💼 Management Samenvatting
Een volwassen records-managementprogramma binnen Microsoft 365 draait om retentiebeleid dat archiefwaardige documenten bewaart, bewijskracht borgt en verwijdering afdwingt zodra de wettelijke bewaartermijn is verstreken. Voor Nederlandse overheidsorganisaties betekent dit dat Purview-retentielabels, file plans en publicatiebeleid direct aansluiten op de Archiefwet, de Woo, de AVG en sectorale selectielijsten.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
100u (tech: 40u)
Van toepassing op:
✓ Microsoft 365
✓ Microsoft Purview
✓ SharePoint Online
✓ Exchange Online
✓ OneDrive for Business
✓ Microsoft Teams
✓ Microsoft Purview
✓ SharePoint Online
✓ Exchange Online
✓ OneDrive for Business
✓ Microsoft Teams
Zonder een sluitend retentieontwerp ontstaat een versnipperde informatiehuishouding waarin dossiers te lang bewaard blijven of juist te vroeg verdwijnen. Dat vergroot de kans op Woo-geschillen, archiefinspecties met zware bevindingen en privacy-incidenten die bestuursrechtelijke sancties kunnen opleveren. Bovendien verliezen bestuurders grip op welke besluiten, contracten en incidentrapportages aantoonbaar beschikbaar zijn tijdens parlementaire enquêtes of NIS2-onderzoeken.
PowerShell Modules Vereist
Primary API: Security & Compliance PowerShell
Connection:
Required Modules: ExchangeOnlineManagement
Connection:
Connect-IPPSSessionRequired Modules: ExchangeOnlineManagement
Implementatie
Dit artikel beschrijft hoe u retentiebeleid juridisch verankert, hoe u file plans vertaalt naar Purview-retentielabels, hoe u publicatiebeleid inzet voor Exchange, SharePoint, OneDrive en Teams en hoe u operationeel toezicht organiseert. Het bijbehorende PowerShell-script controleert realtime of recordlabels daadwerkelijk zijn gepubliceerd naar kernworkloads, of vergrendeling is ingeschakeld en of de configuratie overeenkomt met de Nederlandse Baseline voor Veilige Cloud. Daarmee ontstaat één lijn tussen beleid, techniek en auditbewijs.
Strategische context en juridische basis
Records management in Microsoft 365 is een bestuursvraagstuk dat begint bij de vaststelling van het bewaarbeleid door college van B&W, Gedeputeerde Staten of de raad van bestuur. Het retentieontwerp moet rechtstreeks verwijzen naar de selectielijst of het basisselectiedocument waarin per taakveld is vastgelegd welke stukken blijvend te bewaren zijn en welke na bijvoorbeeld zeven, tien of twintig jaar vernietigd mogen worden. Door deze verankering te documenteren in het informatiebeheerplan kan de organisatie aantonen dat het Purview-landschap géén op zichzelf staande IT-configuratie is, maar de digitale uitwerking van formeel vastgesteld beleid.
Het fundament bestaat uit een actueel gegevensregister waarin informatieobjecten zijn gekoppeld aan processen, wettelijke grondslagen en geheimhoudingsniveaus. Juristen, archivarissen, CISO’s en privacy officers bepalen gezamenlijk welke metadata minimaal nodig is om een dossier later terug te vinden en om vernietigingsbesluiten te onderbouwen. Denk aan zaaknummer, afdoeningsdatum, betrokken burgers, besluitvormingsfase en eventuele uitzonderingsgrond (bijvoorbeeld lopende bezwaarprocedure). Deze metadata wordt doorgetrokken naar SharePoint-contenttypes, Teams-kanalen en e-mailpostvakken zodat retentielabels contextbewust kunnen worden toegepast.
De Nederlandse context voegt extra eisen toe. Zo moet een organisatie kunnen aantonen dat archiefwaardige informatie duurzaam toegankelijk blijft, inclusief leesbare bestandsformaten en meeverhuisde metadata. Dat betekent dat retentiebeleid niet alleen bepaalt hoe lang iets wordt bewaard, maar ook welke opslaglocaties als authentiek worden beschouwd en hoe migraties naar nieuwe Teams, SharePoint-sites of archiefsystemen worden geregistreerd. Door Purview Records Management te koppelen aan een gecertificeerd eDepot of een sectorale archiefvoorziening ontstaat een end-to-end keten waarin digitale dossiers dezelfde rechtskracht hebben als papieren archiefstukken.
Een ander strategisch element is de governance rondom uitzonderingen. Bestuurders moeten vooraf weten hoe wordt omgegaan met opschorting van vernietiging tijdens parlementaire enquêtes, Woo-verzoeken, gerechtelijke procedures of incidentonderzoeken. Deze uitzonderingen worden vertaald naar event-based retentie of speciale labels die het vernietigingsproces tijdelijk pauzeren. Documenteer wie een dergelijk event mag starten, hoe lang de opschorting duurt en hoe het wordt vastgelegd in het zaaksysteem en het Purview-activiteitenlogboek. Alleen dan kan een auditor later reconstrueren waarom bepaalde dossiers langer beschikbaar bleven.
Tot slot vraagt de strategische fase om transparantie richting medewerkers en ketenpartners. Communiceer welke datasets onder recordvergrendeling vallen, welke gevolgen dit heeft voor versiebeheer en wie een uitzonderingsverzoek kan indienen wanneer bedrijfsvoering in het gedrang komt. Door deze afspraken vast te leggen in gedragscodes, DPIA’s en opleidingsmateriaal voorkomt u weerstand en vergroot u de kans dat gebruikers labels correct toepassen. Een volwassen governanceboard rapporteert periodiek aan directie en toezichthouders over de effectiviteit van het retentieprogramma, inclusief KPI’s voor toegepaste labels, vernietigde dossiers en openstaande uitzonderingen.
Functioneel ontwerp, file plan en automatisering
Het functionele ontwerp begint bij het opbouwen van een file plan waarin elk records-classificatiekader wordt vertaald naar retentielabels met unieke identifiers, bewaartermijnen, acties en beschrijvingen. Deze mapping legt de basis voor consistentie tussen Microsoft 365, line-of-business-applicaties en eventuele archiefsystemen. Beschrijf per label of de retentie start op creatie, laatste wijziging of een extern event (zoals het sluiten van een vergunning of het beëindigen van een contract), en leg vast welke metadata nodig is om die triggerevents betrouwbaar te registreren. Door deze informatie in een gedeelde architectuurbibliotheek te publiceren kunnen juristen, applicatiebeheerders en developers dezelfde termen gebruiken.
Vervolgens worden retentielabels verrijkt met aanvullende verplichtingen. Denk aan recordvergrendeling, verplichte herziening na verloop van tijd, of automatische overdracht naar een eDepot. Binnen Purview betekent dit dat parameters zoals UnlockDeleteDisabled, BehaviorType en ReviewerType bewust worden ingesteld. Voor dossiers met staatsgeheimen of medische gegevens kan bijvoorbeeld ‘Event-Based + DoNotAllowDeletion’ nodig zijn, terwijl beleidsdossiers volstaan met KeepAndDelete. Het ontwerp beschrijft ook hoe labels worden weergegeven aan eindgebruikers, hoe default labels aan bibliotheken worden gekoppeld en welke waarschuwingen verschijnen wanneer een record wordt gemuteerd.
Automatisering vergt dat labels niet afhankelijk zijn van handmatige acties door gebruikers. Maak daarom gebruik van adaptive scopes, KQL-queries of metadata-gestuurde auto-labeling. Voor SharePoint betekent dit dat site templates en hub-sites vooraf worden voorzien van juiste contenttypes en kolommen, zodat labels automatisch worden toegepast zodra een document wordt aangemaakt. Voor Exchange en Teams kan men werken met onderwerp-prefixen, gevoeligheidslabels of compliance connectoren die specifieke inhoud detecteren. Het ontwerp beschrijft hoe deze automatiseringsregels worden getest, hoe false positives worden gemonitord en hoe uitzonderingen worden afgehandeld zonder de gehele policy te verwijderen.
Een volwassen ontwerp houdt rekening met ketenintegratie. Veel Nederlandse organisaties werken met zaaksystemen, documentmanagementsystemen of sectorale platforms (bijvoorbeeld in het sociaal domein) die documenten automatisch publiceren naar SharePoint locaties. Documenteer hoe deze systemen labels meegeven via API’s, hoe koppelingen worden geauthenticeerd en hoe fouten worden gelogd. Beschrijf eveneens hoe Power Platform-apps, Logic Apps of maatwerkconnectors retentie-informatie overnemen. Door retentiemetadata als onderdeel van het integratiecontract op te nemen, wordt voorkomen dat dossiers na migratie hun archiefstatus verliezen.
Tot slot moet het ontwerp een versiebeheerproces voor het file plan bevatten. Wijzigingen in wetgeving, reorganisaties of nieuwe digitale diensten vereisen updates aan labels en policies. Documenteer hoe impactanalyses worden uitgevoerd, hoe oude labels worden uitgefaseerd zonder records te verliezen en hoe nieuwe labels gecontroleerd beschikbaar komen. Monteer hierbij een audit trail waarin staat wie een wijziging heeft aangevraagd, welke risico’s zijn beoordeeld en wanneer de nieuwe configuratie in productie is gezet. Deze discipline geeft auditors en archiefinspecties vertrouwen dat het retentiebeleid niet alleen theoretisch klopt, maar ook beheerst evolueert.
Operationeel beheer, ketenbewaking en kwaliteitsmeting
Operationeel beheer draait om inzicht, bewijslast en snel bijsturen. Richt een control framework in met indicatoren zoals het percentage recordlabels met vergrendeling, het aantal publicatiebeleid dat SharePoint en Teams afdekt en de doorlooptijd tussen dossierafsluiting en vernietiging. Deze indicatoren worden gevoed vanuit Purview Activity Explorer, het PowerShell-script en eventuele datawarehouse-exports. Door ze wekelijks te plotten in Power BI wordt zichtbaar waar achterstanden ontstaan, bijvoorbeeld doordat een specifieke directie geen labels toepast of omdat een Teams-omgeving buiten scope valt.
Een robuust beheerproces beschrijft duidelijke rollen. De informatiebeheerder valideert of labels correct worden gebruikt, het SOC controleert integriteit van auditlogs en de business owner bevestigt dat dossiers inhoudelijk compleet zijn voordat vernietiging start. Voeg hierbij een RACI-matrix toe in het beheerhandboek zodat iedereen weet wie toestemming geeft voor uitzonderingen of het verlengen van bewaartermijnen. Escalaties worden gekoppeld aan het reguliere risicomanagementproces, zodat kritieke bevindingen direct in de kwartaalrapportage van CISO en FG belanden.
Technisch beheer richt zich op health checks van publicatiebeleid, label synchronisatie en event-triggers. Automatiseer controles met Azure Automation of GitHub Actions die het script draaien, resultaten opslaan en bij afwijkingen een ticket in ITSM aanmaken. Koppel deze runs aan het principe van lokale debugtests: iedere wijziging wordt eerst in DebugMode uitgevoerd zodat ontwikkelaars binnen vijftien seconden kunnen valideren of logica werkt zonder verbinding te maken met productie. Pas daarna wordt de live-parameter gebruikt. Hiermee voorkomt u dat fouten in het script zelf leiden tot onnodige wijzigingen in Purview.
Ketenbewaking betekent dat retentiebeleid niet ophoudt bij Microsoft 365. Leg vast hoe dossiers na afloop van de bewaartermijn worden overgebracht naar een eDepot of vernietigd volgens het formele besluit. Dit vereist integratie tussen Purview, zaaksystemen en archiefbeheersoftware. Documenteer welke exports worden gebruikt, welke hashwaardes bewijzen dat bestanden niet zijn gemuteerd en hoe vernietigingsbesluiten door het bestuur worden bekrachtigd. Een periodieke ketentest, bijvoorbeeld tijdens een ENSIA-audit, toont aan dat alle schakels van bron tot archief samenwerken.
Continue kwaliteitsmeting vraagt om lessons learned. Na elk groot project of incident bespreekt het governanceboard welke labels te breed of te smal waren, welke uitzonderingen structureel worden aangevraagd en hoe gebruikersinteractie verder kan worden vereenvoudigd. Deze inzichten worden verwerkt in verbetermaatregelen, aanvullingen op opleidingsmateriaal en updates van het file plan. Zo blijft het retentieprogramma in de pas lopen met veranderende organisatiedoelen, wetgeving en technologie.
Monitoring en rapportage
Gebruik PowerShell-script retention-policies.ps1 (functie Invoke-Monitoring) – Controleert of er recordlabels met vergrendeling zijn gepubliceerd naar Exchange, SharePoint, OneDrive en Teams, of de publicatiebeleid zijn ingeschakeld en of de configuratie overeenkomt met de Nederlandse Baseline voor Veilige Cloud..
Monitoring start met dagelijkse verificatie van labelinventaris, publicatiebereik en compliance-status. Het PowerShell-script haalt via Connect-IPPSSession alle retentielabels op, filtert labels die als record fungeren en controleert of ze zijn gekoppeld aan policies voor de kernworkloads. Het resultaat bevat aantallen, laatst gewijzigde datum en een vlag die aangeeft of minimaal één label recordvergrendeling afdwingt. Door deze gegevens via een pipeline naar Log Analytics of Power BI te sturen ontstaat een actueel dashboard dat bestuurders laat zien hoeveel dossiers juridisch geborgd zijn en waar gaten vallen.
Naast automatische controles is er behoefte aan context. Combineer scriptresultaten met informatie uit het zaaksysteem over afgesloten dossiers en met auditlogs over vernietigingsacties. Hierdoor kunt u aantonen dat het beleid niet alleen op papier bestaat, maar daadwerkelijk dossiers vergrendelt en verwijdert. Monitoringrapporten beschrijven expliciet of uitzonderingen tijdig worden herzien, of adaptieve scopes nog actueel zijn en of wijzigingen netjes via change management zijn goedgekeurd. Deze rapportages worden gedeeld met CISO, FG en archiefinspectie zodat iedereen dezelfde waarheid hanteert.
Remediatie, herstel en verbeteracties
Gebruik PowerShell-script retention-policies.ps1 (functie Invoke-Remediation) – Probeert een baseline-recordlabel en bijbehorend publicatiebeleid te creëren, inclusief veilige WhatIf- en DebugMode-opties, en documenteert handmatige stappen wanneer automatische remediatie niet mogelijk is..
Wanneer monitoring aantoont dat recordlabels ontbreken of niet langer correct zijn gepubliceerd, start een remediatieprocedure. Het script controleert eerst of er al een compliant policy bestaat. Zo niet, dan biedt het een voorstel voor een label met vergrendeling en een bewaartermijn die aansluit op het standaardarchiefregime (bijvoorbeeld zeven jaar voor zaakdossiers). In WhatIf-modus toont het exact welke commando’s zouden worden uitgevoerd, zodat beheerders binnen vijftien seconden kunnen testen zonder productie te wijzigen. Pas na expliciete bevestiging maakt het script daadwerkelijk een label en publicatiebeleid aan.
Automatische remediatie is niet altijd mogelijk, bijvoorbeeld wanneer het bewaarschema specifieke uitzonderingen bevat of wanneer aangepaste metadata vereist is. In zulke gevallen documenteert het script welke handmatige stappen nodig zijn in Purview, inclusief verwijzingen naar het relevante file plan, de vereiste adaptive scopes en de governancebesluiten die ter goedkeuring voorgelegd moeten worden. Het beheerteam registreert deze stappen in het ITSM-systeem, koppelt ze aan het betreffende risico en sluit het ticket pas wanneer bewijsstukken (schermafbeeldingen, exportbestanden en auditlogrecords) zijn toegevoegd.
Na remediatie volgt altijd een kwaliteitscontrole. Het script wordt opnieuw uitgevoerd, de resultaten worden vergeleken met de eerder geregistreerde afwijking en het governanceboard beslist of extra maatregelen nodig zijn, bijvoorbeeld een bewustwordingscampagne of een aanpassing van het file plan. Door deze cyclische aanpak blijft het retentieprogramma aantoonbaar in control en kunnen auditors exact volgen welke stappen zijn gezet om een tekortkoming te herstellen.
Compliance & Frameworks
- BIO: 12.04, 12.05, 18.01 - BIO-maatregelen voor informatiebeheer, logging en archivering eisen dat bewaartermijnen aantoonbaar worden toegepast en vernietiging gecontroleerd verloopt.
- ISO 27001:2022: A.5.33, A.5.36, A.8.32 - ISO 27001:2022 vereist lifecyclebeheer van informatie-activa, formele procedures voor bewaartermijnen en periodieke review van beveiligingsmaatregelen.
- NIS2: Artikel - NIS2 benadrukt aantoonbaar risicobeheer, incidentrapportage en behoud van bewijsstukken gedurende de gehele levenscyclus van kritieke diensten.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Valideert records-management en retentiebeleid in Microsoft 365.
.DESCRIPTION
Dit script is ontworpen voor de Nederlandse Baseline voor Veilige Cloud.
Het vergelijkt retentiepolicies in Microsoft Purview met kwaliteitscriteria uit
een configuratiebestand, controleert dekking van Exchange, SharePoint, OneDrive
en Microsoft Teams en rapporteert de uitkomst. DebugMode levert een lokale
test binnen vijftien seconden zonder verbinding met de tenant. De Remediation-
modus genereert een baselineconfiguratie zodat governance-as-code kan worden
toegepast voor Archiefwet- en AVG-verplichtingen.
.NOTES
File Name : retention-policies.ps1
Category : records-management
Workload : m365
Author : Nederlandse Baseline voor Veilige Cloud
Created : 2025-11-27
.EXAMPLE
.\retention-policies.ps1 -Monitoring -DebugMode
Voert een volledige controle uit met voorbeelddata, ideaal voor lokale debugtests.
.EXAMPLE
.\retention-policies.ps1 -Monitoring
Verbindt met Security & Compliance PowerShell en schrijft een JSON-rapport.
.EXAMPLE
.\retention-policies.ps1 -Remediation
Maakt of vernieuwt het baseline-configuratiebestand voor retentie-eisen.
#>
#Requires -Version 5.1
#Requires -Modules ExchangeOnlineManagement
[CmdletBinding()]
param(
[switch]$Monitoring,
[switch]$Remediation,
[string]$ConfigPath = (Join-Path -Path (Split-Path -Parent $PSCommandPath) -ChildPath "retention-policies.config.json"),
[string]$ReportPath,
[switch]$DebugMode,
[switch]$WhatIf
)
if (-not $Monitoring -and -not $Remediation) {
$Monitoring = $true
}
$ErrorActionPreference = 'Stop'
function Write-Header {
Write-Host "`n===============================================" -ForegroundColor Cyan
Write-Host "Records Management | Retentiebeleid (M365)" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "===============================================`n" -ForegroundColor Cyan
}
function Get-DefaultReportPath {
$stamp = Get-Date -Format "yyyyMMddHHmmss"
return (Join-Path -Path $env:TEMP -ChildPath "retention-policies-report-$stamp.json")
}
function Initialize-DefaultConfig {
return [ordered]@{
version = "1.0"
lastUpdated = (Get-Date).ToString("yyyy-MM-dd")
owner = "CIO / Archivaris / CISO"
description = "Baselinecriteria voor retentiepolicies binnen Microsoft 365."
qualityCriteria = [ordered]@{
minPolicies = 3
minEnabledPolicies = 2
minLabelsTotal = 8
maxReviewAgeDays = 365
requiredWorkloads = @("ExchangeLocation","SharePointLocation","OneDriveLocation","ModernGroupLocation","TeamsChannelLocation")
minMaxRetentionDays = 1825
}
expectations = @(
[ordered]@{
id = "PERM-DECISIONS"
description = "Permanente bewaring van bestuurlijke besluiten in Teams en SharePoint."
requiredWorkloads= @("SharePointLocation","TeamsChannelLocation")
minRetentionDays = 5475
},
[ordered]@{
id = "PROJECT-DOSSIERS"
description = "Project- en programmadossiers minimaal vijf jaar bewaren."
requiredWorkloads= @("SharePointLocation","OneDriveLocation","ModernGroupLocation")
minRetentionDays = 1825
},
[ordered]@{
id = "MAIL-ROUTINES"
description = "E-mailarchieven minimaal drie jaar borgen voor Woo-afhandelingen."
requiredWorkloads= @("ExchangeLocation")
minRetentionDays = 1095
}
)
}
}
function Save-Config {
param(
[Parameter(Mandatory)]
$Config
)
$json = $Config | ConvertTo-Json -Depth 6
if ($WhatIf) {
Write-Host "[WhatIf] Configuratie zou worden opgeslagen in $ConfigPath" -ForegroundColor Yellow
Write-Host $json
return
}
$dir = Split-Path -Parent $ConfigPath
if (-not (Test-Path $dir)) {
New-Item -Path $dir -ItemType Directory -Force | Out-Null
}
$json | Out-File -FilePath $ConfigPath -Encoding UTF8 -Force
Write-Host "[OK] Configuratie opgeslagen: $ConfigPath" -ForegroundColor Green
}
function Get-DebugDataset {
$now = Get-Date
return @(
[pscustomobject]@{
Name = "DBG-Permanent-Records"
Enabled = $true
ExchangeLocation = @("All")
SharePointLocation = @("All")
OneDriveLocation = @("All")
ModernGroupLocation = @("All")
TeamsChannelLocation= @("All")
LastModified = $now.AddDays(-120)
LabelCount = 12
MaxRetentionDays = 5475
},
[pscustomobject]@{
Name = "DBG-Projects"
Enabled = $true
ExchangeLocation = @()
SharePointLocation = @("All")
OneDriveLocation = @("All")
ModernGroupLocation = @("All")
TeamsChannelLocation= @("All")
LastModified = $now.AddDays(-410)
LabelCount = 4
MaxRetentionDays = 1825
},
[pscustomobject]@{
Name = "DBG-Mail-Archive"
Enabled = $false
ExchangeLocation = @("All")
SharePointLocation = @()
OneDriveLocation = @()
ModernGroupLocation = @()
TeamsChannelLocation= @()
LastModified = $now.AddDays(-60)
LabelCount = 1
MaxRetentionDays = 365
}
)
}
function Connect-ComplianceService {
if ($DebugMode) { return }
$existing = Get-PSSession | Where-Object {
$_.ConfigurationName -eq "Microsoft.Exchange" -and
$_.ComputerName -like "*.protection.outlook.com" -and
$_.State -eq "Opened"
}
if (-not $existing) {
Write-Host "[INFO] Verbinden met Security & Compliance PowerShell..." -ForegroundColor Gray
Connect-IPPSSession -ShowBanner:$false -ErrorAction Stop | Out-Null
}
}
function Get-RetentionDataset {
param(
[Parameter()][switch]$UseDebug
)
if ($UseDebug) {
Write-Host "[DEBUG] Gebruik ingebouwde dataset voor lokale test." -ForegroundColor Yellow
return Get-DebugDataset
}
Connect-ComplianceService
Write-Host "[INFO] Ophalen van retentiepolicies en regels..." -ForegroundColor Gray
$policies = Get-RetentionCompliancePolicy -ErrorAction Stop
$rules = Get-RetentionComplianceRule -ErrorAction SilentlyContinue
$dataset = foreach ($policy in $policies) {
$policyRules = $rules | Where-Object { $_.Policy -eq $policy.Name }
$maxDays = 0
foreach ($rule in $policyRules) {
if ($rule.RetentionDuration -and [int]$rule.RetentionDuration -gt $maxDays) {
$maxDays = [int]$rule.RetentionDuration
}
}
[pscustomobject]@{
Name = $policy.Name
Enabled = $policy.Enabled
ExchangeLocation = $policy.ExchangeLocation
SharePointLocation = $policy.SharePointLocation
OneDriveLocation = $policy.OneDriveLocation
ModernGroupLocation = $policy.ModernGroupLocation
TeamsChannelLocation= $policy.TeamsChannelLocation
LastModified = $policy.WhenChangedUTC
LabelCount = ($policyRules | Measure-Object).Count
MaxRetentionDays = $maxDays
}
}
return $dataset
}
function Test-AgainstBaseline {
param(
[Parameter(Mandatory)]$Dataset,
[Parameter(Mandatory)]$Config
)
$criteria = $Config.qualityCriteria
$totalPolicies = ($Dataset | Measure-Object).Count
$enabledPolicies = ($Dataset | Where-Object { $_.Enabled }).Count
$totalLabels = ($Dataset | Measure-Object LabelCount -Sum).Sum
$stalePolicies = $Dataset | Where-Object {
$_.LastModified -and ((New-TimeSpan -Start $_.LastModified -End (Get-Date)).Days -gt $criteria.maxReviewAgeDays)
}
$missingWorkloads = @()
foreach ($workload in $criteria.requiredWorkloads) {
$hasCoverage = $Dataset | Where-Object { $_.$workload -and $_.$workload.Count -gt 0 }
if (-not $hasCoverage) {
$missingWorkloads += $workload
}
}
$expectationFindings = foreach ($expectation in $Config.expectations) {
$match = $Dataset | Where-Object {
$workloadMatch = $true
foreach ($workload in $expectation.requiredWorkloads) {
if (-not ($_.$workload -and $_.$workload.Count -gt 0)) {
$workloadMatch = $false
break
}
}
$workloadMatch -and $_.MaxRetentionDays -ge $expectation.minRetentionDays
} | Select-Object -First 1
[pscustomobject]@{
Id = $expectation.id
Description = $expectation.description
IsMet = [bool]$match
PolicyName = $match.Name
MinRequired = $expectation.minRetentionDays
}
}
$isCompliant = (
$totalPolicies -ge $criteria.minPolicies -and
$enabledPolicies -ge $criteria.minEnabledPolicies -and
$totalLabels -ge $criteria.minLabelsTotal -and
$missingWorkloads.Count -eq 0 -and
($stalePolicies | Measure-Object).Count -eq 0 -and
($expectationFindings | Where-Object { -not $_.IsMet }).Count -eq 0
)
return [pscustomobject]@{
TotalPolicies = $totalPolicies
EnabledPolicies = $enabledPolicies
TotalLabels = $totalLabels
StalePolicies = $stalePolicies
MissingWorkloads = $missingWorkloads
ExpectationFindings = $expectationFindings
IsCompliant = $isCompliant
}
}
function Invoke-Monitoring {
if (-not (Test-Path -Path $ConfigPath)) {
throw "Configuratiebestand ontbreekt op $ConfigPath. Voer eerst -Remediation uit."
}
$reportDestination = if ($ReportPath) { $ReportPath } else { Get-DefaultReportPath }
$config = Get-Content -Path $ConfigPath -Raw | ConvertFrom-Json -Depth 6
Write-Host "[INFO] Configuratie geladen (versie $($config.version))." -ForegroundColor Gray
$dataset = Get-RetentionDataset -UseDebug:$DebugMode
if (-not $dataset) {
throw "Er zijn geen retentiepolicies gevonden."
}
$result = Test-AgainstBaseline -Dataset $dataset -Config $config
$report = [ordered]@{
generatedAt = (Get-Date).ToString("yyyy-MM-ddTHH:mm:ss")
configPath = $ConfigPath
debugMode = [bool]$DebugMode
summary = $result
sample = $dataset | Select-Object -First 10
}
$report | ConvertTo-Json -Depth 6 | Out-File -FilePath $reportDestination -Encoding UTF8 -Force
Write-Host "[OK] Rapport opgeslagen: $reportDestination" -ForegroundColor Green
Write-Host "`nResultaat" -ForegroundColor Cyan
Write-Host (" Policies totaal : {0}" -f $result.TotalPolicies)
Write-Host (" Policies actief : {0}" -f $result.EnabledPolicies)
Write-Host (" Totaal labels : {0}" -f $result.TotalLabels)
Write-Host (" Ontbrekende workloads: {0}" -f ($result.MissingWorkloads -join ", "))
Write-Host (" Verlopen reviews : {0}" -f (($result.StalePolicies | Measure-Object).Count))
$gaps = $result.ExpectationFindings | Where-Object { -not $_.IsMet }
if ($gaps) {
Write-Host "`n[WARN] Niet alle verwachtingen zijn afgedekt:" -ForegroundColor Yellow
foreach ($gap in $gaps) {
Write-Host (" - {0} (min {1} dagen) heeft geen passende policy." -f $gap.Id, $gap.MinRequired) -ForegroundColor Yellow
}
exit 1
}
elseif (-not $result.IsCompliant) {
Write-Host "`n[WARN] Baselinecriteria niet volledig gehaald; bekijk rapport voor detailanalyse." -ForegroundColor Yellow
exit 1
}
else {
Write-Host "`n[OK] Retentiebeleid voldoet aan alle baselinecriteria." -ForegroundColor Green
exit 0
}
}
function Invoke-Remediation {
$config = Initialize-DefaultConfig
if ((Test-Path -Path $ConfigPath) -and -not $WhatIf) {
$backup = "$ConfigPath.bak_{0}" -f (Get-Date -Format "yyyyMMddHHmmss")
Copy-Item -Path $ConfigPath -Destination $backup -Force
Write-Host "[INFO] Back-up aangemaakt: $backup" -ForegroundColor Gray
}
Save-Config -Config $config
Write-Host "`nVolgende stappen:" -ForegroundColor Cyan
Write-Host " 1. Vul expectations aan met selectielijst-ID's en proceseigenaren." -ForegroundColor Gray
Write-Host " 2. Publiceer retentielabels via CAB/archiefcommissie." -ForegroundColor Gray
Write-Host " 3. Draai -Monitoring (eventueel met -DebugMode) na iedere wijziging." -ForegroundColor Gray
}
Write-Header
try {
if ($Remediation) {
Invoke-Remediation
}
else {
Invoke-Monitoring
}
}
catch {
Write-Host "`n[FAIL] $($_.Exception.Message)" -ForegroundColor Red
exit 2
}
finally {
Write-Host "`n===============================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder recordlabels en publicatiebeleid verliest de organisatie bewijswaarde, voldoet zij niet aan Archiefwet en AVG en neemt de kans op sancties en reputatieschade drastisch toe.
Management Samenvatting
Bouw een file plan dat Purview-recordlabels, publicatiebeleid en vergrendeling koppelt aan het formele bewaarschema. Monitor dagelijks via het bijbehorende script, corrigeer afwijkingen en leg besluitvorming vast zodat auditors en toezichthouders direct kunnen zien dat de Nederlandse Baseline voor Veilige Cloud wordt nageleefd.
- Implementatietijd: 100 uur
- FTE required: 0.2 FTE