "`n ERROR: $_" -ForegroundColor Red Write-Host " Error Details: $($_.Exception.Message)" -ForegroundColor Red exit 2 } } function Invoke-Remediation { <# .SYNOPSIS Applies recommended configuration #> [CmdletBinding()] param() try { Write-Host "`nRemediation:" -ForegroundColor Yellow # Connect to Security & Compliance PowerShell Write-Host " Connecting to Security & Compliance Center..." -ForegroundColor Gray Connect-IPPSSession -ShowBanner:$false -ErrorAction Stop # Check if policies already exist Write-Host " Checking existing DLP policies..." -ForegroundColor Gray $existingPolicies = Get-DlpCompliancePolicy -ErrorAction Stop if ($existingPolicies.Count -gt 0) { Write-Host " DLP policies already exist ($($existingPolicies.Count) found)" -ForegroundColor Green Write-Host "`n Configuration already compliant" -ForegroundColor Green exit 0 } # Create a basic DLP policy $policyName = "Basic Sensitive Information Protection" Write-Host " Creating DLP compliance policy: $policyName..." -ForegroundColor Gray # Create the policy with locations $policy = New-DlpCompliancePolicy ` -Name $policyName ` -Comment "Created by Nederlandse Baseline voor Veilige Cloud - Basic sensitive information protection" ` -ExchangeLocation All ` -SharePointLocation All ` -OneDriveLocation All ` -TeamsLocation All ` -Mode Enable ` -ErrorAction Stop Write-Host " DLP policy created successfully" -ForegroundColor Green # Create a basic rule for the policy Write-Host " Creating DLP compliance rule..." -ForegroundColor Gray $rule = New-DlpComplianceRule ` -Name "$policyName - Rule" ` -Policy $policyName ` -ContentContainsSensitiveInformation @( @{Name = "Credit Card Number"; minCount = "1" }, @{Name = "EU Debit Card Number"; minCount = "1" }, @{Name = "International Banking Account Number (IBAN)"; minCount = "1" } ) ` -BlockAccess $true ` -NotifyUser "Owner,LastModifier" ` -NotifyUserType "NotSet" ` -ErrorAction Stop Write-Host " DLP rule created successfully" -ForegroundColor Green # Verify creation Start-Sleep -Seconds 3 $verifyPolicy = Get-DlpCompliancePolicy -Identity $policyName -ErrorAction SilentlyContinue if ($verifyPolicy) { Write-Host "`n Remediation completed successfully" -ForegroundColor Green Write-Host " Policy '$policyName' is now active" -ForegroundColor Green exit 0 } else { Write-Host "`n Failed to verify policy creation" -ForegroundColor Red exit 2 } } catch { Write-Host "`n ERROR: $_" -ForegroundColor Red Write-Host " Error Details: $($_.Exception.Message)" -ForegroundColor Red # Provide helpful guidance Write-Host "`n Manual Creation via Portal:" -ForegroundColor Yellow Write-Host " 1. Go to Microsoft Purview compliance portal" -ForegroundColor Gray Write-Host " 2. Navigate to Data loss prevention > Policies" -ForegroundColor Gray Write-Host " 3. Click 'Create policy'" -ForegroundColor Gray Write-Host " 4. Choose a template or create custom policy" -ForegroundColor Gray exit 2 } } function Invoke-Revert { <# .SYNOPSIS Reverts configuration to previous state #> [CmdletBinding()] param() try { Write-Host "`nRevert:" -ForegroundColor Yellow Write-Host " WARNING: This will remove the baseline DLP policy" -ForegroundColor Red # Connect to Security & Compliance PowerShell Write-Host "`n Connecting to Security & Compliance Center..." -ForegroundColor Gray Connect-IPPSSession -ShowBanner:$false -ErrorAction Stop # Find the policy created by remediation $policyName = "Basic Sensitive Information Protection" Write-Host " Looking for policy: $policyName..." -ForegroundColor Gray $policy = Get-DlpCompliancePolicy -Identity $policyName -ErrorAction SilentlyContinue if (-not $policy) { Write-Host " Policy not found - nothing to revert" -ForegroundColor Yellow exit 0 } # Remove the policy Write-Host " Removing DLP policy..." -ForegroundColor Gray Remove-DlpCompliancePolicy -Identity $policyName -Confirm:$false -ErrorAction Stop # Verify removal Start-Sleep -Seconds 3 $verifyRemoval = Get-DlpCompliancePolicy -Identity $policyName -ErrorAction SilentlyContinue if (-not $verifyRemoval) { Write-Host " Successfully removed DLP policy" -ForegroundColor Yellow Write-Host "`n Revert completed" -ForegroundColor Yellow exit 0 } else { Write-Host " Failed to remove DLP policy" -ForegroundColor Red exit 2 } } catch { Write-Host "`n ERROR: $_" -ForegroundColor Red Write-Host " Error Details: $($_.Exception.Message)" -ForegroundColor Red exit 2 } } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { if ($Revert) { if ($WhatIf) { Write-Host "WhatIf: Would revert configuration" -ForegroundColor Yellow } else { Invoke-Revert } } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow } else { Invoke-Remediation } } else { Write-Host "Available parameters:" -ForegroundColor Yellow Write-Host " -Monitoring : Check current status" -ForegroundColor Gray Write-Host " -Remediation : Apply configuration" -ForegroundColor Gray Write-Host " -Revert : Revert changes" -ForegroundColor Gray Write-Host " -WhatIf : Show what would happen" -ForegroundColor Gray } } catch { Write-Error "Error: $_" throw } finally { Write-Host " ======================================== " -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder afdwingbare DLP-beleidsregels is er geen structureel zicht op het delen van persoonsgegevens en staatsgevoelige dossiers. Een enkele foutieve e-mail of Teams-upload kan leiden tot AVG-boetes tot twintig miljoen euro, langdurige hersteltrajecten met de Autoriteit Persoonsgegevens, reputatieschade en verlies van vertrouwen bij burgers en ketenpartners.

Management Samenvatting

Implementeer tenantbrede DLP-policies voor Exchange, SharePoint, OneDrive en Teams die Nederlandse informatietypen herkennen, blokkeren en registreren. Combineer technische maatregelen met gebruikerseducatie, rapportage en governance zodat de organisatie aantoonbaar voldoet aan CIS 2.1.8, BIO 13.02 en de AVG.