Sinds 2022 verplicht de Wet open overheid (Woo) Nederlandse bestuursorganen om betrouwbare, actuele en toegankelijke informatie te leveren. Het gaat allang niet meer om incidentele Wob-verzoeken; gemeenten, provincies, uitvoeringsorganisaties en ministeries verwerken soms honderden dossiers per jaar. Elke aanvraag vraagt een sluitende administratie van contactmomenten, termijnen, wettelijke uitzonderingen en de uiteindelijke publicatie. Zonder gestandaardiseerde workflow sluipen fouten binnen, lopen termijnen uit en ontbreekt de onderbouwing richting toezichthouders, de gemeenteraad of de Tweede Kamer. Bovendien vraagt de Nederlandse Baseline voor Veilige Cloud om aantoonbaar beheer van gegevensstromen, logging van beslissingen en passende waarborgen voor privacygevoelige informatie die in Woo-dossiers circuleert.
Microsoft 365 biedt een samenhangend platform om deze verplichtingen te operationaliseren. Power Apps of Microsoft Forms registreren aanvragen en starten automatisch de wettelijke klok, Planner en Loop houden multidisciplinaire teams op één lijn, Purview eDiscovery verzamelt dossiers uit SharePoint, Teams en Exchange, en sensitivity labels markeren passages die moeten worden geredigeerd voordat publicatie plaatsvindt. Power Automate, Logic Apps en Adaptive Cards geven proceseigenaren zicht op wachttijden, hoor-en-wederhoormomenten en documenten die nog beoordeeld moeten worden. Door deze componenten te orchestreren ontstaat een digitale keten die woo-verzoeken voorspelbaar afhandelt, aansluit op Archiefwet-vereisten en ruimte laat voor proactieve openbaarmaking.
Een volwassen Woo-programma begint bij een centrale intake die automatisch de wettelijke klok start en taken verdeelt, leunt op herhaalbare zoekopdrachten en logboeken in Purview eDiscovery, structureert juridische beoordelingen met sjablonen voor weigeringsgronden, borgt redactie met sensitivity labels en kwaliteitscontroles en eindigt bij publicatieportalen die metadata, toegankelijkheid en volledige logging combineren.
Analyseer welke thema’s structureel terugkeren in Woo-verzoeken en publiceer die actief. Organisaties die dit doen zagen het aantal verzoeken met 30-40% dalen, waardoor juristen meer tijd hebben voor complexe dossiers en responstermijnen ruimschoots gehaald worden.
Stap 1 – Intake, registratie en triage
De hedendaagse Woo-portefeuilles van gemeenten, departementen en uitvoeringsorganisaties zijn een doorlopende stroom van politieke vragen, onderzoeksjournalistiek en belangen van burgers. De overgang van Wob naar Woo betekende niet alleen een nieuw juridisch regime, maar vooral de verplichting om informatiehuishouding aantoonbaar te beheersen. De Nederlandse Baseline voor Veilige Cloud (NBVC) vertaalt dat naar harde vereisten: elke stap van intake tot publicatie moet herleidbaar zijn, privacyrisico’s moeten aantoonbaar zijn beheerst en ketenpartners moeten dezelfde taal spreken. Een volwassen intakeproces vormt daarom de ruggengraat van het hele programma.
Een moderne intake-app in Power Apps of Microsoft Forms begint bij gegevenskwaliteit. Het formulier vraagt niet alleen om naam, contactgegevens en onderwerp, maar koppelt deze velden via Dataverse aan zaaktypen, jurisdicties en beleidsprogramma’s. Hierdoor wordt meteen zichtbaar of het verzoek binnen de reikwijdte van de organisatie valt, of dat doorverwijzing naar een ketenpartner nodig is. Automatische validatieregels blokkeren incomplete aanvragen, terwijl uploadcomponenten bewijsmateriaal versleuteld opslaan. Zodra de indiener op verzenden drukt, genereert het systeem een uniek dossiernummer, bevestigt het ontvangst per beveiligd kanaal en zet het de wettelijke klok van vier weken, met een optionele verlenging van twee weken, formeel in gang.
Termijnbewaking gebeurt daarna volledig geautomatiseerd. Power Automate schrijft de deadlines in een centrale timeline, maakt taken aan in Planner of Loop en verstuurt adaptieve kaarten naar de verantwoordelijke proceseigenaar. De workflow synchroniseert met het zaaksysteem zodat besluitvormers één bron van waarheid zien. Wanneer er aanvullende informatie nodig is, start de app een hoor-en-wederhoorproces met voorgedefinieerde sjablonen voor vragen, ontvangstbevestigingen en termijnaanpassing. Omdat alle communicatie binnen Microsoft 365 plaatsvindt, blijven berichten, bijlagen en beslisnotities automatisch beschikbaar voor audits of Woo-klachtenprocedures.
Informatiebeveiliging wordt vanaf de eerste stap meegenomen. De intake-app gebruikt Conditional Access om toegang te beperken tot het Woo-team, enforceert meervoudige authenticatie en logt alle mutaties via Azure Monitor. Gevoelige velden, zoals persoonsgegevens van verzoekers of signalen over bijzondere regimes (bijvoorbeeld politiegegevens, staatsveiligheid of bedrijfsgeheimen), worden direct gelabeld met een Purview sensitivity label zodat ze in het vervolgproces nooit onbeschermd circuleren. Een ingebedde privacyverklaring verwijst naar de grondslag uit de AVG en een automatische check toont of een DPIA op het proces van toepassing is. Zo ontstaat al tijdens de intake de combinatie van zorgvuldigheid en snelheid waar NBVC om vraagt.
De triagefase draait om scherpte in scope en planning. Door het intakeportaal te verbinden met een kennisbank waarin archiefcodes, beleidsonderwerpen en contactpersonen zijn opgenomen, ziet de intakecoördinator direct welke directies, regio’s of ketenpartners documenten kunnen bezitten. Eén klik maakt een taak aan voor de relevante matter expert, verrijkt met aanwijzingen over bewaartermijnen, mogelijke uitzonderingsgronden en referenties naar eerdere dossiers. De workflow controleert bovendien of het verzoek overlap heeft met lopende zaken, wat dubbele searches voorkomt en de werkdruk verlaagt.
Datagedreven sturing hoort direct bij deze eerste stap. Power BI dashboards tonen hoeveel verzoeken per kanaal binnenkomen, welke onderwerpen structureel vertragen en hoeveel capaciteit per afdeling beschikbaar is. Scenario’s met piekbelasting – bijvoorbeeld vlak voor verkiezingen of na grote incidenten – worden vooraf gesimuleerd, zodat managers ondersteunende teams kunnen bijschakelen. De dashboards zijn gekoppeld aan NBVC- en BIO-indicatoren, waardoor bestuurders niet alleen weten of termijnen worden gehaald, maar ook of logging, autorisatie en privacychecks aantoonbaar functioneren.
Een intakeproces is nooit af. Feedback van juristen, communicatieadviseurs en functionarissen gegevensbescherming wordt periodiek opgehaald via Viva Pulse of eenvoudige Forms-surveys. Procesanalisten analyseren patronen: welke velden leiden tot misinterpretaties, welke vragen roepen telkens aanvullende toelichting op, in welke fases ontstaan escalaties? Op basis daarvan worden sjablonen aangepast, helpteksten herschreven en automatische notificaties verfijnd. Elk kwartaal bespreekt het Woo-governanceboard de verbetermaatregelen en legt het vast welke controles in de volgende sprint worden geautomatiseerd. Zo groeit intake en triage uit tot een voorspelbare capability die meteen laat zien dat Woo-naleving professioneel en controleerbaar is ingericht.
Stap 2 – Zoeken, beoordelen en redigeren
Zodra de scope kristalhelder is, verschuift de aandacht naar het vinden en beoordelen van documenten. Purview eDiscovery Premium fungeert daarbij als digitaal commandocentrum dat SharePoint-sites, Teams-kanalen, OneDrive-accounts en Exchange-mailboxen doorzoekbaar maakt onder één governance model. Voor elk Woo-dossier wordt een aparte zaak aangemaakt waarin bewaarbeleid, rolverdeling en bewaartermijnen automatisch worden ingesteld. Het dossier bevat contactgegevens van de verzoeker, verwijzingen naar relevante artikelen uit de Woo en een overzicht van de wettelijke uitzonderingsgronden die mogelijk van toepassing zijn. Daardoor begrijpt iedereen die het dossier opent meteen de context en de verwachtingen.
In het zoekproces werken recordmanagers met gestandaardiseerde querysets. Deze sets bevatten filters op trefwoorden, beleidsprogramma’s, tijdvakken en documenttypen en worden onderhouden door informatieadviseurs zodat ze gelijke tred houden met nieuwe projecten of coalitieakkoorden. Adaptive scopes zorgen ervoor dat ook nieuwe Teams of mailboxes automatisch binnen bereik vallen wanneer ze aan de juiste metadata voldoen. Zodra een query wordt uitgevoerd, logt Purview de exacte parameters, tijdstempels en gebruikte filters. Die logging stroomt door naar een Sentinel-workspace waar dashboards hun status weergeven en waar afwijkingen – zoals extreem brede zoekacties buiten de gedefinieerde scope – automatisch een alert aan de CISO genereren.
Automatisering stopt niet bij het zoeken. Power Automate of Logic Apps registreren welke documenten aan de selectie zijn toegevoegd, sturen notificaties naar betrokken reviewers en genereren checklists voor aanvullende bronnen buiten Microsoft 365, zoals on-premises archieven of externe leveranciers. Wanneer een dossier bijvoorbeeld ook contracten bij een samenwerkingspartner vereist, start de workflow automatisch een verzoek om deze documenten via een beveiligd uploadportaal aan te leveren. Zo ontstaat een sluitende keten zonder dat medewerkers losse e-mails hoeven te sturen.
Het beoordelen zelf vindt plaats in Purview Review Sets of een gekoppelde Power App. Juristen zien documenten inclusief versiegeschiedenis, kunnen passages markeren met opmerkingen en onderbouwen meteen of een uitzonderingsgrond uit artikel 5.1 van toepassing is. Sjablonen voor conceptbeschikkingen zorgen ervoor dat dezelfde argumentatie wordt gebruikt, ongeacht welke jurist het dossier behandelt. Besluiten worden gekoppeld aan risico-indicatoren: hoe hoger de maatschappelijke gevoeligheid of mediabelangstelling, hoe strakker de controlemomenten en escalatieroutes naar het Woo-governanceboard.
Redactie verloopt volgens een strikt kwaliteitsregime. Sensitivity labels detecteren burgerservicenummers, medische gegevens of verwijzingen naar derden en plaatsen automatisch een taak in Planner of Loop. Reviewers beschrijven per passage waarom verwijdering nodig is, welke wettelijke basis wordt gebruikt en wanneer de passage opnieuw moet worden gecontroleerd. In complexe dossiers wordt een dubbele redactie uitgevoerd; de tweede reviewer ziet via SharePoint versiegeschiedenis exact welke wijzigingen eerder zijn aangebracht. Alle bewerkingen worden opgeslagen in het dossierlogboek, inclusief de gebruikte labelpolicy en de naam van de eindverantwoordelijke.
Compliance en forensische traceerbaarheid zijn hierbij ononderhandelbaar. Elke export uit eDiscovery wordt voorzien van een checksum, opgeslagen in een versleutelde Azure Storage-account en geregistreerd in een auditlog dat vijf jaar beschikbaar blijft. Sentinel dashboards laten zien wie documenten heeft bekeken, welke zoekresultaten zijn geëxporteerd en of iemand geprobeerd heeft om data buiten de beschermde werkruimte te kopiëren. Privileged Identity Management dwingt tijdelijke rechten voor eDiscovery-rollen af zodat slechts geautoriseerde medewerkers toegang hebben en elke escalatie wordt voorzien van meervoudige authenticatie.
Tot slot is kennismanagement cruciaal. Na afronding van de reviewfase documenteert het team best practices in een centrale kennisbank. Denk aan welke query’s het meeste resultaat opleverden, welke uitzonderingsgronden vaak voorkwamen en welke aanvullende bronnen moesten worden geraadpleegd. Nieuwe reviewers krijgen scenario-training in Viva Learning op basis van echte, maar geanonimiseerde dossiers. Hierdoor groeit de kwaliteit van beoordelen en redigeren elke maand, terwijl de organisatie aantoont dat deskundigheid wordt onderhouden, zoals NBVC en BIO voorschrijven.
Stap 3 – Publicatie, communicatie en governance
Wanneer alle documenten juridisch zijn goedgekeurd, verschuift de focus naar publicatie, communicatie en structurele borging. Het Woo-team exporteert de vrijgegeven set vanuit Purview naar een beveiligde SharePoint-bibliotheek die uitsluitend toegankelijk is voor het kernteam. Tijdens de export worden metadata meegegeven: zaaknummer, beleidsterrein, beslisdatum, toegepaste uitzonderingsgrond en contactpersoon voor vervolgvragen. Content types zorgen ervoor dat deze velden verplicht zijn, zodat geen enkel stuk zonder context richting publicatieportaal gaat.
Power Automate controleert aansluitend of elk document aan toegankelijkheidseisen voldoet. PDF/A-conversie wordt afgedwongen, afbeeldingen krijgen alternatieve tekst en video’s worden voorzien van ondertiteling. Wanneer een document niet slaagt voor deze controles, wordt het automatisch teruggezet naar de reviewer met een takenlijst waarin precies staat welke aanpassingen nodig zijn. Pas na een groen sein worden de documenten verplaatst naar de publicatiebibliotheek of gekoppeld aan het Woo-portaal.
Communicatie richting verzoekers en het brede publiek verloopt met dezelfde discipline. Word Modern Templates bevat de formele beschikkingsbrief waarin per document wordt beschreven wat openbaar wordt, welke onderdelen zijn weggelaten en welke artikelen van de Woo daarvoor de basis vormen. Power Automate verstuurt deze brief via een beveiligd kanaal – e-mail met encryptie, een MijnOverheid-bericht of een portaalbericht – en logt de verzending inclusief tijdstempel. Parallel publiceert de communicatieafdeling een toelichting in begrijpelijke taal op de website, zodat burgers direct zien welke thema’s behandeld zijn en waar de documenten te vinden zijn.
Het publieke portaal zelf is meer dan een downloadpagina. SharePoint of een headless CMS levert een site waarop dossiers kunnen worden gefilterd op onderwerp, datum, bestuurslaag en status. Metadata worden automatisch gesynchroniseerd vanuit de intake-registratie zodat er geen dubbele invoer nodig is. Elke publicatie bevat een toegankelijke samenvatting, verwijzingen naar relevante beleidsdocumenten en een contactformulier voor aanvullende vragen. Logging toont hoeveel bezoekers een dossier bekijken, welke bestanden worden gedownload en welke thema’s trending zijn, zodat het team ziet welke onderwerpen extra communicatie vragen.
Archivering vormt de brug tussen Woo en de Archiefwet. Het volledige dossier – van intakeformulier tot publicatiesamenvatting – wordt gekoppeld aan het zaaktype in het zaaksysteem en aan de selectielijst. Ruwe bronbestanden, redactieversies en definitieve publicaties krijgen hun eigen bewaartermijn en vernietigingsdatum. Microsoft Syntex of Power Automate schrijft deze metadata automatisch weg naar het eDepot of een gecertificeerde archiefvoorziening. Hierdoor kan een auditor jaren later nog steeds vaststellen welke versie wanneer is vrijgegeven en waarom.
Voor duurzame governance vergadert er minimaal elk kwartaal een Woo-board waarin juristen, informatiebeheerders, CISO’s, communicatie en proceseigenaren samenkomen. Power BI dashboards tonen realtime de doorlooptijd per fase, de mate waarin termijnen worden gehaald, de hoeveelheid uitzonderingsgronden en de status van klachten of beroep. Het board koppelt deze inzichten aan NBVC- en BIO-controles, besluit over extra capaciteit en prioriteert verbeterinitiatieven. Lessons learned worden vastgelegd, toegewezen aan product owners en in de volgende sprint opgepakt.
Proactieve openbaarmaking krijgt in deze fase een structurele plek. Door metadata te analyseren ontdekt de organisatie welke thema’s telkens terugkeren – bijvoorbeeld subsidies, vergunningen of grote inkooptrajecten. Voor deze onderwerpen worden publicatiekalenders ingericht die periodiek automatisch dossiers publiceren zonder dat er eerst een verzoek is ingediend. Juristen en communicatie maken afspraken over formuleringen, kwaliteitscontroles en monitoring van impact. Het resultaat: minder binnenkomende verzoeken, voorspelbare werkdruk en een overheid die zichtbaar verantwoordelijkheid neemt.
Tot slot wordt het hele proces continu gemonitord. Telemetrie uit Power Automate, Purview, SharePoint en Azure Monitor vloeit samen in een compliance-dashboard dat binnen enkele seconden inzicht biedt in lopende verzoeken, knelpunten en auditmeldingen. Wanneer een KPI buiten bandbreedte valt – bijvoorbeeld een fase met structurele vertraging – ontvangt de proceseigenaar automatisch een alert met een voorstel voor mitigatie. Zo ontstaat een gesloten regelkring waarin Woo-publicatie niet afhankelijk is van heroïsche inspanning, maar van volwassen, datagedreven governance.
Woo-naleving vraagt om een keten waarin juristen, informatiebeheerders, IT en bestuurders voortdurend samenwerken. Door intake, triage, zoeken, redactie en publicatie in Microsoft 365 te automatiseren, ontstaat een reproduceerbaar proces dat wettelijke termijnen haalt, uitzonderingsgronden zorgvuldig onderbouwt en bewijsvoering permanent beschikbaar houdt. Logging, Conditional Access en sensitivity labels laten zien dat privacy en beveiliging vanaf de eerste stap worden meegewogen, terwijl dashboards en governanceboards ervoor zorgen dat capaciteit en risico’s voortdurend worden bijgestuurd. Wie deze discipline combineert met proactieve openbaarmaking en een kennisbank met lessons learned, verandert transparantie van een bestuurlijke last in een strategisch voordeel voor de Nederlandse Baseline voor Veilige Cloud.