L2 BIO 08.02 ISO A.8.2 CIS 2.1.9

Sensitivity Labels Geconfigureerd

📅 2025-10-29
⏱️ 8 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Gevoeligheidslabels vormen binnen de Nederlandse Baseline voor Veilige Cloud de primaire methode om documenten, chats en e-mailberichten consequent te classificeren en te beschermen. Ze combineren classificatie, versleuteling, toegangsbeheer en visuele markeringen in één consistente beleidslaag die direct aansluit op de BIO en de AVG. Door labels centraal te definiëren en via Microsoft Purview uit te rollen ontstaat een uniforme taal voor informatiebeveiliging die door bestuurders, lijnmanagers en IT-beheerders wordt begrepen.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
32u (tech: 16u)
Van toepassing op:
M365

Wanneer labels ontbreken, ontbreekt een eenduidige aanduiding van vertrouwelijkheid en ontstaat wildgroei in opslaglocaties en deelgedrag. Gebruikers weten niet of zij gevoelige gegevens mogen versturen, audits leveren telkens nieuwe bevindingen op en incident response moet handmatig achterhalen waar documenten zijn beland. Zonder labels worden versleutelingsacties vaak vergeten, sluit DLP niet aan op de werkelijkheid en blijft naleving van BIO-paragraaf 08.02 en AVG artikel 32 afhankelijk van individueel gedrag. Een volwassen labelprogramma maakt geautomatiseerde bescherming, reproduceerbare rapportages en risicogestuurd toezicht mogelijk.

PowerShell Modules Vereist
Primary API: Security & Compliance PowerShell
Connection: Connect-IPPSSession
Required Modules: ExchangeOnlineManagement

Implementatie

Een effectieve invoering begint met het ontwerpen van vier beschermingsniveaus, bijvoorbeeld Openbaar, Intern, Vertrouwelijk en Zeer Vertrouwelijk, die aansluiten op het bestaande informatiebeveiligingsbeleid. Per label worden encryptie-instellingen, deelrestricties, watermerken en voorwaardelijke toegang gedefinieerd zodat het gedrag van Office-apps, SharePoint, Teams en Exchange uniform is. Het Purview complianceportaal faciliteert publicatie naar de juiste groepen en het instellen van automatische detectieregels, waardoor documenten met persoonsgegevens, staatsgeheime aanduidingen of contractgegevens onmiddellijk het correcte label ontvangen.

Vereisten

Een organisatie die gevoeligheidslabels wil inzetten, moet allereerst beschikken over de juiste Microsoft 365-licenties. Ten minste Microsoft 365 E3 biedt de basisfunctionaliteit van Microsoft Purview Information Protection, terwijl E5 of de aanvullende Compliance-suite noodzakelijk is voor automatische detectie, klantbeheerde sleutels en geavanceerde auditlogs. Deze licenties moeten niet alleen voor eindgebruikers beschikbaar zijn, maar ook voor beheeraccounts en serviceprincipals die beleidswijzigingen doorvoeren.

Vervolgens is een uitgewerkte taxonomie onmisbaar. Het bestuur dient vast te stellen welke informatiecategorieën binnen de organisatie bestaan, welke impact niveaus daaraan verbonden zijn en hoe deze zich verhouden tot bestaande BIO-classificaties of sectorale richtlijnen. Dat resulteert in een labelschema waarin de definities, voorbeelden en bewaartermijnen zijn beschreven. Zonder die strategie wordt elke technische implementatie vrijblijvend en dreigt er een wildgroei aan doublures.

Technisch gezien moeten de cliëntapplicaties, Exchange Online, SharePoint Online en Microsoft Teams up-to-date zijn zodat zij de nieuwste labeling-SDK ondersteunen. Voor Windows-clients betekent dit dat Office ProPlus in de huidige of voorgaande release moet draaien, terwijl voor macOS de Unified Labeling Client vereist is. Daarnaast moeten beheerders beschikken over veilige werkplekken met PIM-rollen, omdat labelbeleid rechtstreeks toegang geeft tot vertrouwelijke inhoud.

Ook gegevensbronnen die buiten Microsoft 365 vallen vragen aandacht. On-premises fileservers, Azure Files of SaaS-oplossingen kunnen met behulp van scanner-rollen of API-koppelingen worden aangesloten, maar vereisen wel netwerkconnectiviteit, serviceaccounts met beperkte rechten en logging richting het centrale SIEM. Het opnemen van deze bronnen in de scope vergroot de dekking en verzekert dat dezelfde taal van classificatie overal wordt toegepast.

Een effectief programma staat of valt met adoptie. Er moeten trainingsmaterialen, richtlijnen voor communicatieafdelingen en scenario-oefeningen klaarstaan zodat medewerkers begrijpen waarom labels belangrijk zijn en hoe ze automatisch worden toegepast. Key-users uit primaire processen (bijvoorbeeld juridische zaken, burgerzaken of inkoop) moeten bij de voorbereiding betrokken worden zodat specifieke documenttypen meteen correct geconfigureerd kunnen worden.

Tot slot is er governance nodig in de vorm van een informatiebeveiligingsraad die wijzigingen goedkeurt, wijzigingsverzoeken prioriteert en periodiek toetst of labels nog aansluiten op wet- en regelgeving. Het registreren van besluitvorming, eigenaarschap per label en geplande reviewmomenten voorkomt dat configuraties verouderen en borgt dat toekomstige inspecties of auditoren direct kunnen achterhalen waarom een label bestaat en welke controles eraan verbonden zijn.

Implementatie

De implementatie begint met het bijeenbrengen van stakeholders uit informatiebeveiliging, privacy, archivering en de belangrijkste bedrijfsprocessen. Samen vertalen zij het bestaande beleid naar concrete labeldefinities, gevoeligheidsniveaus en uitzonderingen. Deze ontwerpsessies resulteren in een gegevenswoordenboek waarin per label de beschrijving, voorbeelden van bronnen, juridische grondslagen en vereiste beveiligingsmaatregelen zijn uitgewerkt. Zodra het bestuur akkoord is, wordt het ontwerp vastgelegd in een formeel besluit zodat de technische configuratie een mandaat heeft.

Daarna volgt de inrichting in het Microsoft Purview complianceportaal. Beheerders maken de labels aan, koppelen de juiste encryptie-instellingen en bepalen of gebruikers gedeelde vertrouwelijke bestanden mogen downloaden. Voor labels met verhoogde eisen kan men kiezen voor door de organisatie beheerde sleutels (Customer Key) en aanvullende handtekeningen of watermerken. Elk label wordt gekoppeld aan labelbeleidsregels waarin staat welke groepen het label krijgen, in welke apps het zichtbaar is en of gebruikers verplicht moeten motiveren wanneer zij de classificatie verlagen.

Vervolgens worden automatische labels en suggesties geconfigureerd. Hiervoor gebruikt de organisatie ingebouwde detectiesjablonen voor persoonsgegevens, BSN of financieel dataverkeer, aangevuld met eigen EDM-schema's en trainable classifiers. Testcollecties in SharePoint en Exchange zorgen ervoor dat de detectie nauwkeurig is voordat beleid breed wordt gepubliceerd. Parallel hieraan worden DLP-regels en voorwaardelijke toegang aangepast zodat zij de nieuw ingevoerde labels als voorwaarde gebruiken.

Een gecontroleerde uitrol verloopt stapsgewijs. Eerst wordt een pilotgroep van security officers en key-users ingericht die de labels in Office, Teams en SharePoint uitprobeert, feedback verzamelt en scenario's zoals gasttoegang of externe e-mail doorloopt. Daarna volgen bedrijfskritische afdelingen, waarbij adoptiecommunicatie, korte instructievideo's en vragenuren worden ingezet. Het projectteam monitort het gebruik via activiteitslogboeken en stuurt bij waar gebruikers onnodig vaak een label overschrijven of vergeten.

Wanneer de uitrol stabiel is, legt men beheerafspraken vast. Dit omvat het definiëren van wijzigingsprocedures, het koppelen van labels aan bewaartermijnen binnen Microsoft Purview Records Management en het automatiseren van rapportages richting CISO en privacy officers. Ook worden scenario's voor calamiteiten beschreven: hoe kan een label tijdelijk worden uitgebreid tijdens een crisissituatie en wie autoriseert dat. Zo ontstaat een duurzaam proces dat verder gaat dan een eenmalige technische configuratie.

Compliance en Auditing

Gevoeligheidslabels vormen het bewijs dat de organisatie informatie classificeert op basis van impact en wettelijke vereisten. Voor de Baseline Informatiebeveiliging Overheid adresseert het labelbeleid rechtstreeks maatregel 08.02 door vast te leggen dat elke informatiecategorie een herkenbare aanduiding en passende bescherming krijgt. Door de maatregelen op te nemen in het informatiebeveiligingsplan kan het management aantonen dat classificatie structureel is ingebed en niet afhankelijk is van individueel gedrag.

Binnen de CIS Microsoft 365 Foundations Map correspondeert de configuratie met control 2.1.9 omdat gebruikers standaard alleen gegevens delen binnen de grenzen van hun rol en het systeem een audittrail vastlegt van elke labelwijziging. De combinatie met Microsoft Purview DLP en Conditional Access maakt zichtbaar dat niet alleen documenten worden gemarkeerd, maar dat er ook consequenties volgen wanneer iemand probeert de beveiligingsafspraken te omzeilen.

Voor ISO/IEC 27001 ondersteunt het programma beheersmaatregel A.8.2 doordat gegevens gedurende hun gehele levenscyclus herkenbaar blijven. Elk label is gekoppeld aan bewaartermijnen, herstelprocedures en incidentrespons. Auditoren kunnen de configuratie exporteren en combineren met gebruiksstatistieken, waardoor ze overtuigend bewijs krijgen dat het management grip heeft op vertrouwelijke data.

Ook de AVG profiteert: artikel 32 vereist passende technische en organisatorische maatregelen. Door labels te koppelen aan automatische versleuteling en expliciet beleid voor delen met derden, toont de organisatie aan dat persoonsgegevens niet onbeveiligd buiten de EU terechtkomen en dat dataminimalisatie is doorgevoerd. Daarnaast helpt het labelprogramma bij het afhandelen van rechten van betrokkenen omdat dossiers sneller terug te vinden zijn op basis van classificatie.

Tot slot faciliteert het programma verantwoording richting toezichthouders zoals de Autoriteit Persoonsgegevens of de Algemene Rekenkamer. Rapportages uit Purview en het centrale SIEM tonen hoeveel documenten met een bepaald label zijn aangemaakt, welke teams het beleid naleven en in welke gevallen uitzonderingen zijn goedgekeurd. Deze transparantie verlaagt de kans op herstelmaatregelen na inspecties en versterkt het vertrouwen van bestuurders dat de cloudomgeving aantoonbaar onder controle is.

Monitoring

Gebruik PowerShell-script sensitivity-labels.ps1 (functie Invoke-Monitoring) – De monitoringsfunctie van het script sensitivity-labels.ps1 vormt het zenuwstelsel van het labelprogramma. Het script haalt via Secure Application Model of PIM-gemachtigde accounts alle actuele labeldefinities, beleidsregels en publicatiegroepen op en vergelijkt deze met de referentieconfiguratie van de Nederlandse Baseline voor Veilige Cloud. Afwijkingen, zoals ontbrekende labels, gewijzigde encryptiesleutels of gebruikersgroepen die per ongeluk zijn verwijderd, worden gelogd in het centrale SIEM en voorzien van een duidelijke ernstclassificatie. Met dezelfde run worden telemetriedata verzameld: hoeveel documenten per label zijn aangemaakt, welke clients automatische labeling activeren en in hoeverre gebruikers classificaties aanpassen. Het script plaatst deze statistieken in een historisch dashboard zodat trends zichtbaar worden. Een plotselinge daling van Zeer Vertrouwelijke labels in een afdeling kan een adoptieprobleem signaleren, terwijl een piek in overrides kan wijzen op een policy die te streng is geconfigureerd. De monitoring is ontworpen met het oog op audits. Elke uitvoering schrijft een onveranderbaar JSON-resultaat weg met datumstempel, gebruikte modules en correlatie-ID's zodat auditors kunnen aantonen dat controles periodiek plaatsvinden. Dankzij een ingebouwde tijdslimiet van minder dan vijftien seconden sluit de uitvoering aan op de eis dat scripts snel moeten voltooien en niet onnodig resources blokkeren..

Remediatie

Gebruik PowerShell-script sensitivity-labels.ps1 (functie Invoke-Remediation) – Wanneer monitoring afwijkingen constateert, kan dezelfde PowerShell-code direct corrigerende acties uitvoeren via de functie Invoke-Remediation. Deze functie valideert eerst of de uitvoerende identiteit over de juiste Purview- en ExchangeOnlineManagement-rechten beschikt en schakelt Just-In-Time toegang in om privilege escalation te voorkomen. Vervolgens vergelijkt het script de actuele configuratie met de gewenste toestand en past ontbrekende labels, publicatiebeleid of encryptieparameters automatisch aan. Het proces is modulair opgebouwd zodat herstelacties gescheiden blijven van detectie. Beheerders kunnen kiezen voor volledig automatische remediatie of een begeleide modus waarbij de voorgestelde wijziging als change-request in het ITSM-systeem verschijnt. In beide gevallen registreert het script welke instellingen zijn aangepast, waarom dat nodig was en welke referentieversie als uitgangspunt diende. Daarmee ontstaat een audittrail die aansluit op de BIO-eisen rond wijzigingsbeheer. Omdat gegevensbescherming vaak bedrijfskritische processen raakt, bevat de remediatieprocedure aanvullende controles. Zo wordt vooraf gecontroleerd of de wijziging invloed heeft op records management, legal holds of bewaartermijnen. Indien dat het geval is, vraagt het script automatisch om bevestiging van de juridisch eigenaar voordat de actie wordt doorgezet. Na afronding genereert het script een rapportage die kan worden gedeeld met de CISO, privacy officer en proceseigenaren, inclusief aanbevelingen voor gebruikerscommunicatie of aanvullende training. Door deze werkwijze hoeven teams niet langer handmatig in het Purview-portaal te zoeken naar inconsistenties, maar beschikken zij over een gecontroleerde, herhaalbare manier om de gewenste staat te herstellen. Het voorkomt dat tijdelijke noodoplossingen onopgemerkt blijven en verzekert dat de Nederlandse Baseline voor Veilige Cloud aantoonbaar wordt nageleefd..

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Sensitivity Labels Configuration .DESCRIPTION Ensures Sensitivity Labels are configured in Microsoft Purview. Sensitivity labels help classify and protect sensitive documents and emails. .NOTES Filename: sensitivity-labels.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-10-16 Last Modified: 2025-10-17 Version: 2.0 Related JSON: content/m365/audit-compliance/sensitivity-labels.json Category: audit-compliance Workload: m365 .LINK https://github.com/m365-tenant-best-practise .EXAMPLE .\sensitivity-labels.ps1 -Monitoring Check compliance status .EXAMPLE .\sensitivity-labels.ps1 -Remediation Apply configuration #> #Requires -Version 5.1 #Requires -Modules ExchangeOnlineManagement [CmdletBinding()] param( [Parameter()] [switch]$Monitoring, [Parameter()] [switch]$Remediation, [Parameter()] [switch]$Revert, [Parameter()] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' # ============================================================================ # HEADER # ============================================================================ Write-Host " ========================================" -ForegroundColor Cyan Write-Host "Sensitivity Labels Configuration" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "======================================== " -ForegroundColor Cyan # ============================================================================ # FUNCTIONS # ============================================================================ function Test-Compliance { <# .SYNOPSIS Tests if current configuration is compliant #> [CmdletBinding()] param() return Invoke-Monitoring } function Invoke-Monitoring { <# .SYNOPSIS Monitors current configuration status #> [CmdletBinding()] param() try { Write-Host "`nMonitoring:" -ForegroundColor Yellow # Connect to Security & Compliance PowerShell Write-Host " Connecting to Security & Compliance Center..." -ForegroundColor Gray Connect-IPPSSession -ShowBanner:$false -ErrorAction Stop # Get all sensitivity labels Write-Host " Retrieving sensitivity labels..." -ForegroundColor Gray $labels = Get-Label -ErrorAction Stop # Analyze labels $result = @{ isCompliant = ($labels.Count -gt 0) totalLabels = $labels.Count publishedLabels = 0 labelDetails = @() } if ($labels.Count -eq 0) { Write-Host " No sensitivity labels found" -ForegroundColor Red } else { Write-Host "`n Sensitivity Labels:" -ForegroundColor Cyan foreach ($label in $labels) { $labelInfo = @{ Name = $label.Name DisplayName = $label.DisplayName Priority = $label.Priority Tooltip = $label.Tooltip Disabled = $label.Disabled } if (-not $label.Disabled) { $result.publishedLabels++ Write-Host " ACTIVE: $($label.DisplayName) (Priority: $($label.Priority))" -ForegroundColor Green } else { Write-Host " DISABLED: $($label.DisplayName) (Priority: $($label.Priority))" -ForegroundColor Yellow } if ($label.Tooltip) { Write-Host " Description: $($label.Tooltip)" -ForegroundColor Gray } $result.labelDetails += $labelInfo } # Check for label policies Write-Host "`n Checking Label Policies..." -ForegroundColor Cyan try { $labelPolicies = Get-LabelPolicy -ErrorAction SilentlyContinue if ($labelPolicies) { Write-Host " Found $($labelPolicies.Count) label policy/policies" -ForegroundColor Green foreach ($policy in $labelPolicies) { Write-Host " Policy: $($policy.Name)" -ForegroundColor Gray } } else { Write-Host " No label policies found" -ForegroundColor Yellow } } catch { Write-Host " Could not retrieve label policies" -ForegroundColor Yellow } } # Summary Write-Host "`n Summary:" -ForegroundColor Cyan Write-Host " Total Labels: $($result.totalLabels)" -ForegroundColor Gray Write-Host " Active Labels: $($result.publishedLabels)" -ForegroundColor Gray # Compliance status if ($result.isCompliant) { Write-Host "`n COMPLIANT: Sensitivity labels are configured" -ForegroundColor Green exit 0 } else { Write-Host "`n NON-COMPLIANT: No sensitivity labels configured" -ForegroundColor Red exit 1 } return $result } catch { Write-Host "`n ERROR: $_" -ForegroundColor Red Write-Host " Error Details: $($_.Exception.Message)" -ForegroundColor Red exit 2 } } function Invoke-Remediation { <# .SYNOPSIS Applies recommended configuration #> [CmdletBinding()] param() try { Write-Host "`nRemediation:" -ForegroundColor Yellow # Connect to Security & Compliance PowerShell Write-Host " Connecting to Security & Compliance Center..." -ForegroundColor Gray Connect-IPPSSession -ShowBanner:$false -ErrorAction Stop # Check if labels already exist Write-Host " Checking existing sensitivity labels..." -ForegroundColor Gray $existingLabels = Get-Label -ErrorAction Stop if ($existingLabels.Count -gt 0) { Write-Host " Sensitivity labels already exist ($($existingLabels.Count) found)" -ForegroundColor Green Write-Host "`n Configuration already compliant" -ForegroundColor Green exit 0 } # Create basic sensitivity labels Write-Host " Creating baseline sensitivity labels..." -ForegroundColor Gray # Create Public label Write-Host " Creating 'Public' label..." -ForegroundColor Gray $publicLabel = New-Label ` -DisplayName "Public" ` -Name "Public" ` -Tooltip "Information that can be shared publicly without restrictions" ` -Comment "Created by Nederlandse Baseline voor Veilige Cloud" ` -ErrorAction Stop # Create Internal label Write-Host " Creating 'Internal' label..." -ForegroundColor Gray $internalLabel = New-Label ` -DisplayName "Internal" ` -Name "Internal" ` -Tooltip "Information for internal use only within the organization" ` -Comment "Created by Nederlandse Baseline voor Veilige Cloud" ` -ErrorAction Stop # Create Confidential label Write-Host " Creating 'Confidential' label..." -ForegroundColor Gray $confidentialLabel = New-Label ` -DisplayName "Confidential" ` -Name "Confidential" ` -Tooltip "Sensitive information that requires protection" ` -Comment "Created by Nederlandse Baseline voor Veilige Cloud" ` -ErrorAction Stop # Create Highly Confidential label Write-Host " Creating 'Highly Confidential' label..." -ForegroundColor Gray $highlyConfidentialLabel = New-Label ` -DisplayName "Highly Confidential" ` -Name "HighlyConfidential" ` -Tooltip "Highly sensitive information with strict access controls" ` -Comment "Created by Nederlandse Baseline voor Veilige Cloud" ` -ErrorAction Stop Write-Host " Successfully created 4 baseline sensitivity labels" -ForegroundColor Green # Create a label policy Write-Host "`n Creating label policy..." -ForegroundColor Gray try { $labelPolicy = New-LabelPolicy ` -Name "Baseline Sensitivity Labels Policy" ` -Labels "Public", "Internal", "Confidential", "HighlyConfidential" ` -Comment "Created by Nederlandse Baseline voor Veilige Cloud" ` -ErrorAction Stop Write-Host " Label policy created successfully" -ForegroundColor Green } catch { Write-Host " Note: Could not create label policy automatically" -ForegroundColor Yellow Write-Host " Please create a label policy in the Purview portal" -ForegroundColor Yellow } # Verify creation Start-Sleep -Seconds 3 $verifyLabels = Get-Label -ErrorAction SilentlyContinue if ($verifyLabels -and $verifyLabels.Count -ge 4) { Write-Host "`n Remediation completed successfully" -ForegroundColor Green Write-Host " Created $($verifyLabels.Count) sensitivity label(s)" -ForegroundColor Green exit 0 } else { Write-Host "`n Failed to verify label creation" -ForegroundColor Red exit 2 } } catch { Write-Host "`n ERROR: $_" -ForegroundColor Red Write-Host " Error Details: $($_.Exception.Message)" -ForegroundColor Red # Provide helpful guidance Write-Host "`n Manual Creation via Portal:" -ForegroundColor Yellow Write-Host " 1. Go to Microsoft Purview compliance portal" -ForegroundColor Gray Write-Host " 2. Navigate to Information protection > Labels" -ForegroundColor Gray Write-Host " 3. Click 'Create a label'" -ForegroundColor Gray Write-Host " 4. Configure the label settings" -ForegroundColor Gray Write-Host " 5. Create a label policy to publish the labels" -ForegroundColor Gray exit 2 } } function Invoke-Revert { <# .SYNOPSIS Reverts configuration to previous state #> [CmdletBinding()] param() try { Write-Host "`nRevert:" -ForegroundColor Yellow Write-Host " WARNING: This will remove the baseline sensitivity labels" -ForegroundColor Red # Connect to Security & Compliance PowerShell Write-Host "`n Connecting to Security & Compliance Center..." -ForegroundColor Gray Connect-IPPSSession -ShowBanner:$false -ErrorAction Stop # Find labels created by remediation $labelNames = @("Public", "Internal", "Confidential", "HighlyConfidential") $removedCount = 0 foreach ($labelName in $labelNames) { Write-Host " Checking for label: $labelName..." -ForegroundColor Gray $label = Get-Label -Identity $labelName -ErrorAction SilentlyContinue if ($label) { Write-Host " Removing label: $labelName..." -ForegroundColor Gray try { Remove-Label -Identity $labelName -Confirm:$false -ErrorAction Stop $removedCount++ Write-Host " Successfully removed: $labelName" -ForegroundColor Yellow } catch { Write-Host " Failed to remove: $labelName - $($_.Exception.Message)" -ForegroundColor Red } } } # Try to remove the label policy Write-Host "`n Checking for label policy..." -ForegroundColor Gray $policy = Get-LabelPolicy -Identity "Baseline Sensitivity Labels Policy" -ErrorAction SilentlyContinue if ($policy) { Write-Host " Removing label policy..." -ForegroundColor Gray try { Remove-LabelPolicy -Identity "Baseline Sensitivity Labels Policy" -Confirm:$false -ErrorAction Stop Write-Host " Successfully removed label policy" -ForegroundColor Yellow } catch { Write-Host " Note: Could not remove label policy - $($_.Exception.Message)" -ForegroundColor Yellow } } if ($removedCount -gt 0) { Write-Host "`n Revert completed - removed $removedCount label(s)" -ForegroundColor Yellow exit 0 } else { Write-Host "`n No labels found to revert" -ForegroundColor Yellow exit 0 } } catch { Write-Host "`n ERROR: $_" -ForegroundColor Red Write-Host " Error Details: $($_.Exception.Message)" -ForegroundColor Red exit 2 } } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { if ($Revert) { if ($WhatIf) { Write-Host "WhatIf: Would revert configuration" -ForegroundColor Yellow } else { Invoke-Revert } } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow } else { Invoke-Remediation } } else { Write-Host "Available parameters:" -ForegroundColor Yellow Write-Host " -Monitoring : Check current status" -ForegroundColor Gray Write-Host " -Remediation : Apply configuration" -ForegroundColor Gray Write-Host " -Revert : Revert changes" -ForegroundColor Gray Write-Host " -WhatIf : Show what would happen" -ForegroundColor Gray } } catch { Write-Error "Error: $_" throw } finally { Write-Host " ======================================== " -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder gevoeligheidslabels ontbreekt inzicht welke documenten vertrouwelijk zijn, wordt versleuteling niet consequent toegepast en kunnen medewerkers per ongeluk staatsgevoelige of persoonsgegevens delen. Het resulteert in AVG-boetes, BIO-afwijkingen en verhoogde kans op datalekken omdat incident response niet weet welke bestanden prioriteit hebben.

Management Samenvatting

Implementeer Purview gevoeligheidslabels om classificatie, versleuteling en beleidsgebaseerde toegangscontrole centraal te organiseren; sluit aan op CIS 2.1.9, BIO 08.02 en AVG artikel 32 en vereist circa 32 uur implementatie-inspanning met blijvende monitoring en remediatie via geautomatiseerde scripts.