💼 Management Samenvatting
Een doordacht compliance-plan voor Microsoft 365 is de enige manier om de explosie aan regelgeving, auditverzoeken en digitale transformaties in goede banen te leiden. Nederlandse overheidsorganisaties hebben te maken met politiek gevoelige informatie, ketenafspraken en streng toezicht; ad-hoc instellingen in Purview of Entra bieden dan geen houvast. Dit artikel positioneert compliance-planning als het bestuurlijke kompas dat technische maatregelen, besluitvorming en verantwoording verbindt.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
160u (tech: 80u)
Van toepassing op:
✓ M365
✓ Microsoft Purview
✓ Microsoft Teams
✓ SharePoint
✓ Publieke Sector
✓ Overheidsorganisaties
✓ Microsoft Purview
✓ Microsoft Teams
✓ SharePoint
✓ Publieke Sector
✓ Overheidsorganisaties
Zonder integrale planning ontstaan parallelle trajecten voor security, privacy, archivering en digitale innovatie die elkaar juist verzwakken. Teams configureren eigen DLP-regels of retention policies zonder gedeelde prioriteitenlijst, waardoor gevoelige data alsnog versnipperd raakt en audits weken vertraging oplopen. Bovendien vragen bestuursorganen en toezichthouders steeds vaker om aantoonbare governance over AI, Copilot en cross-cloud-samenwerking. Wanneer geen roadmap bestaat, kan de organisatie niet uitleggen welke risico's bewust zijn geaccepteerd, welke maatregelen al zijn ingevoerd en waar capaciteitsgaten zitten. Dit ondermijnt vertrouwen van burgers, ketenpartners en controlerende instanties.
PowerShell Modules Vereist
Primary API: Microsoft Graph API, Microsoft Purview, Exchange Online, SharePoint Online
Connection:
Required Modules: Microsoft.Graph, ExchangeOnlineManagement
Connection:
Connect-MgGraph, Connect-IPPSSession, Connect-ExchangeOnlineRequired Modules: Microsoft.Graph, ExchangeOnlineManagement
Implementatie
Het artikel beschrijft stap voor stap hoe u van normenkaders naar een uitvoerbare roadmap gaat, hoe u de Microsoft 365-werkzaamheden verankert in de planning-en-controlcyclus, hoe u governance-rollen scherp afbakent en hoe monitoring- en verbeterloops worden ingericht. Elke sectie sluit aan op de principes van de "Nederlandse Baseline voor Veilige Cloud" en laat zien hoe technische configuraties, beleidsdocumenten en managementinformatie elkaar versterken.
Van controls naar een uitvoerbare roadmap
Wanneer Nederlandse overheidsorganisaties een compliance-roadmap voor Microsoft 365 willen opstellen, beginnen zij vaak met een overweldigende verzameling controls uit de BIO, AVG, Archiefwet, NIS2 en sectorale aanwijzingen. Die lijsten zijn noodzakelijk, maar ze geven geen richting aan volgorde, impact of benodigde competenties. De eerste stap richting een uitvoerbare planning is daarom het herschrijven van juridische eisen naar begrijpelijke thema's die aansluiten op de taal van bestuurders en programma-eigenaren. Denk aan herkenbare sporen als identiteits- en toegangsbeheer, dossier- en archiefkwaliteit, gegevensbescherming, ketenvertrouwen en crisisbeheersing. Door ieder spoor te koppelen aan concrete Microsoft 365-capaciteiten - Purview voor classificatie, Entra voor identiteiten, Defender voor detectie, Teams en SharePoint voor samenwerking - ontstaat een begrippenkader waarmee een stuurgroep binnen enkele minuten ziet waarom een maatregel noodzakelijk is en welke digitale voorzieningen ermee gemoeid zijn. Dit voorkomt dat compliance een abstract gesprek blijft en maakt de stap naar realistische werkpakketten kleiner.
Na het clusteren volgt de fase waarin controls worden vertaald naar bouwstenen met een duidelijk begin en einde. Een bouwsteen beschrijft het probleem, de gewenste Microsoft 365-configuratie, de afhankelijkheden met andere trajecten en de criteria voor "done". Bijvoorbeeld: Tenantbrede activatie van Unified Audit Logging inclusief bewaarbeleid van zeven jaar bevat technische activiteiten, organisatorische afspraken en documentatieverplichtingen. Evenzo kan een bouwsteen lifecyclemanagement van Teams-samenwerkingen omvatten waarbij provisioning-scripts, gevoeligheidslabels, bewaartermijnen en besluitvorming over uitzonderingen samenkomen. Door bouwstenen op deze manier te beschrijven, kunnen architecten en proceseigenaren eenvoudig zien hoeveel effort nodig is en welke specialistische kennis moet worden ingepland, nog voordat er capaciteit wordt toegekend.
De uiteindelijke roadmap ontstaat wanneer bouwstenen worden geprioriteerd met een duidelijke risicomethodiek. Organisaties binnen de Nederlandse publieke sector doen er goed aan een scoringmodel te gebruiken waarin wettelijke urgentie, mogelijke impact op burgers, afhankelijkheden, technische complexiteit en beschikbare competenties samen een prioriteit bepalen. Een maatregel die een direct AVG-risico vermindert en relatief eenvoudig te implementeren is, kan daardoor eerder op de planning verschijnen dan een innovatieve maar complexe integratie van Purview Communication Compliance. Het is bovendien verstandig om per bouwsteen een narratief toe te voegen dat uitlegt welke beleidsbesluiten nodig zijn, welke budgetten geraakt worden en hoe voortgang wordt aantoonbaar gemaakt richting bestuur, rekenkamer en toezichthouders. Zo groeit de roadmap uit tot een verhaal dat zowel technici als niet-technische stakeholders overtuigt en dat naadloos aansluit op de uitgangspunten van de "Nederlandse Baseline voor Veilige Cloud".
Inbedden in de planning-en-controlcyclus
Een compliance-plan dat niet is ingepast in de reguliere planning-en-controlcyclus van een ministerie, gemeente of uitvoeringsorganisatie, overleeft zelden de eerste budgetronde. Daarom wordt de Microsoft 365-roadmap vanaf dag één gekoppeld aan bestaande jaarplannen voor informatiebeveiliging, privacy en dienstverlening. Iedere bouwsteen krijgt een plaats in dezelfde planningstabellen als andere bestuurlijke prioriteiten, compleet met doelstellingen, KPI's en verantwoordelijke portefeuilles. Dit betekent dat het kwartaal waarin retentiebeleid voor zaakdossiers live moet gaan, al in het bestuursakkoord wordt benoemd en dat de resultaten van assessments standaard terugkomen in P&C-rapportages. Door compliance te behandelen als een programma en niet als een incidenteel project, ontstaat er ritme: directies weten dat er elk kwartaal beslispunten komen, controllers nemen de benodigde investeringen mee in begrotingsbesprekingen en auditors herkennen de vaste rapportagestructuur. Bovendien maakt deze inbedding het eenvoudiger om externe partners, zoals regionale samenwerkingsverbanden en shared service centers, aan te laten haken omdat zij dezelfde tijdspaden kunnen gebruiken.
In de begrotings- en capaciteitsrondes is het cruciaal om duidelijk te maken welke middelen per kwart jaar nodig zijn en welke meetbare resultaten hierbij horen. Voor Microsoft 365-compliance gaat het niet alleen om licenties of technische implementatie-uren, maar ook om beleidsjuristen, informatiebeheerders, communicatieadviseurs en adoptie-experts. Een volwassen planning beschrijft daarom per kwartaal welke bevoegdheden, documenten en trainingen moeten worden afgerond om de technische oplevering daadwerkelijk te laten landen. Wanneer Purview-labels worden uitgerold in Q2, moet in hetzelfde kwartaal vastliggen wie uitzonderingen beoordeelt, hoe archivarissen de nieuwe labels opnemen in de selectielijst en hoe medewerkers worden geïnstrueerd. Door deze randvoorwaarden te koppelen aan meetpunten, zoals aantoonbare trainingdekking of een geactualiseerde archiefselectielijst, kunnen bestuurders tijdens portefeuillegebouwen in één oogopslag zien of het plan op koers ligt en waar bijsturing nodig is.
Documenteren en rapporteren zijn geen afsluitende stappen maar doorlopende activiteiten binnen de planning-en-controlcyclus. Iedere mijlpaal levert audit-ready bewijs op dat direct wordt opgeslagen in een centraal dossier: beslisnota's, scripts, screenshots, exportbestanden, testresultaten en communicatieplannen. Daarmee kan tijdens voortgangs- en jaargesprekken zonder tijdverlies worden aangetoond wat er is gerealiseerd. Tegelijkertijd wordt ruimte ingebouwd voor scenario's waarin wettelijke kaders wijzigen of waarin incidenten aanleiding geven tot herprioritering. Het plan kent daarom vaste momenten voor impactanalyses van nieuwe regelgeving, bijvoorbeeld wanneer de implementatie van de Europese AI-Verordening samenvalt met trajecten rond Copilot of Purview. Door deze flexibiliteit bewust te plannen, blijft de roadmap realistisch en kan het bestuur vertrouwen op een continue stroom van actuele informatie.
Governance, rollen en besluitvorming
Gezaghebbende governance is de ruggengraat van iedere compliance-roadmap. Binnen de Nederlandse publieke sector houdt dit in dat bestuurders formeel vastleggen wie eigenaar is van Microsoft 365 als platform, wie beleidsmatige kaders opstelt en wie toeziet op naleving. De CISO en FG bewaken de kaders van de BIO en AVG, de CIO vertaalt deze kaders naar platformbesluiten en de lijnmanagers blijven verantwoordelijk voor de kwaliteit van hun dienstverlening. Deze rollen komen samen in een governanceboard die maandelijks de roadmap bespreekt, afwijkingen accordeert en besluiten documenteert. Tijdens zo'n overleg worden technische onderwerpen nooit geïsoleerd behandeld: een voorstel om gevoelige Teams-omgevingen van extra retentie te voorzien gaat altijd gepaard met vragen over proceseigenaarschap, budgetimpact en benodigde trainingen. De notulen worden onderdeel van het auditdossier zodat achteraf zichtbaar is welke belangenafwegingen zijn gemaakt en welke restrisico's bewust zijn geaccepteerd.
Op operationeel niveau worden rollen vertaald naar concrete bevoegdheden binnen Microsoft 365. Purview-beheerders krijgen alleen die rechten die zij nodig hebben om labels en retention policies aan te maken, terwijl eDiscovery-managers werken onder het vier-ogen-principe. Identity-teams beheren Conditional Access, privileged access en break-glass-accounts, maar escaleren wijzigingen direct naar het governanceboard wanneer risico's de dienstverlening kunnen raken. Om te voorkomen dat besluiten blijven hangen tussen disciplines, kent iedere bouwsteen een product owner die zowel de taal van techniek als die van beleid spreekt. Deze owner bereidt wijzigingsvoorstellen voor, organiseert impactanalyses met informatiebeheerders en privacyjuristen en zorgt ervoor dat verandermanagement parallel loopt aan technische oplevering. Door deze eigenaarschapstructuur sluit de uitvoering aan bij de bestuurlijke koers en wordt voorkomen dat cruciale instellingen afhankelijk zijn van individuele beheerders.
Een volwassen governance-model draait ook om transparantie richting medewerkers en ketenpartners. Communicatie over nieuwe maatregelen wordt daarom niet geparkeerd in technische releasenotes maar opgenomen in reguliere interne communicatie, intranetartikelen en sessies met proceseigenaren. De governanceboard stelt bovendien een escalatiemechanisme vast voor situaties waarin maatregelen niet haalbaar blijken of waarin incidenten vragen om snelle beslissingen buiten de normale cadans. Denk aan een plotselinge aanwijzing van de Autoriteit Persoonsgegevens die directe acties vereist, of aan een groot rechercheonderzoek dat aanvullende logging vergt. Omdat de rollen, bevoegdheden en communicatiepaden vooraf zijn bepaald, kan de organisatie binnen enkele dagen besluiten nemen zonder de integriteit van het plan te verliezen. Daarmee wordt governance geen bureaucratische laag, maar een versneller die zorgt voor eenduidigheid, vertrouwen en aantoonbare sturing.
Monitoring, bijsturen en continu verbeteren
Gebruik PowerShell-script index.ps1 (functie Invoke-CompliancePlanningStatus) – Analyseert logging-, retentie-, labeling- en DLP-indicatoren om een maturiteitsscore voor Microsoft 365-compliance-planning te berekenen en ondersteunt veilige lokale debugtests..
Monitoring is binnen compliance-planning meer dan een checklist van technische instellingen; het is de continue dialoog tussen data, beleid en bestuur. Organisaties leggen vooraf vast welke indicatoren aantonen dat Microsoft 365 daadwerkelijk onder controle is. Dat gaat om tastbare signalen zoals het percentage gelabelde documenten, de dekking van retention policies, de mate waarin privileged accounts zijn afgedekt met PIM en de beschikbaarheid van rapportages over Copilot-gebruik. Tegelijkertijd wordt de menselijke kant gemeten: hoe vaak grijpt de governanceboard in, hoeveel uitzonderingen worden aangevraagd en welke terugkerende incidentthema's vragen om aanvullende maatregelen. Door deze indicatoren te koppelen aan duidelijke drempelwaarden ontstaat een vroegtijdig waarschuwingsmechanisme dat bestuurders in staat stelt tijdig op te schalen.
Het bijbehorende PowerShell-script `code/m365/compliance-planning/index.ps1` fungeert als instrument om deze monitoringgegevens te verzamelen. Het controleert of Unified Audit Logging actief is, of retentie- en label policies daadwerkelijk bestaan, of DLP-beleid aanwezig is en of loggingconfiguraties aantonen dat besluitvorming traceerbaar blijft. In DebugMode genereert het script voorbeelddata voor lokale testen; in productie kan het veilig tegen Microsoft Graph en Exchange Online draaien zonder wijzigingen door te voeren. De uitvoer bevat een maturiteitsscore en een lijst met concrete bevindingen die direct in dashboards of kwartaalrapportages kan worden opgenomen. Zo ontstaat een consistent meetinstrument dat governanceboards elke maand kunnen gebruiken om signalen te toetsen, zonder dat zij afhankelijk zijn van handmatige exports uit verschillende portals.
De informatie uit monitoring krijgt pas waarde wanneer zij leidt tot actie en documentatie. Daarom is in het compliance-plan vastgelegd hoe bevindingen uit het script worden opgenomen in het ISMS, hoe opvolging wordt gepland en hoe lessons learned terugvloeien naar de roadmap. Wanneer het script bijvoorbeeld meldt dat er nog geen formele planning-baseline is gedetecteerd, triggert dit een gesprek over documentatie en bestuurlijke bekrachtiging. Komt er een toename van uitzonderingen op DLP-beleid aan het licht, dan wordt dit besproken met proceseigenaren en vertaald naar extra trainingen of verbeterde sjablonen. Door monitoringresultaten systematisch te koppelen aan besluitvorming en communicatie, sluit deze sectie de cirkel: plannen, uitvoeren, meten en verbeteren worden één integraal proces.
Compliance & Frameworks
- BIO: 9.01, 9.02, 12.01, 12.03, 18.01 - Organisatie van informatiebeveiliging, planning en evaluatie van beveiligingsmaatregelen, logging, monitoring en aantoonbare sturing op risico's binnen Microsoft 365.
- ISO 27001:2022: A.5.1, A.6.1, A.12.4, A.18.1 - Informatiebeveiligingsbeleid, governance, logging en compliance met wettelijke en contractuele vereisten, vertaald naar een Microsoft 365-compliance-roadmap.
- NIS2: Artikel - Verplichting tot risicogebaseerde maatregelen, continue monitoring en aantoonbare sturing op de beveiliging van netwerk- en informatiesystemen die Microsoft 365 gebruiken.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Compliance-planning in Microsoft 365 – statuscontrole en governance-inzicht
.DESCRIPTION
Controleert een uitgebreid pakket indicatoren voor volwassen compliance-planning in Microsoft 365:
- Basisconfiguraties zoals Unified Audit Log, retention-, label- en records-management policies
- Purview- en DLP-configuraties die aantonen dat gegevensbescherming programmatisch wordt opgepakt
- Logging- en rapportagekanalen die kwartaalsturing onderbouwen
- Een maturiteitsscore waarmee governanceboards direct kunnen rapporteren
Het script is onderdeel van de "Nederlandse Baseline voor Veilige Cloud", verzamelt uitsluitend leesbare
gegevens en biedt een veilige DebugMode voor lokale tests zonder tenantverbinding.
.NOTES
Filename: index.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-27
Version: 1.0
Related JSON: content/m365/compliance-planning/index.json
Category: compliance
Workload: m365
.LINK
https://github.com/m365-tenant-best-practise
.EXAMPLE
.\index.ps1 -Monitoring -DebugMode
Voert een lokale debug-run uit zonder verbinding te maken met Microsoft 365 en toont voorbeeldresultaten.
.EXAMPLE
.\index.ps1 -Monitoring
Voert een live controle uit op een aantal kernconfiguraties die essentieel zijn voor Microsoft 365-compliance-planning.
.EXAMPLE
.\index.ps1 -ExportJson -Path .\compliance-planning-status.json -DebugMode
Voert een snelle debugcontrole uit en schrijft de resultaten weg naar een JSON-bestand voor verder gebruik
in dashboards of rapportages.
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph, ExchangeOnlineManagement
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Controleer kernindicatoren voor Microsoft 365-compliance-planning")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Voer een lokale debug-run uit zonder verbinding met Microsoft 365")]
[switch]$DebugMode,
[Parameter(HelpMessage = "Exporteer het resultaat als JSON-bestand")]
[switch]$ExportJson,
[Parameter(HelpMessage = "Pad voor JSON-export (standaard: .\\compliance-planning-status.json)")]
[string]$Path = ".\compliance-planning-status.json"
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Compliance-planning status (M365)" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Invoke-CompliancePlanningStatus {
<#
.SYNOPSIS
Bepaalt de status van enkele kernaspecten van Microsoft 365-compliance-planning.
.DESCRIPTION
Levert een samenvattend object op met indicatoren voor logging, retention, Purview-configuratie
en basisgovernance, als input voor rapportages en dashboards.
.OUTPUTS
PSCustomObject met:
- ScriptName
- Timestamp
- UnifiedAuditLogEnabled
- HasCoreRetentionPolicies
- HasLabelPolicies
- HasAdminAuditLogEnabled
- HasPurviewConfiguration
- HasRecordsManagement
- HasDlpPolicies
- HasQuarterlyReportingCadence
- MaturityScore en MaturityLevel
- Findings (lijst met aandachtspunten)
- IsPlanningBaselinePresent (indien af te leiden uit configuraties)
#>
[CmdletBinding()]
param()
$result = [PSCustomObject]@{
ScriptName = "index.ps1"
Timestamp = Get-Date
UnifiedAuditLogEnabled = $false
HasCoreRetentionPolicies = $false
HasLabelPolicies = $false
HasAdminAuditLogEnabled = $false
HasPurviewConfiguration = $false
HasRecordsManagement = $false
HasDlpPolicies = $false
HasQuarterlyReportingCadence = $false
IsPlanningBaselinePresent = $false
MaturityScore = 0
MaturityLevel = "Onbekend"
Findings = @()
}
function Get-CompliancePlanningMaturity {
param(
[bool]$UnifiedAuditLogEnabled,
[bool]$HasCoreRetentionPolicies,
[bool]$HasLabelPolicies,
[bool]$HasRecordsManagement,
[bool]$HasDlpPolicies,
[bool]$HasQuarterlyReportingCadence
)
$metrics = @(
$UnifiedAuditLogEnabled,
$HasCoreRetentionPolicies,
$HasLabelPolicies,
$HasRecordsManagement,
$HasDlpPolicies,
$HasQuarterlyReportingCadence
)
$score = 0
if ($metrics.Count -gt 0) {
$score = (($metrics | Where-Object { $_ }).Count / $metrics.Count) * 10
}
$level = if ($score -ge 8) {
"Volwassen"
}
elseif ($score -ge 5) {
"Gevorderd"
}
else {
"Startend"
}
return @{
Score = [Math]::Round($score, 2)
Level = $level
}
}
try {
if ($DebugMode) {
Write-Host "DebugMode ingeschakeld: er wordt geen verbinding gemaakt met Microsoft 365." -ForegroundColor Yellow
Write-Host "Er worden voorbeeldwaarden gebruikt om de rapportage te testen.`n" -ForegroundColor Yellow
# Voorbeeldscenario: basis is aanwezig, maar verdere planning en dekking kan beter
$result.UnifiedAuditLogEnabled = $true
$result.HasCoreRetentionPolicies = $true
$result.HasLabelPolicies = $true
$result.HasAdminAuditLogEnabled = $true
$result.HasPurviewConfiguration = $true
$result.HasRecordsManagement = $true
$result.HasDlpPolicies = $true
$result.HasQuarterlyReportingCadence = $false
$result.IsPlanningBaselinePresent = $false
$result.Findings += "DebugMode: voorbeelddata – verifieer in productie of het compliance-plan formeel is vastgesteld en gedocumenteerd."
$result.Findings += "Controleer of alle kritieke werkstromen (zoals e-mail, Teams en SharePoint) een aantoonbaar toegewezen retention- en classificatiebeleid hebben."
}
else {
Write-Host "Verbinding maken met Microsoft 365-services..." -ForegroundColor Gray
try {
$context = Get-MgContext -ErrorAction SilentlyContinue
if (-not $context) {
Connect-MgGraph -Scopes "Directory.Read.All", "AuditLog.Read.All" -ErrorAction Stop | Out-Null
Write-Host "Verbonden met Microsoft Graph." -ForegroundColor Green
}
}
catch {
Write-Warning "Kon niet verbinden met Microsoft Graph: $_"
$result.Findings += "Kon geen Graph-verbinding maken; controleer de Microsoft.Graph-module en machtigingen."
}
try {
$exoSession = Get-PSSession | Where-Object { $_.ConfigurationName -eq "Microsoft.Exchange" -and $_.State -eq "Opened" }
if (-not $exoSession) {
Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop | Out-Null
Write-Host "Verbonden met Exchange Online." -ForegroundColor Green
}
}
catch {
Write-Warning "Kon niet verbinden met Exchange Online: $_"
$result.Findings += "Kon geen Exchange Online-verbinding maken; Unified Audit Log en admin logging kunnen niet worden gevalideerd."
}
Write-Host "Controleren van Unified Audit Log-configuratie..." -ForegroundColor Gray
try {
$auditConfig = Get-AdminAuditLogConfig -ErrorAction SilentlyContinue
if ($auditConfig -and $auditConfig.UnifiedAuditLogIngestionEnabled) {
$result.UnifiedAuditLogEnabled = $true
}
if ($auditConfig -and $auditConfig.AdminAuditLogEnabled) {
$result.HasAdminAuditLogEnabled = $true
}
if (-not $result.UnifiedAuditLogEnabled) {
$result.Findings += "Unified Audit Log is niet (volledig) ingeschakeld; dit beperkt de auditability van Microsoft 365-activiteiten."
}
}
catch {
Write-Verbose "Kon Unified Audit Log-configuratie niet ophalen: $_"
$result.Findings += "Kon Unified Audit Log-configuratie niet ophalen; verifieer handmatig via het compliance-portaal."
}
Write-Host "Controleren van Purview-retention-, label- en records-management policies..." -ForegroundColor Gray
try {
$labelPolicies = Get-LabelPolicy -ErrorAction SilentlyContinue
$retentionPolicies = Get-RetentionCompliancePolicy -ErrorAction SilentlyContinue
$complianceTags = Get-ComplianceTag -ErrorAction SilentlyContinue
if ($labelPolicies -and $labelPolicies.Count -gt 0) {
$result.HasLabelPolicies = $true
}
if ($retentionPolicies -and $retentionPolicies.Count -gt 0) {
$result.HasCoreRetentionPolicies = $true
}
if ($complianceTags | Where-Object { $_.IsRecordLabel -eq $true }) {
$result.HasRecordsManagement = $true
}
if ($result.HasLabelPolicies -or $result.HasCoreRetentionPolicies) {
$result.HasPurviewConfiguration = $true
}
else {
$result.Findings += "Er lijken geen Purview label- of retention policies actief te zijn; dit wijst op ontbrekende basis in gegevens- en bewaarbeleid."
}
if (-not $result.HasRecordsManagement) {
$result.Findings += "Records management lijkt niet ingericht; controleer of compliance-tags zijn gepubliceerd en gekoppeld aan werkstromen."
}
}
catch {
Write-Verbose "Kon Purview-policies niet ophalen: $_"
$result.Findings += "Kon Purview-policies niet ophalen; controleer de verbinding met het Security & Compliance-endpoint."
}
Write-Host "Controleren van DLP-beleid..." -ForegroundColor Gray
try {
$dlpPolicies = Get-DlpCompliancePolicy -ErrorAction SilentlyContinue
if ($dlpPolicies -and $dlpPolicies.Count -gt 0) {
$result.HasDlpPolicies = $true
}
else {
$result.Findings += "Geen actieve DLP-beleidsobjecten gevonden; dit bemoeilijkt aantoonbare dataverliespreventie binnen Microsoft 365."
}
}
catch {
Write-Verbose "Kon DLP-beleid niet ophalen: $_"
$result.Findings += "Kon geen DLP-beleid uitlezen; controleer of de ExchangeOnlineManagement-module is bijgewerkt en of de juiste machtigingen beschikbaar zijn."
}
# De aanwezigheid van configuraties is geen hard bewijs voor formeel compliance-planning,
# maar als logging en basis-policies actief zijn, kan dat een indicatie zijn dat planning op gang is gebracht.
if ($result.UnifiedAuditLogEnabled -and $result.HasCoreRetentionPolicies -and $result.HasLabelPolicies -and $result.HasDlpPolicies) {
$result.IsPlanningBaselinePresent = $true
$result.HasQuarterlyReportingCadence = $true
}
else {
$result.Findings += "Niet alle bouwstenen zijn aanwezig om een kwartaalrapportage te onderbouwen; plan aanvullende governanceacties."
}
}
}
catch {
$result.Findings += "Onverwachte fout tijdens controle: $($_.Exception.Message)"
}
$maturity = Get-CompliancePlanningMaturity `
-UnifiedAuditLogEnabled $result.UnifiedAuditLogEnabled `
-HasCoreRetentionPolicies $result.HasCoreRetentionPolicies `
-HasLabelPolicies $result.HasLabelPolicies `
-HasRecordsManagement $result.HasRecordsManagement `
-HasDlpPolicies $result.HasDlpPolicies `
-HasQuarterlyReportingCadence $result.HasQuarterlyReportingCadence
$result.MaturityScore = $maturity.Score
$result.MaturityLevel = $maturity.Level
return $result
}
if ($Monitoring -or $ExportJson) {
$status = Invoke-CompliancePlanningStatus
Write-Host "`nResultaat van compliance-planningcontrole:" -ForegroundColor Cyan
$status | Format-List
if ($ExportJson) {
try {
$status | ConvertTo-Json -Depth 6 | Out-File -FilePath $Path -Encoding UTF8
Write-Host "`nStatus is geëxporteerd naar: $Path" -ForegroundColor Green
}
catch {
Write-Warning "Kon resultaat niet wegschrijven naar JSON: $_"
}
}
}
else {
Write-Host "Geen actieparameter opgegeven. Gebruik -Monitoring en/of -ExportJson om een controle uit te voeren." -ForegroundColor Yellow
}
Risico zonder implementatie
Risico zonder implementatie
High: Wanneer er geen integraal compliance-plan voor Microsoft 365 bestaat, blijft de organisatie reageren op incidenten, audits en nieuwe regelgeving in plaats van proactief te sturen. Belangrijke maatregelen worden uitgesteld of dubbel uitgevoerd, cruciale risico's blijven langer bestaan dan nodig en het vertrouwen van bestuurders, toezichthouders en burgers neemt af.
Management Samenvatting
Ontwikkel een integraal compliance-plan voor Microsoft 365 waarin normenkaders, risicobeelden en Microsoft 365-capaciteiten zijn vertaald naar een meerjarige roadmap met duidelijke eigenaars, mijlpalen, indicatoren en auditbare resultaten.
- Implementatietijd: 160 uur
- FTE required: 0.5 FTE