Digitale informatie is verweven met vrijwel alle processen binnen moderne organisaties. Bij juridische procedures, interne onderzoeken, WOO‑verzoeken (Wet open overheid) en forensisch onderzoek na security‑incidenten ontstaat daardoor een enorme hoeveelheid potentieel bewijsmateriaal. Waar discovery vroeger draaide om ordners, archiefkasten en papieren dossiers, gaat het nu om terabytes aan e‑mail, SharePoint‑sites, OneDrive‑bestanden en Teams‑chats die over jaren zijn opgebouwd.
Een enkel fraudeonderzoek kan al snel tienduizenden e‑mails, documenten en chatgesprekken omvatten. Een handmatige review van al dat materiaal is in de praktijk onhaalbaar: zonder technologie lopen doorlooptijden en kosten direct uit de hand, terwijl het risico op fouten en gemiste documenten toeneemt. Daarom zijn gespecialiseerde eDiscovery‑oplossingen essentieel voor een moderne, juridisch verdedigbare aanpak.
Microsoft Purview eDiscovery biedt een geïntegreerd platform binnen Microsoft 365 waarmee juridische teams, compliance officers en security‑onderzoekers gestructureerd elektronisch bewijs kunnen verzamelen, veiligstellen en analyseren. De mogelijkheden bestrijken de volledige Electronic Discovery Reference Model (EDRM)‑levenscyclus: van informatiebeheer en identificatie van relevante databronnen tot het instellen van litigation holds, het gericht verzamelen en filteren van data, het juridisch en inhoudelijk beoordelen van documenten en het uiteindelijk produceren van bewijs voor tegenpartijen of toezichthouders.
Voor Nederlandse overheidsorganisaties speelt eDiscovery in uiteenlopende scenario's: WOO‑verzoeken waarbij binnen korte tijd alle relevante documenten moeten worden aangeleverd, interne integriteits‑ en fraudeonderzoeken, dossiers rond personeelszaken, onderzoeken na datalekken of security‑incidenten en informatieverzoeken van toezichthouders zoals de Autoriteit Persoonsgegevens of de Algemene Rekenkamer. Zonder een goed ingerichte eDiscovery‑voorziening is het vrijwel onmogelijk om in deze situaties snel, volledig en aantoonbaar zorgvuldig te handelen.
Deze gids is bedoeld voor juristen, compliance officers, FG's (functionarissen gegevensbescherming) en security‑onderzoekers die in Microsoft 365 verantwoordelijk zijn voor discovery‑processen. We behandelen de volledige scope van eDiscovery binnen Microsoft Purview: welke bronnen worden meegenomen (Exchange, SharePoint, OneDrive, Teams), hoe litigation holds werken en voorkomen dat bewijs ongemerkt wordt verwijderd, hoe u met gerichte zoekopdrachten en KQL‑filters snel relevante informatie vindt, hoe u custodian‑gericht kunt zoeken op basis van specifieke medewerkers, welke AI‑gestuurde analysemogelijkheden de beoordelingslast drastisch verminderen en hoe u bewijs uiteindelijk exporteert in een vorm die juridisch verdedigbaar is. Daarbij besteden we expliciet aandacht aan logging en audit trails, zodat u kunt aantonen dat het discovery‑proces zorgvuldig, reproduceerbaar en compliant is ingericht.
Implementeer een litigation hold onmiddellijk zodra u serieuze aanwijzingen heeft dat er een juridisch geschil of formeel onderzoek kan volgen, dus al vóórdat er daadwerkelijk een dagvaarding of formele procedure is gestart. Wie wacht tot de officiële start van een zaak, loopt het risico dat in de tussenliggende periode e‑mails, chats of documenten automatisch worden verwijderd door reguliere retentie‑ en opschoonbeleid. Een overheidsorganisatie die een klacht over vermeende discriminatie kreeg, wachtte bijvoorbeeld drie weken met het instellen van een hold. In die periode werden honderden e‑mails volgens het reguliere beleid verwijderd. De wederpartij stelde dat er sprake was van bewijsvernietiging en de rechter gaf een nadelige bewijsvermoedens‑instructie, wat de onderhandelingspositie ernstig verzwakte. De belangrijkste les: zorg dat leidinggevenden, HR, juridische dienst en security‑teams herkennen wanneer een potentieel geschil of onderzoek zich aandient en leg bij twijfel liever te vroeg dan te laat een brede, tijdelijke hold op relevante mailboxen en samenwerkomgevingen.
Litigation hold‑procedures: bewijs veiligstellen voor juridische trajecten
Waarom bewijsbewaring zo cruciaal is
Zodra een organisatie redelijkerwijs kan voorzien dat er een juridisch geschil, klachtprocedure, onderzoek door een toezichthouder of interne integriteitszaak kan ontstaan, ontstaat er een plicht om relevant bewijs te bewaren. Die plicht geldt dus niet pas vanaf het moment dat een dagvaarding is uitgebracht of een formeel onderzoek is gestart. Signalen zoals formele klachten van medewerkers of burgers, brieven van advocaten, vragen van toezichthouders of ernstige security‑incidenten met mogelijke aansprakelijkheid zijn typische triggers. Wie vanaf dat moment geen passende maatregelen neemt om digitale informatie veilig te stellen, loopt het risico op verwijten van bewijsvernietiging (spoliation). Rechters kunnen daar harde consequenties aan verbinden, zoals sancties, proceskostenveroordelingen of het trekken van een voor de organisatie nadelige conclusie over wat er waarschijnlijk in de verdwenen stukken stond.
Een verdedigbare hold‑aanpak begint daarom met het expliciet vastleggen van het trigger‑moment en de juridische beoordeling daarvan. De juridische afdeling beoordeelt welke zaak speelt, welke feiten onderzocht moeten worden en welke medewerkers daarbij een rol spelen. Op basis daarvan wordt de scope van de hold bepaald: welke personen (custodians), welke systemen en welke periode vallen eronder. Deze scope wordt gedocumenteerd, inclusief de argumentatie waarom bepaalde bronnen wel of niet zijn meegenomen. Dat dossier vormt later een belangrijk verdedigingsmiddel richting rechter of toezichthouder.
Van juridische plicht naar technische inrichting
Microsoft Purview eDiscovery vertaalt deze juridische verplichtingen naar concrete technische maatregelen. Binnen Purview wordt eerst een eDiscovery‑zaak aangemaakt waarin alle relevante informatie over het dossier samenkomt. Vervolgens worden custodians toegevoegd: medewerkers waarvan wordt verwacht dat zij relevante e‑mails, documenten of chats onder beheer hebben. Daarna worden één of meerdere litigation holds geconfigureerd die onder andere het volgende veiligstellen: alle e‑mails die door deze personen zijn verzonden of ontvangen, alle documenten in hun OneDrive en relevante SharePoint‑sites, en Teams‑chats of vergaderchats waar zij aan hebben deelgenomen.
Een hold heeft voorrang op reguliere retentie‑ en verwijderingsbeleid. Zelfs als een mailbox normaal gesproken na een bepaalde periode wordt opgeschoond, blijven berichten die onder de hold vallen beschikbaar in de bewahrings‑ of versiegeschiedenis. De gebruiker merkt daar in het dagelijks gebruik meestal weinig van, maar voor het onderzoek blijft de oorspronkelijke informatie intact. Pas wanneer de juridische afdeling expliciet besluit dat de hold kan worden opgeheven, bijvoorbeeld na afronding van de procedure en het verstrijken van bezwaar‑ en beroepstermijnen, wordt de inhoud weer onderworpen aan het normale bewaarbeleid.
Custodians en communicatie naar medewerkers
Het zorgvuldig selecteren van custodians is een delicate balans tussen volledigheid en proportionaliteit. Aan de ene kant wilt u alle personen meenemen die een rol spelen in het dossier: klagers en beklaagden, betrokken leidinggevenden, belangrijke besluitvormers, functionarissen die advies hebben gegeven en eventuele getuigen. Aan de andere kant wilt u de hold niet onnodig breed maken, omdat dit de hoeveelheid veilig te stellen data en daarmee de kosten sterk kan vergroten. Een gestructureerd beslismodel, waarin per rol wordt afgewogen of inclusion noodzakelijk is, helpt om deze balans consistent te houden.
Minstens zo belangrijk is heldere communicatie richting de medewerkers die als custodian zijn aangewezen. Zij moeten begrijpen dat zij geen relevante e‑mails, documenten of chatgesprekken mogen verwijderen of aanpassen zolang de hold actief is. In de praktijk gebeurt dit via een formele hold‑notificatie waarin de aard van het onderzoek, de bewaarplicht, de verwachte duur en mogelijke consequenties bij niet‑naleving worden uitgelegd. Het is verstandig om medewerkers expliciet te laten bevestigen dat zij deze instructie hebben gelezen en begrepen, en om periodiek herinneringen te sturen bij langlopende zaken. Deze documentatie toont aan dat de organisatie actief heeft geprobeerd om bewijsverlies te voorkomen.
AI‑ondersteunde beoordeling en efficiënt onderzoek
Naast het veiligstellen van informatie helpt Microsoft Purview Advanced eDiscovery organisaties om grote hoeveelheden data efficiënt te analyseren. Machine‑learningmodellen kunnen patronen herkennen in door juristen beoordeelde documenten en vervolgens voorspellen welke stukken waarschijnlijk relevant of juist niet relevant zijn. Door een representatieve set documenten handmatig te coderen als relevant of niet relevant, kan het systeem leren welke kenmerken horen bij de relevante stukken. Vervolgens wordt de volledige verzameling gescoord en kan de review worden gericht op de meest kansrijke documenten. Dit kan de hoeveelheid handmatig te beoordelen data met 60 tot 80 procent verminderen, terwijl het overgrote deel van de relevante informatie toch boven water komt.
Daarnaast biedt Purview mogelijkheden voor communicatie‑analyse. Door e‑mail‑ en chatverkeer in kaart te brengen, ontstaat een communicatienetwerk waarin zichtbaar wordt wie met wie contact had, hoe intensief dat contact was en welke personen een centrale positie innemen. Voor onderzoeks‑ en integriteitsfunctionarissen geeft dat snel inzicht in de feitelijke informatie‑ en beslisstructuren rondom een incident of besluit. Visualisaties van deze netwerken kunnen bovendien gebruikt worden in rapportages of in de rechtszaal om op een begrijpelijke manier toe te lichten hoe informatie binnen de organisatie is gestroomd.
Met een goed ingerichte eDiscovery‑oplossing in Microsoft Purview kunnen Nederlandse overheidsorganisaties hun bewaarplichten nakomen, interne en externe onderzoeken uitvoeren en aantoonbaar zorgvuldig omgaan met digitaal bewijs. Litigation holds voorkomen dat relevante informatie ongemerkt wordt verwijderd, terwijl gerichte zoekopdrachten en filters helpen om in terabytes aan data snel de kern van het dossier boven water te krijgen. Geavanceerde analysemogelijkheden en AI‑ondersteunde review verlagen de beoordelingslast aanzienlijk, zodat juridische en security‑teams zich kunnen concentreren op de documenten en gebeurtenissen die er echt toe doen.
Voor juristen, compliance‑professionals en security‑specialisten is het essentieel om niet alleen de juridische kaders te kennen, maar ook de technische werking van Purview eDiscovery te begrijpen. Alleen dan kunnen beleid, procedures en technische inrichting goed op elkaar worden afgestemd en kan in een concrete zaak snel worden gehandeld zonder ad‑hoc improvisatie. Het loont daarom om al in een rustige periode te investeren in standaardprocedures, sjablonen voor holds, training van betrokken medewerkers en testcases met historische data. Zo ontstaat een getraind team dat weet welke stappen gezet moeten worden zodra er een WOO‑verzoek, klacht, onderzoek of incident binnenkomt.
Basisfunctionaliteit voor eDiscovery is al aanwezig in veel Microsoft 365‑licenties en biedt een solide vertrekpunt. Voor organisaties met frequente of complexe zaken kan het uitbreiden naar Advanced eDiscovery, met uitgebreidere analysemogelijkheden en integratie met andere Purview‑functionaliteit, de volgende stap zijn. Welke variant ook wordt gekozen, centraal staat dat eDiscovery geen eenmalig project is, maar een blijvend onderdeel van de governance rond informatiebeheer, privacy en security binnen de Nederlandse publieke sector.