💼 Management Samenvatting
Information protection binnen Microsoft 365 is het ankerpunt waarmee Nederlandse overheidsorganisaties aantonen dat vertrouwelijke gegevens tijdens hun volledige levenscyclus worden beschermd. Het domein strekt zich uit van classificatie en retentie tot encryptie, toezichtsrapportages en archiefwaardige overdracht. Dit artikel fungeert als index voor alle deelonderwerpen in de Nederlandse Baseline voor Veilige Cloud en beschrijft hoe beleid, techniek en uitvoering samenvallen tot één regiemodel.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
280u (tech: 120u)
Van toepassing op:
✓ Microsoft 365
✓ Microsoft Purview
✓ SharePoint Online
✓ Exchange Online
✓ Teams
✓ OneDrive
✓ Publieke Sector
✓ Microsoft Purview
✓ SharePoint Online
✓ Exchange Online
✓ Teams
✓ OneDrive
✓ Publieke Sector
De druk vanuit wet- en regelgeving neemt exponentieel toe. BIO, AVG, Archiefwet, Woo en NIS2 eisen tegelijkertijd aantoonbaar beheer van gevoelige gegevens, transparante besluitvorming en reproduceerbare rapportages. Zonder eenduidig informatiebeschermingsprogramma ontstaan losse initiatieven: labels worden uitgegeven zonder governance, retentiebeleid is niet gekoppeld aan archiefselectie en DLP-configuraties wijken af per workload. Daardoor kunnen organisaties nauwelijks uitleggen welke maatregelen golden tijdens een incident of Woo-verzoek. Een geïntegreerde aanpak voorkomt deze versnippering en zorgt voor bestuurlijke grip op alle Microsoft 365-gegevensstromen.
PowerShell Modules Vereist
Primary API: Microsoft Purview, Microsoft Graph, SharePoint Online Management Shell
Connection:
Required Modules: ExchangeOnlineManagement, Microsoft.Graph, SharePointPnPPowerShellOnline
Connection:
Connect-IPPSSession, Connect-MgGraph, Connect-SPOServiceRequired Modules: ExchangeOnlineManagement, Microsoft.Graph, SharePointPnPPowerShellOnline
Implementatie
Dit overzichtsartikel beschrijft de strategische uitgangspunten, de architectuurkeuzes, de operationele ritmes en de assurance-activiteiten die onmisbaar zijn om information protection te verankeren. De hoofdstukken verwijzen naar verdiepende JSON-artikelen en gekoppelde PowerShell-scripts die concrete configuratiestappen leveren. Samen vormen zij het fundament waarmee bestuurders, CISO’s, FG’s en informatiebeheerders aantonen dat Microsoft 365 veilig, rechtmatig en doelmatig wordt ingezet.
Strategische governance en wettelijke verankering
Information protection begint bij een bestuurlijk besluit dat gegevensbescherming gelijkwaardig maakt aan financiële sturing en dienstverlening. Het college, de raad of het ministerie bevestigt expliciet dat alle Microsoft 365-gegevens worden geclassificeerd volgens een uniforme taxonomie, dat retentiebesluiten zijn afgestemd met archivarissen en dat afwijkingen alleen zijn toegestaan na onderbouwde risicoacceptatie. Dit besluit koppelt de Nederlandse Baseline voor Veilige Cloud aan bestaande governancefora zoals de informatiebeveiligingsraad, de privacy board en de CIO-keten. Wanneer deze gremia dezelfde terminologie gebruiken en elkaars besluitvorming erkennen, verdwijnt de gebruikelijke onduidelijkheid over verantwoordelijkheden. Hierdoor weten zowel beleidsadviseurs als technisch beheerders wanneer zij verplicht zijn een wijzigingsvoorstel aan te leveren en hoe besluitvorming wordt vastgelegd voor audits en Woo-verzoeken.
Juridische verankering vraagt om een geïntegreerde interpretatie van BIO, AVG, Archiefwet, Woo en NIS2. In plaats van elk kader apart te behandelen, wordt een normenkadermatrix opgesteld waarin de eisen per levenscyclusfase zijn samengebracht: classificatie, opslag, gebruik, delen, bewaren en vernietigen. Deze matrix beschrijft welke Microsoft 365-functionaliteiten bijdragen aan naleving, welke aanvullende organisatorische maatregelen nodig zijn en hoe compensaties worden vastgelegd wanneer technologie (nog) geen sluitende oplossing biedt. Door de matrix jaarlijks te actualiseren op basis van jurisprudentie en richtlijnen van bijvoorbeeld de Autoriteit Persoonsgegevens of het Nationaal Archief, blijft het domein actueel zonder telkens opnieuw te beginnen. Het document vormt de ruggengraat van alle deelartikelen en wordt in dezelfde Git-repository beheerd zodat wijzigingen traceerbaar zijn.
Governance vertaalt zich naar concrete rolinvulling. De CISO bewaakt de integrale beveiligingsstrategie, de Functionaris Gegevensbescherming controleert de rechtmatigheid, de Chief Information Officer is eigenaar van het platform en de chief archivist beoordeelt de archiefbestendigheid. Elk van hen krijgt een set KPI’s die rechtstreeks uit de informatiebeschermingsdoelen voortkomen, zoals percentage content met gevoeligheidslabels, aantal dossiers met vastgestelde retentie en doorlooptijd van vernietigingsverzoeken. Deze KPI’s worden opgenomen in de reguliere planning-en-controlcyclus waardoor managementrapportages dezelfde status krijgen als financiële dashboards. Zo blijft informatiebescherming geen sporadisch project maar een continu stuurproces dat bestuurders maandelijks bespreken.
De governance-laag bevat ook afspraken over ketensamenwerking. Overheidsorganisaties delen voortdurend informatie met gemeenten, ministeries, veiligheidsregio’s en leveranciers. Het regiemodel schrijft voor welke labels en versleuteling op keteninterfaces verplicht zijn, hoe gasttoegang wordt ingericht en welke contractclausules voorschrijven dat partners dezelfde classificatiestandaard hanteren. Hierdoor kunnen projectteams direct terugvallen op vastgestelde eisen bij een nieuwe samenwerking in plaats van ad-hoc onderhandelingen te voeren. De afspraken worden gepubliceerd in een publiek toegankelijke catalogus zodat burgers kunnen zien hoe gevoelige gegevens worden beschermd.
Tot slot borgt het governance-hoofdstuk de dialoog met politiek en toezicht. Jaarlijks rapporteert de organisatie aan bestuurders, rekenkamers en toezichthouders over de volwassenheid van information protection. De rapportage koppelt technische indicatoren (zoals labeldekking en DLP-resultaten) aan maatschappelijke doelen (zoals bescherming van jeugdzorgdossiers of staatsgeheimen). Door deze vertaalslag te maken, begrijpen niet-technische stakeholders waarom investeringen in Purview, licenties of training noodzakelijk zijn en zien zij direct welke risico’s ontstaan wanneer besluiten worden uitgesteld.
Architectuur, labels, retentie en technische beheersmaatregelen
Een stevig information protection-programma is gebaseerd op een heldere architectuur waarin classificatie en retentie leidend zijn. Alle informatieobjecten krijgen een gevoeligheidslabel dat bestaat uit een juridisch component (AVG, Wpg, Woo), een operationeel component (dienstverlening, toezicht, veiligheid) en een technische component (encryptie, toegang, auditing). Deze labels sturen niet alleen Microsoft Purview maar ook Teams-sjablonen, SharePoint-sitestructuren en Exchange-mappen. Door labels in provisioningprocessen te verankeren, wordt classificatie automatisch toegepast zodra een nieuw team, kanaal of site wordt aangemaakt. Teams hoeven niet langer te kiezen uit talloze opties; de architectuur levert standaardinstellingen die vanaf dag één aan alle eisen voldoen.
De architectuur bevat duidelijke patronen voor retentie en archivering. Selectielijsten uit de Archiefwet worden vertaald naar Purview-retentielabels en records management policies. Elk label beschrijft bewaartermijn, begin- en eindtrigger, waardering (blijvend te bewaren of vernietigen) en eventuele uitzonderingen voor parlementaire stukken. Deze configuraties worden beheerd als code zodat wijzigingen via pull requests en peer reviews verlopen. Wanneer de archiefselectielijst wordt geactualiseerd, wordt een nieuwe versie van de retentieconfiguratie uitgerold naar een testtenant. Pas na validatie door informatiebeheerders en juristen gaat de wijziging naar productie. Zo ontstaat een reproduceerbare keten waarin bewaring en vernietiging aantoonbaar under control zijn.
Dataverliespreventie (DLP) en contextuele encryptie vormen de tweede pijler. Beleidsregels combineren gevoeligheidslabels, sleutelwoorden, trainable classifiers en context zoals gastdeelname of device compliance. Hierdoor kan dezelfde beleidsregel streng optreden wanneer een dossier meteen naar een externe partij gaat, maar milder zijn binnen een besloten projectteam. Alle regels worden getest met synthetische en geanonimiseerde datasets die door het privacyteam zijn goedgekeurd. Testresultaten worden automatisch toegevoegd aan de documentatie, inclusief screenshots, exportbestanden en hashwaarden. Dit maakt het mogelijk om audits of Woo-verzoeken te beantwoorden met feitelijke bewijsstukken in plaats van verklaringen.
Encryptie en sleutelbeheer krijgen een eigen ontwerpdeel. Overheidsorganisaties kiezen bewust tussen Microsoft-beheerde sleutels, klantbeheerde sleutels of dubbele encryptie afhankelijk van het dataproces. De architectuur beschrijft welke workloads Customer Key vereisen, wanneer Double Key Encryption wordt toegepast en hoe hardware security modules (HSM’s) worden beheerd. Door deze keuzes vooraf te documenteren, voorkomen organisaties dat encryptie-instellingen per project worden aangepast zonder centrale goedkeuring. Ook wordt vastgelegd hoe sleutelrotatie samenloopt met incidentprocedures zodat decryptieproblemen tijdens calamiteiten worden voorkomen.
Tot slot beschrijft de architectuur hoe informatiebescherming samenwerkt met overige beveiligingsdomeinen. Conditional Access eist bijvoorbeeld dat alleen compliant devices gevoelige informatie mogen downloaden, terwijl Defender for Cloud Apps real-time governance toepast bij third-party apps. De architectuur laat zien hoe signalen uit deze componenten terugstromen naar Purview en hoe beslissingen uit Purview worden doorgegeven aan SOC-processen. Hierdoor ontstaat een geïntegreerde controlestroom waarbij detectie, blokkade en logging elkaar versterken.
Operationele uitvoering, automatisering en scriptgestuurde monitoring
Gebruik PowerShell-script index.ps1 (functie Invoke-InformationProtectionMonitoring) – Inventariseert automatisch welke JSON-artikelen en PowerShell-scripts beschikbaar zijn binnen het information-protectiondomein, controleert op hiaten en genereert een reproduceerbaar overzicht dat in lokale debugmodus kan draaien..
Operationele teams hebben behoefte aan duidelijke ritmes en betrouwbare tooling. Het domein werkt daarom met een maandelijkse cadans waarin drie activiteiten altijd terugkomen: labelonderhoud, retentievalidatie en DLP-tuning. Elk ritme start met een run van het indexscript dat de documentatie- en scriptdekking beoordeelt. Wanneer ontbrekende koppelingen worden gevonden, krijgt het productteam direct een ticket toegewezen zodat kennisartikelen en scripts synchroon blijven. Deze repositorycontrole voorkomt dat procesbeschrijvingen afwijken van daadwerkelijke tooling, iets wat tijdens audits regelmatig tot bevindingen leidt.
De dagelijkse operatie draait op geautomatiseerde configuratiepijplijnen. PowerShell- en Graph-scripts lezen blueprintbestanden waarin alle labels, beleid en uitzonderingen zijn beschreven. Wijzigingen worden altijd eerst uitgerold naar een acceptatietenant waarin testdatasets beschikbaar zijn. Het indexscript fungeert als "gate" binnen de pipeline: als er openstaande hiaten zijn in documentatie of scripts, blokkeert de pipeline promotie naar productie. Hierdoor kunnen beheerders aantonen dat elke wijziging zowel technisch als procedureel is geborgd voordat eindgebruikers er iets van merken.
Communication en enablement krijgen een vergelijkbare structuur. Elke wijziging in labels of DLP wordt vergezeld door begeleidende content voor eindgebruikers en proceseigenaren. De operationele teams gebruiken een kennisbank in SharePoint waarin wikisjablonen automatisch verwijzen naar de actuele JSON-artikelen. Het indexscript levert metadata waarmee het communicatieteam kan zien welke onderwerpen zijn bijgewerkt, wie de eigenaar is en welke impactanalyses beschikbaar zijn. Dit voorkomt dat verouderde handleidingen circuleren en zorgt dat training en techniek dezelfde taal spreken.
Incidentafhandeling is volledig geïntegreerd met automation. Zodra Sentinel, Defender of Purview een ernstige overtreding registreert, triggert een Logic App een runbook dat zowel technische mitigatie uitvoert als documentatie bijwerkt. Het runbook controleert of het betreffende label of beleid in de repository bestaat en voegt zo nodig een verbetervoorstel toe. Door incidenten direct te koppelen aan de artefacten in deze Baseline, ontstaat een lerend systeem dat zichzelf continue verbetert zonder dat teams afhankelijk zijn van handmatige notities of spreadsheets.
Assurance, rapportage en ketenverantwoording
Gebruik PowerShell-script index.ps1 (functie Invoke-InformationProtectionRemediation) – Genereert een prioriteitenlijst voor ontbrekende artikelen, scripts en controles binnen het information-protectiondomein en kan optioneel een JSON-gaprapport exporteren voor audits..
Assurance is meer dan een vinklijst; het is de permanente dialoog tussen bestuurders, auditors en ketenpartners. Kwartaalrapportages combineren meetgegevens uit Purview, DLP en Defender met de resultaten van het indexscript. Daardoor kunnen auditors direct zien of documentatie en scripts actueel zijn en of operationele cijfers betrouwbaar zijn. Deze rapportages worden besproken in een gezamenlijk overleg tussen CISO, FG, Chief Archivist en informatiemanagers, waarbij ieder domein zijn interpretatie geeft en discrepanties onmiddellijk worden gecorrigeerd.
De assurance-aanpak omvat ook ketenpartijen. Wanneer een provincie gegevens deelt met een gemeente of leverancier, ontvangen deze partners een verkorte rapportage waarin staat welke labels en retentie-eisen zijn toegepast. Het indexscript levert een machineleesbaar overzicht van alle artikelen en scripts die betrekking hebben op de samenwerking. Hierdoor kunnen partners aantonen dat zij dezelfde standaarden hanteren zonder gevoelige gegevens te delen. Het vergroot de interoperabiliteit en vermindert de tijd die nodig is om gezamenlijke audits uit te voeren.
Toezichthouders en burgers verwachten begrijpelijke uitleg. Daarom publiceert de organisatie jaarlijks een publieksverslag waarin in gewoon Nederlands wordt uitgelegd hoe classificatie, retentie en encryptie werken. Het verslag verwijst naar Woo-publicaties, auditrapporten en beleidsbesluiten en bevat QR-codes naar relevante JSON-artikelen voor wie dieper wil gaan. Door technische uitleg te koppelen aan maatschappelijke context wordt de kloof tussen experts en publiek kleiner en groeit het vertrouwen dat informatiebescherming daadwerkelijk wordt nageleefd.
Tot slot coördineert assurance de verbetercyclus. Bevindingen uit audits, incidenten en ketenreviews worden vastgelegd als user stories die directe koppelingen hebben met JSON-artikelen en scripts. Het indexscript fungeert hierbij als kwaliteitscontrole: een bevinding wordt pas afgesloten wanneer zowel documentatie als tooling is bijgewerkt en het script geen hiaten meer meldt. Zo ontstaat een sluitende PDCA-cyclus waarin evidence, communicatie en technologie altijd synchroon lopen.
Compliance & Frameworks
- BIO: 09.01, 09.02, 12.01, 12.04, 16.01, 18.01 - Koppelt classificatie, logging, bewaarbeleid en verantwoording aan de Baseline Informatiebeveiliging Overheid.
- ISO 27001:2022: A.5.1, A.7.4, A.8.10, A.12.3, A.18.1 - Belegt informatiebeveiligingsbeleid, toegangsbeheer, cryptografie en bewaartermijnen binnen het ISMS.
- NIS2: Artikel - Eist risicobeheer, incidentrespons en rapportage voor essentiële en belangrijke entiteiten met gevoelige data.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Overzichtsmonitoring en remediatie voor Microsoft 365 Information Protection.
.DESCRIPTION
Controleert of alle artikelen in `content/m365/information-protection` een gekoppeld PowerShell-script in
`code/m365/information-protection` hebben, analyseert de dekking en kan optioneel een gaprapport exporteren.
Het script ondersteunt veilige lokale debugruns en vormt de basismonitor voor het indexartikel binnen de
Nederlandse Baseline voor Veilige Cloud.
.NOTES
Filename: index.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-27
Version: 1.0
Related JSON: content/m365/information-protection/index.json
Category: information-protection
Workload: m365
.LINK
https://github.com/m365-tenant-best-practise
.EXAMPLE
.\index.ps1 -Monitoring -DebugMode
Voert een lokale check uit zonder tenantverbinding en toont een overzicht van JSON/PS1-paren binnen het domein.
.EXAMPLE
.\index.ps1 -Remediation -GapReportPath .\ip-gaps.json
Genereert remediatieadvies en schrijft het resultaat weg naar het opgegeven rapportbestand.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Voer een repositorycontrole uit voor het information-protectiondomein.")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Genereer remediatieadvies op basis van ontbrekende artefacten.")]
[switch]$Remediation,
[Parameter(HelpMessage = "Pad voor een optioneel gaprapport in JSON-formaat.")]
[string]$GapReportPath,
[Parameter(HelpMessage = "Voer het script uit met lokale debuginstellingen zonder cloudverbinding.")]
[switch]$DebugMode
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'SilentlyContinue'
function Get-RepositoryRoot {
<#
.SYNOPSIS
Bepaalt de root van de repository op basis van dit script.
#>
[CmdletBinding()]
param()
$root = Resolve-Path (Join-Path $PSScriptRoot "..\..\..") -ErrorAction SilentlyContinue
if (-not $root) {
throw "Kon de repository-root niet bepalen vanaf $PSScriptRoot."
}
return $root.Path
}
function Get-InformationProtectionInventory {
<#
.SYNOPSIS
Stelt een overzicht samen van JSON- en PS1-bestanden binnen information protection.
.OUTPUTS
PSCustomObject met properties Items, MissingJson en MissingScripts.
#>
[CmdletBinding()]
param()
$repoRoot = Get-RepositoryRoot
$contentRoot = Join-Path $repoRoot "content\m365\information-protection"
$codeRoot = Join-Path $repoRoot "code\m365\information-protection"
$jsonFiles = if (Test-Path $contentRoot) {
Get-ChildItem -Path $contentRoot -Filter "*.json" -File -ErrorAction SilentlyContinue
} else { @() }
$ps1Files = if (Test-Path $codeRoot) {
Get-ChildItem -Path $codeRoot -Filter "*.ps1" -File -ErrorAction SilentlyContinue
} else { @() }
$index = @{}
foreach ($json in $jsonFiles) {
$name = [System.IO.Path]::GetFileNameWithoutExtension($json.Name)
if (-not $index.ContainsKey($name)) {
$index[$name] = [pscustomobject]@{
Name = $name
JsonPath = $null
JsonUpdated = $null
ScriptPath = $null
ScriptUpdated = $null
}
}
$entry = $index[$name]
$entry.JsonPath = $json.FullName
$entry.JsonUpdated = $json.LastWriteTime
$index[$name] = $entry
}
foreach ($ps1 in $ps1Files) {
$name = [System.IO.Path]::GetFileNameWithoutExtension($ps1.Name)
if (-not $index.ContainsKey($name)) {
$index[$name] = [pscustomobject]@{
Name = $name
JsonPath = $null
JsonUpdated = $null
ScriptPath = $null
ScriptUpdated = $null
}
}
$entry = $index[$name]
$entry.ScriptPath = $ps1.FullName
$entry.ScriptUpdated = $ps1.LastWriteTime
$index[$name] = $entry
}
$items = $index.Values | Sort-Object Name
return [pscustomobject]@{
RepositoryRoot = $repoRoot
Items = $items
MissingJson = $items | Where-Object { -not $_.JsonPath }
MissingScripts = $items | Where-Object { -not $_.ScriptPath }
CompletePairs = $items | Where-Object { $_.JsonPath -and $_.ScriptPath }
}
}
function Write-InformationProtectionGapReport {
<#
.SYNOPSIS
Schrijft een JSON-gaprapport naar de opgegeven locatie.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[pscustomobject]$Inventory,
[Parameter(Mandatory = $true)]
[string]$Path
)
$report = [pscustomobject]@{
GeneratedAt = Get-Date
RepositoryRoot = $Inventory.RepositoryRoot
MissingJson = $Inventory.MissingJson
MissingScripts = $Inventory.MissingScripts
CompleteEntries = $Inventory.CompletePairs.Count
TotalEntries = $Inventory.Items.Count
}
$directory = Split-Path -Path $Path -Parent
if ($directory -and -not (Test-Path $directory)) {
New-Item -Path $directory -ItemType Directory -Force | Out-Null
}
$report | ConvertTo-Json -Depth 6 | Out-File -FilePath $Path -Encoding UTF8
Write-Host "Gaprapport opgeslagen naar $Path" -ForegroundColor Cyan
}
function Invoke-InformationProtectionMonitoring {
<#
.SYNOPSIS
Voert de monitoringfunctie uit zoals beschreven in het indexartikel.
#>
[CmdletBinding()]
param()
Write-Host "`nMonitoring: M365 Information Protection (repository)" -ForegroundColor Yellow
Write-Host "===================================================" -ForegroundColor Yellow
$inventory = Get-InformationProtectionInventory
Write-Host "Repository: $($inventory.RepositoryRoot)" -ForegroundColor Cyan
Write-Host "Totaal onderwerpen: $($inventory.Items.Count)" -ForegroundColor Cyan
Write-Host "Volledige JSON+PS1-paren: $($inventory.CompletePairs.Count)" -ForegroundColor Cyan
if ($inventory.MissingJson.Count -gt 0) {
Write-Host "`nOntbrekende JSON-bestanden voor bestaande scripts:" -ForegroundColor Red
$inventory.MissingJson | ForEach-Object {
Write-Host " - $($_.Name) (script: $($_.ScriptPath))" -ForegroundColor Red
}
}
if ($inventory.MissingScripts.Count -gt 0) {
Write-Host "`nOntbrekende scripts voor bestaande JSON-artikelen:" -ForegroundColor Red
$inventory.MissingScripts | ForEach-Object {
Write-Host " - $($_.Name) (json: $($_.JsonPath))" -ForegroundColor Red
}
}
if (($inventory.MissingJson.Count + $inventory.MissingScripts.Count) -eq 0) {
Write-Host "`n✅ Alle information-protection-artikelen hebben gekoppelde scripts." -ForegroundColor Green
}
else {
Write-Host "`n⚠️ Er zijn nog hiaten. Gebruik -Remediation voor advies." -ForegroundColor Yellow
}
if ($GapReportPath) {
Write-InformationProtectionGapReport -Inventory $inventory -Path $GapReportPath
}
return [pscustomobject]@{
Inventory = $inventory
IsHealthy = (($inventory.MissingJson.Count + $inventory.MissingScripts.Count) -eq 0)
DebugMode = [bool]$DebugMode
}
}
function Invoke-InformationProtectionRemediation {
<#
.SYNOPSIS
Geeft prioriteiten en vervolgstappen voor ontbrekende artefacten.
#>
[CmdletBinding()]
param()
Write-Host "`nRemediatie: M365 Information Protection" -ForegroundColor Yellow
Write-Host "======================================" -ForegroundColor Yellow
$inventory = Get-InformationProtectionInventory
$actions = @()
if ($inventory.MissingJson.Count -gt 0) {
$actions += [pscustomobject]@{
Priority = "High"
Issue = "Scripts zonder gekoppeld JSON-artikel"
AffectedItems = $inventory.MissingJson.Count
Recommendation = "Maak voor elk script een artikel in `content/m365/information-protection` volgens het standaardschema."
}
}
if ($inventory.MissingScripts.Count -gt 0) {
$actions += [pscustomobject]@{
Priority = "High"
Issue = "JSON-artikelen zonder bijpassend PowerShell-script"
AffectedItems = $inventory.MissingScripts.Count
Recommendation = "Implementeer scripts in `code/m365/information-protection` die monitoring of automatisering ondersteunen en test ze met -DebugMode."
}
}
if (-not $actions) {
Write-Host "Geen structurele hiaten gevonden. Blijf maandelijks monitoren." -ForegroundColor Green
}
else {
foreach ($action in $actions) {
Write-Host "❌ $($action.Issue): $($action.AffectedItems) item(s)" -ForegroundColor Red
Write-Host " → $($action.Recommendation)" -ForegroundColor Gray
}
}
if ($GapReportPath) {
Write-InformationProtectionGapReport -Inventory $inventory -Path $GapReportPath
}
return [pscustomobject]@{
Inventory = $inventory
Actions = $actions
}
}
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "M365 Information Protection Index Script" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
if ($DebugMode) {
Write-Host "DebugMode actief: controles beperken zich tot lokale repositorydata." -ForegroundColor Yellow
}
if ($Monitoring) {
$result = Invoke-InformationProtectionMonitoring
exit ([int](-not $result.IsHealthy))
}
elseif ($Remediation) {
Invoke-InformationProtectionRemediation | Out-Null
}
else {
$result = Invoke-InformationProtectionMonitoring
if ($result.IsHealthy) {
Write-Host "`n✅ Information protection artefacten zijn compleet." -ForegroundColor Green
exit 0
}
else {
Write-Host "`n❌ Ontbrekende artefacten aangetroffen. Gebruik -Remediation voor details." -ForegroundColor Red
exit 1
}
}
}
catch {
Write-Error "Fout in index.ps1 (information-protection): $_"
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder integraal informatiebeschermingsprogramma ontstaat een lappendeken aan labels, retentie en encryptie, waardoor audits mislukken en gevoelige gegevens weglekken naar onbeveiligde kanalen.
Management Samenvatting
Stel één regiemodel vast voor Microsoft 365-informatiebescherming, automatiseer de configuraties, monitor continu met het indexscript en verbind rapportages aan juridische en maatschappelijke eisen.
- Implementatietijd: 280 uur
- FTE required: 0.7 FTE