BIO 12.04 ISO A.5.2

Geautomatiseerde Bewijsverzameling En -beheer In Microsoft 365

📅 2025-11-26
⏱️ 18 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Bij incidenten, juridische procedures, toezichtstrajecten en AVG-verzoeken moeten Nederlandse overheidsorganisaties snel en betrouwbaar bewijs kunnen verzamelen uit Microsoft 365. Handmatige bewijsverzameling is tijdrovend, foutgevoelig en kan leiden tot onvolledige datasets of onjuiste interpretaties. Geautomatiseerde bewijsverzameling en -beheer transformeert dit proces door gestandaardiseerde workflows te bieden die bewijsstukken systematisch identificeren, veiligstellen, bewaren en documenteren, zodat organisaties aantoonbaar kunnen voldoen aan wettelijke verplichtingen en toezichthouders kunnen overtuigen van de integriteit van het verzamelde bewijs.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
200u (tech: 80u)
Van toepassing op:
M365
Exchange Online
SharePoint Online
OneDrive
Teams
Publieke Sector
Overheidsorganisaties

Zonder geautomatiseerde bewijsverzameling ontstaan verschillende risico's. Bij incidenten of juridische procedures wordt bewijs vaak te laat verzameld, waardoor cruciale informatie al is verwijderd of gewijzigd. Handmatige processen zijn arbeidsintensief en leiden tot inconsistenties: verschillende medewerkers verzamelen bewijs op verschillende manieren, waardoor de kwaliteit en volledigheid variëren. Bovendien ontbreekt vaak een audit trail die aantoont wanneer, hoe en door wie bewijs is verzameld, wat de verdedigbaarheid in juridische procedures of bij toezichthouders verzwakt. Geautomatiseerde workflows lossen deze problemen op door bewijsverzameling te standaardiseren, te versnellen en volledig te documenteren. Daarnaast kunnen geautomatiseerde systemen proactief werken: zij kunnen bijvoorbeeld automatisch legal holds plaatsen wanneer bepaalde triggers worden geactiveerd, zoals een melding van een datalek of het starten van een intern onderzoek. Dit voorkomt dat relevante informatie per ongeluk wordt verwijderd voordat bewijs kan worden verzameld. Voor Nederlandse overheidsorganisaties die moeten voldoen aan AVG, BIO, NIS2 en archiefwetgeving is geautomatiseerde bewijsverzameling daarom geen luxe, maar een essentiële voorwaarde voor aantoonbare compliance en rechtszekerheid.

PowerShell Modules Vereist
Primary API: Microsoft Purview (Security & Compliance PowerShell), Microsoft Graph API
Connection: Connect-IPPSSession, Connect-MgGraph
Required Modules: ExchangeOnlineManagement, Microsoft.Graph

Implementatie

Dit artikel beschrijft hoe Nederlandse overheidsorganisaties geautomatiseerde bewijsverzameling en -beheer in Microsoft 365 ontwerpen, implementeren en beheren. We beginnen met de governance: welke rollen zijn betrokken bij bewijsverzameling, welke juridische en compliance-eisen gelden en hoe worden workflows ontworpen die zowel snel als verdedigbaar zijn. Vervolgens behandelen we de technische implementatie met Microsoft Purview eDiscovery, legal holds, content search en geautomatiseerde export workflows. We beschrijven hoe deze tools worden geconfigureerd voor verschillende scenario's, zoals incidentonderzoek, juridische procedures, AVG-verzoeken en toezichtstrajecten. Ten slotte behandelen we monitoring, validatie en periodieke evaluatie met behulp van het bijbehorende script `evidence-automation.ps1`, zodat organisaties kunnen aantonen dat hun bewijsverzamelingsprocessen betrouwbaar, volledig en in lijn zijn met de principes van de "Nederlandse Baseline voor Veilige Cloud".

Effectieve geautomatiseerde bewijsverzameling begint bij duidelijke governance en een solide juridisch kader. Binnen Nederlandse overheidsorganisaties zijn meerdere rollen betrokken bij bewijsverzameling, elk met specifieke verantwoordelijkheden. Juristen en compliance officers bepalen wanneer bewijsverzameling noodzakelijk is, welke scope geldt en welke wettelijke kaders van toepassing zijn, zoals de AVG voor privacy-gerelateerde verzoeken, de Archiefwet voor langetermijnbewaring of strafrechtelijke procedures voor forensisch onderzoek. De CISO en security operations teams zijn verantwoordelijk voor de technische uitvoering van bewijsverzameling, inclusief het configureren van eDiscovery cases, het plaatsen van legal holds en het exporteren van bewijsstukken. De Functionaris Gegevensbescherming (FG) beoordeelt of bewijsverzameling proportioneel is en voldoet aan AVG-beginselen, vooral wanneer persoonsgegevens van derden worden verzameld. Daarnaast zijn proceseigenaren en lijnmanagers belangrijke stakeholders: zij moeten begrijpen wat bewijsverzameling betekent voor hun teams, welke impact legal holds hebben op dagelijkse werkzaamheden en hoe zij kunnen bijdragen aan een efficiënt proces. Het governance-model beschrijft hoe deze rollen samenwerken in concrete scenario's, bijvoorbeeld wanneer een datalek wordt gemeld, een juridische procedure start of een toezichthouder informatie opvraagt.

Het juridisch kader voor bewijsverzameling is complex en vereist zorgvuldige afweging. De AVG stelt grenzen aan wanneer en hoe persoonsgegevens mogen worden verzameld, zelfs voor compliance- of juridische doeleinden. Artikel 6 van de AVG vereist een rechtsgrondslag voor verwerking, en bewijsverzameling kan bijvoorbeeld worden gerechtvaardigd op basis van een wettelijke verplichting, een gerechtvaardigd belang of toestemming. Voor Nederlandse overheidsorganisaties geldt daarnaast de Archiefwet, die voorschrijft dat bepaalde informatie moet worden bewaard voor historische en verantwoordingsdoeleinden. Bij juridische procedures en forensisch onderzoek gelden aanvullende eisen rond de integriteit van bewijs, de chain of custody en de verdedigbaarheid van verzamelmethoden. Het governance-model beschrijft daarom expliciet welke scenario's automatische bewijsverzameling rechtvaardigen, welke autorisaties vereist zijn voordat een eDiscovery case wordt gestart en hoe wordt gedocumenteerd dat bewijsverzameling proportioneel en noodzakelijk is. Dit voorkomt dat bewijsverzameling wordt misbruikt voor ongewenste doeleinden, zoals het monitoren van medewerkers zonder legitieme reden, en zorgt ervoor dat de organisatie bij toezichthouders of rechters kan aantonen dat bewijsverzameling rechtmatig is uitgevoerd.

Een belangrijk aspect van governance is de relatie tussen geautomatiseerde workflows en menselijke controle. Volledig geautomatiseerde bewijsverzameling zonder menselijke tussenkomst kan leiden tot overmatige verzameling van gegevens, privacyrisico's en juridische problemen. Daarom beschrijft het governance-model wanneer automatische triggers mogen worden gebruikt, bijvoorbeeld bij gedefinieerde incidenttypes of wanneer expliciete autorisatie is verleend, en wanneer altijd menselijke beoordeling vereist is voordat bewijsverzameling start. Daarnaast worden procedures vastgelegd voor het reviewen van verzamelde bewijsstukken, het filteren van irrelevante of gevoelige informatie en het anonimiseren van persoonsgegevens wanneer dit mogelijk is zonder de juridische waarde van bewijs te verminderen. Door governance, juridische kaders en technische mogelijkheden integraal te beschouwen, ontstaat een systeem dat zowel snel als verdedigbaar is, en dat past binnen de ambitie van de "Nederlandse Baseline voor Veilige Cloud".

Technische implementatie: eDiscovery, legal holds en geautomatiseerde workflows

Microsoft Purview biedt uitgebreide mogelijkheden voor geautomatiseerde bewijsverzameling in Microsoft 365. Core eDiscovery vormt de basis: deze tool stelt organisaties in staat om gestructureerde eDiscovery cases aan te maken, legal holds te plaatsen op specifieke gebruikers, mailboxen of sites, en content searches uit te voeren om relevante informatie te identificeren. Advanced eDiscovery voegt daar machine learning en analysefunctionaliteit aan toe, waardoor grote hoeveelheden data kunnen worden geanalyseerd, gedupliceerde content kan worden geïdentificeerd en relevante documenten kunnen worden geprioriteerd. Voor Nederlandse overheidsorganisaties is het essentieel om deze tools niet ad-hoc te gebruiken, maar te integreren in gestandaardiseerde workflows die aansluiten bij de governance- en juridische kaders. Het technische ontwerp beschrijft daarom hoe eDiscovery cases worden gestructureerd, welke metadata wordt vastgelegd bij elke case, hoe legal holds worden geconfigureerd en hoe exports worden uitgevoerd met behoud van integriteit en chain of custody.

Legal holds vormen een kritiek onderdeel van geautomatiseerde bewijsverzameling. Wanneer een incident wordt gedetecteerd of een juridische procedure start, moet onmiddellijk worden voorkomen dat relevante informatie wordt verwijderd. Microsoft Purview biedt verschillende typen legal holds: in-place holds voor Exchange Online mailboxen, litigation holds voor langdurige bewaring, en retention policies die kunnen worden gecombineerd met eDiscovery cases. Het technische ontwerp beschrijft hoe legal holds worden geconfigureerd voor verschillende scenario's, bijvoorbeeld een automatische hold wanneer een datalek wordt gemeld, een hold voor specifieke gebruikers wanneer een intern onderzoek start, of een tenantbrede hold wanneer een toezichthouder informatie opvraagt. Daarnaast wordt vastgelegd hoe legal holds worden gemonitord, wanneer zij worden opgeheven en hoe wordt gedocumenteerd dat holds correct zijn geplaatst en beheerd. Dit is essentieel voor de verdedigbaarheid van bewijsverzameling: wanneer een rechter of toezichthouder vraagt waarom bepaalde informatie ontbreekt, moet de organisatie kunnen aantonen dat passende maatregelen zijn genomen om informatie te bewaren.

Geautomatiseerde workflows kunnen bewijsverzameling verder versnellen en standaardiseren. Microsoft Graph API en PowerShell-scripts kunnen worden gebruikt om eDiscovery cases programmatisch aan te maken, legal holds te plaatsen, content searches uit te voeren en exports te genereren. Dit maakt het mogelijk om bewijsverzameling te koppelen aan incident response systemen, compliance monitoring tools of juridische case management systemen. Bijvoorbeeld: wanneer een SIEM een ernstig beveiligingsincident detecteert, kan automatisch een eDiscovery case worden aangemaakt, kunnen legal holds worden geplaatst op betrokken accounts en kan een eerste content search worden uitgevoerd om relevante informatie te identificeren. Deze automatisering moet echter altijd worden gecombineerd met menselijke controle: een security officer of compliance officer moet de case reviewen, de scope valideren en autoriseren voordat exports worden gegenereerd of bewijs wordt gedeeld met externe partijen. Het technische ontwerp beschrijft daarom welke workflows volledig geautomatiseerd kunnen zijn, waar menselijke tussenkomst vereist is en hoe automatisering wordt gemonitord en gevalideerd. Daarnaast wordt aandacht besteed aan integriteit en chain of custody: exports worden voorzien van hash-waarden, metadata wordt vastgelegd over wanneer en door wie bewijs is verzameld, en exports worden opgeslagen in beveiligde, onveranderbare opslaglagen zodat de integriteit van bewijs kan worden geverifieerd.

Monitoring, validatie en continue verbetering van bewijsverzamelingsprocessen

Gebruik PowerShell-script evidence-automation.ps1 (functie Invoke-EvidenceAutomationAssessment) – Controleert of geautomatiseerde bewijsverzamelingsprocessen correct zijn geconfigureerd, of legal holds actief zijn waar nodig en of eDiscovery cases correct worden beheerd. Ondersteunt zowel veilige lokale debug-tests als live-controles in de tenant..

Eenmaal ingericht is geautomatiseerde bewijsverzameling alleen effectief als het ook periodiek wordt gemonitord en gevalideerd. Configuraties in Microsoft 365 veranderen door lifecycle-beheer, nieuwe licenties, productupdates en beheeracties. Zonder monitoring kunnen wijzigingen ertoe leiden dat legal holds onbedoeld worden opgeheven, dat eDiscovery cases niet meer toegankelijk zijn of dat geautomatiseerde workflows niet meer functioneren. Het is daarom essentieel dat de organisatie ten minste per kwartaal vaststelt of bewijsverzamelingsprocessen nog correct zijn geconfigureerd en of zij aansluiten bij de governance-afspraken. Het bijbehorende script `evidence-automation.ps1` is ontworpen als hulpmiddel voor deze periodieke controle. In DebugMode genereert het script voorbeelddata zodat logica en rapportages veilig lokaal getest kunnen worden. In live-modus maakt het via Security & Compliance PowerShell en Microsoft Graph API verbinding met Microsoft 365, controleert het of eDiscovery cases correct zijn geconfigureerd, of legal holds actief zijn waar verwacht, en rapporteert het in een gestandaardiseerde vorm of minimale ontwerpcriteria zijn gehaald. De resultaten kunnen worden opgeslagen als JSON of CSV en dienen als objectieve audit-evidence voor interne en externe toezichthouders.

Monitoring beperkt zich niet tot technische controles. De uitkomsten van periodieke checks worden ingebed in de bredere governance rond compliance en juridische procedures. Juristen, compliance officers en de CISO ontvangen samenvattende rapportages waarin afwijkingen worden uitgelicht, bijvoorbeeld eDiscovery cases die niet correct zijn afgesloten, legal holds die onterecht zijn opgeheven of geautomatiseerde workflows die niet meer functioneren. Dit stelt bestuurders en lijnmanagers in staat om gericht bij te sturen en waar nodig aanvullende maatregelen te nemen, zoals het herstellen van configuraties, het aanvullen van licenties of het aanpassen van workflows. Daarnaast wordt minimaal jaarlijks beoordeeld of de gekozen bewijsverzamelingsprocessen nog aansluiten bij actuele risico's, wetgeving en operationele behoeften. Nieuwe dreigingsvormen, aangepaste normenkaders of ervaringen uit incidentonderzoeken kunnen aanleiding zijn om workflows aan te passen, aanvullende automatisering te introduceren of juist bepaalde processen te de-automatiseren wanneer dit beter aansluit bij juridische of compliance-eisen. Deze evaluaties en de daarbij behorende besluiten worden zorgvuldig gedocumenteerd zodat de organisatie bij toekomstige audits of juridische procedures kan laten zien hoe bewijsverzamelingsprocessen door de tijd heen zijn verbeterd.

Ten slotte moet de organisatie aandacht besteden aan bewustwording en praktische toepassing van geautomatiseerde bewijsverzameling. Juristen, compliance officers, security operations teams en forensische specialisten moeten weten welke tools beschikbaar zijn, hoe workflows functioneren en wanneer geautomatiseerde bewijsverzameling moet worden geactiveerd. Het artikel en het script `evidence-automation.ps1` kunnen daarbij dienen als startpunt voor een standaard werkwijze: bij ieder significant incident of juridische procedure wordt vastgelegd welke bewijsverzamelingsprocessen zijn gebruikt, of deze effectief waren en welke knelpunten zijn ervaren. Deze inzichten vloeien terug naar het ontwerp van workflows en configuraties. Wanneer bijvoorbeeld blijkt dat legal holds te laat zijn geplaatst, dat content searches onvolledige resultaten opleveren of dat exports niet voldoen aan chain of custody-eisen, wordt dit expliciet vertaald naar aanpassingen in het beleid en in Microsoft 365 instellingen. Zo wordt monitoring van geautomatiseerde bewijsverzameling onderdeel van een cyclisch verbeterproces waarin techniek, beleid en organisatie elkaar continu versterken, conform de ambitie van de "Nederlandse Baseline voor Veilige Cloud".

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Geautomatiseerde bewijsverzameling en -beheer in Microsoft 365 .DESCRIPTION Controleert of geautomatiseerde bewijsverzamelingsprocessen correct zijn geconfigureerd, of legal holds actief zijn waar nodig en of eDiscovery cases correct worden beheerd. Ondersteunt beheerders bij gerichte remediatie en validatie van bewijsverzamelingsworkflows. .NOTES Filename: evidence-automation.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-11-26 Version: 1.0 Related JSON: content/m365/compliance/evidence-automation.json Category: compliance Workload: m365 .LINK https://github.com/m365-tenant-best-practise .EXAMPLE .\evidence-automation.ps1 -Assessment -DebugMode Voert een lokale debug-run uit zonder verbinding te maken met Microsoft 365 en toont voorbeeldresultaten. .EXAMPLE .\evidence-automation.ps1 -Assessment Controleert in de live tenant of geautomatiseerde bewijsverzamelingsprocessen correct zijn geconfigureerd. .EXAMPLE .\evidence-automation.ps1 -Report -OutputPath .\evidence-automation-rapport.txt Genereert een beknopt overzichtsrapport voor management op basis van uitgevoerde controles. #> #Requires -Version 5.1 #Requires -Modules ExchangeOnlineManagement [CmdletBinding()] param( [Parameter(HelpMessage = "Voer controles uit op geautomatiseerde bewijsverzamelingsprocessen")] [switch]$Assessment, [Parameter(HelpMessage = "Genereer een samenvattend rapport op basis van de controle-uitkomsten")] [switch]$Report, [Parameter(HelpMessage = "Pad naar het rapportbestand dat moet worden aangemaakt (alleen bij -Report)")] [string]$OutputPath, [Parameter(HelpMessage = "Voer een veilige lokale test uit met voorbeelddata, zonder verbinding met Microsoft 365")] [switch]$DebugMode ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Geautomatiseerde bewijsverzameling (M365)" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan function Connect-ComplianceServices { <# .SYNOPSIS Maakt verbinding met het Microsoft 365 Security & Compliance endpoint. .DESCRIPTION Gebruikt Connect-IPPSSession uit de ExchangeOnlineManagement-module. #> [CmdletBinding()] param() Write-Host "Verbinding maken met Microsoft Purview (Security & Compliance)..." -ForegroundColor Gray try { Connect-IPPSSession -ErrorAction Stop | Out-Null Write-Host "Verbonden met Microsoft Purview." -ForegroundColor Green } catch { Write-Host "Fout bij verbinden met Microsoft Purview: $_" -ForegroundColor Red throw } } function Invoke-EvidenceAutomationAssessment { <# .SYNOPSIS Voert een gestructureerde controle uit op geautomatiseerde bewijsverzamelingsprocessen. .DESCRIPTION Controleert of eDiscovery cases correct zijn geconfigureerd, of legal holds actief zijn waar nodig en of bewijsverzamelingsworkflows correct functioneren. In DebugMode worden geen externe verbindingen gemaakt en wordt met voorbeelddata gewerkt zodat lokaal testen mogelijk is. .OUTPUTS PSCustomObject met: - IsCompliant : Boolean - Timestamp : Datum/tijd van de meting - HasEdiscoveryAccess : Boolean - HasActiveLegalHolds : Boolean - HasEdiscoveryCases : Boolean - LegalHoldsCount : Integer - EdiscoveryCasesCount : Integer - Findings : Lijst met geconstateerde issues of aandachtspunten #> [CmdletBinding()] param() $result = [PSCustomObject]@{ ScriptName = "evidence-automation.ps1" IsCompliant = $false Timestamp = Get-Date HasEdiscoveryAccess = $false HasActiveLegalHolds = $false HasEdiscoveryCases = $false LegalHoldsCount = 0 EdiscoveryCasesCount = 0 Findings = @() } try { if ($DebugMode) { Write-Host "DebugMode ingeschakeld: er wordt geen verbinding gemaakt met Microsoft 365." -ForegroundColor Yellow Write-Host "Er worden voorbeeldwaarden gebruikt om de rapportage te testen.`n" -ForegroundColor Yellow # Voorbeeldscenario: eDiscovery toegang aanwezig, enkele legal holds en cases $result.HasEdiscoveryAccess = $true $result.HasActiveLegalHolds = $true $result.HasEdiscoveryCases = $true $result.LegalHoldsCount = 3 $result.EdiscoveryCasesCount = 2 $result.Findings += "DebugMode: voorbeelddata - verifieer in productie of eDiscovery cases correct worden beheerd en legal holds actief zijn waar nodig." } else { Connect-ComplianceServices Write-Host "Controleren van eDiscovery toegang..." -ForegroundColor Gray try { # Controleer of eDiscovery toegang beschikbaar is door een eenvoudige query uit te voeren $ediscoveryCheck = Get-ComplianceCase -ErrorAction SilentlyContinue $result.HasEdiscoveryAccess = ($ediscoveryCheck -ne $null) } catch { $result.HasEdiscoveryAccess = $false $result.Findings += "Kan geen verbinding maken met eDiscovery services. Controleer licenties en machtigingen." } if ($result.HasEdiscoveryAccess) { Write-Host "Controleren van actieve legal holds..." -ForegroundColor Gray try { $legalHolds = Get-CaseHoldPolicy -ErrorAction SilentlyContinue if ($legalHolds -ne $null) { $activeHolds = $legalHolds | Where-Object { $_.Enabled -eq $true } $result.LegalHoldsCount = ($activeHolds | Measure-Object).Count $result.HasActiveLegalHolds = ($result.LegalHoldsCount -gt 0) } else { $result.HasActiveLegalHolds = $false } } catch { $result.HasActiveLegalHolds = $false $result.Findings += "Kan legal holds niet controleren. Controleer machtigingen en licenties." } if (-not $result.HasActiveLegalHolds) { $result.Findings += "Geen actieve legal holds gevonden. Overweeg legal holds te plaatsen voor kritieke accounts of bij actieve onderzoeken." } Write-Host "Controleren van eDiscovery cases..." -ForegroundColor Gray try { $ediscoveryCases = Get-ComplianceCase -ErrorAction SilentlyContinue if ($ediscoveryCases -ne $null) { $result.EdiscoveryCasesCount = ($ediscoveryCases | Measure-Object).Count $result.HasEdiscoveryCases = ($result.EdiscoveryCasesCount -gt 0) } else { $result.HasEdiscoveryCases = $false } } catch { $result.HasEdiscoveryCases = $false $result.Findings += "Kan eDiscovery cases niet controleren. Controleer machtigingen en licenties." } if (-not $result.HasEdiscoveryCases) { $result.Findings += "Geen eDiscovery cases gevonden. Zorg dat cases worden aangemaakt voor actieve onderzoeken of juridische procedures." } } } # Bepaal compliance-status: minimaal eDiscovery toegang en actieve legal holds of cases $result.IsCompliant = $result.HasEdiscoveryAccess -and ($result.HasActiveLegalHolds -or $result.HasEdiscoveryCases) Write-Host "`nResultaat geautomatiseerde bewijsverzameling:" -ForegroundColor Cyan Write-Host (" eDiscovery toegang beschikbaar : {0}" -f $result.HasEdiscoveryAccess) -ForegroundColor White Write-Host (" Actieve legal holds : {0} ({1} actief)" -f $result.HasActiveLegalHolds, $result.LegalHoldsCount) -ForegroundColor White Write-Host (" eDiscovery cases aanwezig : {0} ({1} cases)" -f $result.HasEdiscoveryCases, $result.EdiscoveryCasesCount) -ForegroundColor White if ($result.IsCompliant) { Write-Host "`n[OK] Geautomatiseerde bewijsverzamelingsprocessen zijn correct geconfigureerd." -ForegroundColor Green } else { Write-Host "`n[FAIL] Een of meer aspecten van bewijsverzamelingsprocessen ontbreken of zijn niet correct geconfigureerd." -ForegroundColor Red if ($result.Findings.Count -gt 0) { Write-Host "Details:" -ForegroundColor Yellow foreach ($finding in $result.Findings) { Write-Host " - $finding" -ForegroundColor Yellow } } } return $result } catch { Write-Host "`n[FAIL] Fout tijdens assessment: $_" -ForegroundColor Red throw } } function Invoke-EvidenceAutomationReport { <# .SYNOPSIS Genereert een beknopt overzichtsrapport voor management. .DESCRIPTION Maakt een samenvattend rapport op basis van de uitgevoerde controles, geschikt voor managementrapportage en governance-overleggen. .PARAMETER AssessmentResult Het resultaatobject van Invoke-EvidenceAutomationAssessment. .PARAMETER OutputPath Pad waar het rapport moet worden opgeslagen. #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [PSCustomObject]$AssessmentResult, [Parameter(Mandatory = $false)] [string]$OutputPath ) $reportLines = @() $reportLines += "Geautomatiseerde Bewijsverzameling Rapport - Microsoft 365" $reportLines += "Nederlandse Baseline voor Veilige Cloud" $reportLines += "=" * 60 $reportLines += "" $reportLines += "Datum/tijd: $($AssessmentResult.Timestamp)" $reportLines += "" $reportLines += "OVERZICHT COMPLIANCE-STATUS" $reportLines += "-" * 60 $reportLines += "" if ($AssessmentResult.IsCompliant) { $reportLines += "Status: COMPLIANT" $reportLines += "Geautomatiseerde bewijsverzamelingsprocessen zijn correct geconfigureerd." } else { $reportLines += "Status: NIET COMPLIANT" $reportLines += "Een of meer aspecten van bewijsverzamelingsprocessen ontbreken of zijn niet correct geconfigureerd." } $reportLines += "" $reportLines += "DETAILS PER COMPONENT" $reportLines += "-" * 60 $reportLines += "" $reportLines += "eDiscovery toegang : $(if ($AssessmentResult.HasEdiscoveryAccess) { 'Beschikbaar' } else { 'Niet beschikbaar' })" $reportLines += "Actieve legal holds : $(if ($AssessmentResult.HasActiveLegalHolds) { "Aanwezig ($($AssessmentResult.LegalHoldsCount) actief)" } else { 'Geen actieve holds' })" $reportLines += "eDiscovery cases : $(if ($AssessmentResult.HasEdiscoveryCases) { "Aanwezig ($($AssessmentResult.EdiscoveryCasesCount) cases)" } else { 'Geen cases' })" if ($AssessmentResult.Findings.Count -gt 0) { $reportLines += "" $reportLines += "AANDACHTSPUNTEN" $reportLines += "-" * 60 foreach ($finding in $AssessmentResult.Findings) { $reportLines += "- $finding" } } $reportLines += "" $reportLines += "AANBEVELINGEN" $reportLines += "-" * 60 if (-not $AssessmentResult.IsCompliant) { $reportLines += "1. Herzie geautomatiseerde bewijsverzamelingsprocessen en zorg dat eDiscovery toegang beschikbaar is." $reportLines += "2. Plaats legal holds waar nodig voor actieve onderzoeken of juridische procedures." $reportLines += "3. Zorg dat eDiscovery cases worden aangemaakt en correct worden beheerd." $reportLines += "4. Voer periodieke controles uit om te borgen dat configuraties actueel blijven." $reportLines += "5. Documenteer alle bewijsverzamelingsprocessen voor audit-doeleinden." } else { $reportLines += "1. Blijf periodiek monitoren of configuraties actueel blijven." $reportLines += "2. Evalueer regelmatig of aanvullende automatisering of workflows nodig zijn." $reportLines += "3. Zorg dat legal holds worden opgeheven wanneer onderzoeken zijn afgerond." } $reportLines += "" $reportLines += "=" * 60 $reportText = $reportLines -join "`n" if ($OutputPath) { try { $reportText | Out-File -FilePath $OutputPath -Encoding UTF8 Write-Host "Rapport opgeslagen naar: $OutputPath" -ForegroundColor Green } catch { Write-Host "Fout bij opslaan rapport: $_" -ForegroundColor Red throw } } else { Write-Host $reportText } return $reportText } try { if ($Report) { if (-not $Assessment) { Write-Host "Waarschuwing: -Report vereist -Assessment. Voer eerst assessment uit..." -ForegroundColor Yellow $Assessment = $true } } if ($Assessment) { $assessmentResult = Invoke-EvidenceAutomationAssessment if ($Report) { Write-Host "`nGenereren van rapport..." -ForegroundColor Cyan Invoke-EvidenceAutomationReport -AssessmentResult $assessmentResult -OutputPath $OutputPath } if ($assessmentResult.IsCompliant) { exit 0 } else { exit 1 } } else { Write-Host "Beschikbare parameters:" -ForegroundColor Yellow Write-Host " -Assessment : Controleer geautomatiseerde bewijsverzamelingsprocessen" -ForegroundColor Gray Write-Host " -Report : Genereer een samenvattend rapport" -ForegroundColor Gray Write-Host " -OutputPath : Pad voor rapportbestand (alleen bij -Report)" -ForegroundColor Gray Write-Host " -DebugMode : Voer een veilige lokale test uit zonder cloudverbinding" -ForegroundColor Gray Write-Host "`nVoorbeeld: .\evidence-automation.ps1 -Assessment -DebugMode" -ForegroundColor Cyan Write-Host "Voorbeeld: .\evidence-automation.ps1 -Assessment -Report -OutputPath .\rapport.txt" -ForegroundColor Cyan } } catch { Write-Error "Scriptuitvoering is mislukt: $_" exit 2 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan } # Exitcodes: # 0 = Compliant # 1 = Niet compliant # 2 = Fout tijdens uitvoering

Risico zonder implementatie

Risico zonder implementatie
High: Zonder geautomatiseerde bewijsverzamelingsprocessen riskeert de organisatie dat cruciale bewijsstukken ontbreken wanneer zij nodig zijn voor incidentonderzoek, juridische procedures, toezichtstrajecten of AVG-verzoeken. Handmatige processen zijn traag, foutgevoelig en moeilijk te verdedigen, wat leidt tot verhoogde juridische en reputatierisico's.

Management Samenvatting

Richt geautomatiseerde bewijsverzamelingsprocessen in met Microsoft Purview eDiscovery, legal holds en gestandaardiseerde workflows. Zorg voor duidelijke governance, juridische kaders en rollen, implementeer technische automatisering waar mogelijk en borg de naleving met periodieke controles via het script `evidence-automation.ps1`. Daarmee krijgen Nederlandse overheidsorganisaties een betrouwbaar en verdedigbaar systeem voor bewijsverzameling dat past binnen de "Nederlandse Baseline voor Veilige Cloud".