BIO 08.03.01 ISO A.5.30

Geautomatiseerde Compliance-controles In Azure

📅 2025-11-26
⏱️ 18 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Geautomatiseerde compliance-controles in Azure maken het mogelijk om beleidsregels, normen en wettelijke vereisten continu te bewaken in plaats van periodiek handmatig te toetsen. Voor Nederlandse overheidsorganisaties is dit essentieel om aantoonbaar te voldoen aan kaders als BIO, AVG en NIS2, zonder dat de beheerorganisatie overspoeld raakt door handmatige controles en Excel-overzichten.

Aanbeveling
IMPLEMENTEER EEN GEÏNTEGREERD RAAMWERK VOOR GEAUTOMATISEERDE COMPLIANCE IN AZURE
Risico zonder
High
Risk Score
8/10
Implementatie
100u (tech: 60u)
Van toepassing op:
Azure Tenant

Veel organisaties vertrouwen nog op handmatige audits, steekproeven en losse rapportages om de naleving van beveiligings- en compliance-eisen te beoordelen. Dit leidt onvermijdelijk tot blinde vlekken: nieuwe resources worden buiten zicht om uitgerold, uitzonderingen worden niet structureel vastgelegd en afwijkingen blijven te lang onopgemerkt. Bij een audit of incident is het dan moeilijk om overtuigend aan te tonen dat de Azure-omgeving structureel onder controle is. Voor Nederlandse overheidsorganisaties, die te maken hebben met strikte eisen rond transparantie, verantwoording en continuïteit van essentiële diensten, is dit risico onacceptabel. De combinatie van cloud-dynamiek (selfservice, automation, DevOps) en traditionele controlmechanismen zorgt bovendien voor een kloof tussen IT-operatie en governance: beleidsdocumenten zijn vaak netjes beschreven, maar er is geen directe koppeling met de daadwerkelijke configuratie in Azure.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Resources, Az.PolicyInsights, Az.Security

Implementatie

Dit artikel beschrijft hoe je in Azure een robuust raamwerk voor geautomatiseerde compliance inricht, gebaseerd op Azure Policy, Microsoft Defender for Cloud, tagging en rapportage via Azure Monitor en Policy Insights. We gaan in op het vertalen van Nederlandse normen zoals BIO en NIS2 naar concrete Azure Policies, het opzetten van een policy-hierarchie over management groups en subscriptions, het koppelen van automatische evaluaties en remediatie, en het inrichten van dashboards voor bestuur en audit. Daarnaast laten we zien hoe je een lichte PowerShell-control kunt gebruiken om periodiek een samenvattende compliance- en secure score-check uit te voeren, zoals verwezen in de bijbehorende scriptkoppeling. Het resultaat is een continu compliance-mechanisme dat niet alleen afwijkingen detecteert, maar ook helpt om de dialoog met bestuur, CISO en interne audit te onderbouwen met actuele feiten.

Architectuur van Geautomatiseerde Compliance in Azure

Een effectieve inrichting van geautomatiseerde compliance in Azure begint bij een heldere architectuur waarin governance, techniek en organisatie expliciet samenkomen. Voor Nederlandse overheidsorganisaties is het cruciaal om vanuit bestaande kaders zoals de BIO, organisatie-specifieke beveiligingsbeleid en sectorale afspraken (bijvoorbeeld in de zorg of het veiligheidsdomein) te werken. Deze kaders beschrijven wat er moet gebeuren, maar niet hoe dat in Azure technisch wordt afgedwongen. De eerste stap is daarom een mapping van normenkaders naar concrete, meetbare configuratie-eisen in Azure: bijvoorbeeld "alle productie-resources moeten zijn voorzien van een eigenaars-tag" of "virtuele machines mogen geen publieke IP-adressen hebben". Dit vormt de basis voor een set van Azure Policies en initiatieven die direct aansluiten bij de risicoprioriteiten van de organisatie. Vervolgens wordt de governance-structuur van de Azure-tenant ingericht rond management groups, subscriptions en resource groups. Door Azure Policies op verschillende niveaus toe te passen, kan een gelaagd compliance-model worden gerealiseerd: generieke basismaatregelen (zoals versleuteling, tagging en logging) worden centraal op het hoogste management group-niveau afgedwongen, terwijl meer specifieke maatregelen (bijvoorbeeld voor OT-omgevingen, testomgevingen of streng gereguleerde ketens) op onderliggende niveaus worden toegevoegd. Dit voorkomt een wildgroei aan individuele uitzonderingen en maakt het mogelijk om per domein duidelijke "guardrails" te definiëren. Belangrijk is dat deze structuur in lijn is met de bredere cloud governance-architectuur binnen de organisatie, zodat compliance geen losstaand eiland wordt maar integraal onderdeel van de cloudstrategie. Binnen deze architectuur speelt Microsoft Defender for Cloud een belangrijke rol als aanvullende informatiebron. Waar Azure Policy vooral kijkt naar configuratie- en resource-eigenschappen, levert Defender for Cloud signalen op het gebied van beveiligingsstandaarden, kwetsbaarheden en secure score. Door beveiligingsstandaarden (zoals Azure Security Benchmark of sector-specifieke baselines) te activeren, ontstaat een doorlopende beoordeling van de omgeving op tientallen tot honderden controlepunten. De secure score fungeert daarbij als samenvattende indicator, maar moet altijd in de context van de eigen risicoanalyse worden geïnterpreteerd. Voor Nederlandse overheidsorganisaties is het verstandig om een doelscore en drempelwaarden vast te stellen, gekoppeld aan risicobereidheid en bestuurlijke rapportage. Deze waarden vormen vervolgens de basis voor dashboards en signalering richting CISO en CIO. Een volwassen architectuur houdt tenslotte rekening met DevOps- en automatiseringspatronen. Policies worden niet alleen toegepast op reeds bestaande resources, maar ook geïntegreerd in deployment pipelines via bijvoorbeeld Azure DevOps of GitHub Actions. Door "policy as code"-principes te hanteren – waarin beleid, definities en assignments in broncodebeheer worden opgenomen – ontstaat versiebeheer, change control en herhaalbaarheid. Dit sluit aan bij de eisen van interne en externe auditors: zij kunnen precies zien welke beleidsregels wanneer zijn gewijzigd, door wie en met welke motivatie. Zo groeit geautomatiseerde compliance uit tot een structureel onderdeel van zowel de technische als de bestuurlijke architectuur van de organisatie.

Implementatie van Azure Policy en Defender voor Geautomatiseerde Compliance

De implementatie van geautomatiseerde compliance in Azure begint praktisch met het selecteren en configureren van de juiste set Azure Policies en beveiligingsstandaarden. In plaats van te starten vanuit de volledige catalogus aan beschikbare policies, is het verstandiger om te beginnen met een kernset die direct aansluit op de grootste risico’s en wettelijke vereisten. Dit kan bijvoorbeeld een combinatie zijn van policies die afdwingen dat diagnostische logging is ingeschakeld, dat alleen goedgekeurde regio’s worden gebruikt, dat encryptie op opslagaccounts verplicht is en dat resource tagging consistent wordt toegepast. Deze policies worden gebundeld in initiatieven (policy sets) per thema, zoals "Basisbeveiliging", "Logging & Monitoring" of "Data Protection". Vervolgens worden deze initiatieven toegewezen aan de relevante management groups en subscriptions met een duidelijk effecttype: audit-only voor verkennende fase, en deny of deployIfNotExists zodra de organisatie klaar is om daadwerkelijk af te dwingen. Voor Defender for Cloud is het van belang om passende beveiligingsplannen te activeren voor alle relevante workloads, zoals servers, containers, SQL-databases en PaaS-diensten. De keuze voor plannen en licenties moet worden afgestemd met inkoop, finance en de verantwoordelijke proceseigenaren, zodat de kosten voorspelbaar zijn en passen binnen de afgesproken risicobereidheid. Zodra de plannen actief zijn, beginnen aanbevelingen en alerts binnen te lopen op basis van de gekozen beveiligingsstandaarden. Deze aanbevelingen worden idealiter gekoppeld aan een ITSM-systeem of een centrale backlog, zodat opvolging en prioritering structureel plaatsvindt in plaats van incidenteel. Het configureren van alerts, action groups en playbooks zorgt ervoor dat belangrijke afwijkingen tijdig worden gesignaleerd en – waar gewenst – (semi-)automatisch kunnen worden verholpen. Een cruciaal implementatie-aspect is het borgen van uitzonderingen en maatwerk. In een overheidsomgeving zijn er altijd situaties waarin een generiek beleid tijdelijk of structureel niet haalbaar is, bijvoorbeeld vanwege legacy-systemen, ketenafspraken of specifieke wetgeving. In plaats van stilzwijgend af te wijken, wordt voor dergelijke gevallen gewerkt met formeel goedgekeurde beleidsuitzonderingen. In Azure betekent dit dat resourcegroepen of individuele resources worden uitgesloten van een bepaalde policy via notScopes, en dat deze uitzonderingen worden gedocumenteerd met een motivatie, einddatum en eigenaar. Dit maakt het mogelijk om binnen audits en rapportages transparant te laten zien waar en waarom van de standaard wordt afgeweken, zonder dat het gehele compliance-model aan geloofwaardigheid inboet. Tegelijkertijd blijft de technische inrichting overzichtelijk omdat uitzonderingen centraal worden beheerd en periodiek worden herbeoordeeld. Tot slot moet de implementatie worden verankerd in de dagelijkse beheerprocessen. Dit houdt in dat wijzigingen in policies, initiatieven en Defender-configuraties via formele changeprocessen lopen, dat ontwikkelteams worden getraind in het werken met policy-gedreven deployments en dat compliance-rapportages worden opgenomen in de reguliere stuurinformatie richting management. Voor Nederlandse publieke organisaties is het verstandig om een vaste rapportagecyclus af te spreken, bijvoorbeeld kwartaalrapportages over de ontwikkeling van secure score, aantallen niet-conforme resources en doorgevoerde verbeteracties. Daarmee ontstaat een ritme waarin geautomatiseerde compliance niet wordt gezien als een project of een technisch hulpmiddel, maar als onderdeel van de normale manier van werken.

Monitoring en Rapportage van Compliance-status

Gebruik PowerShell-script automated-compliance.ps1 (functie Invoke-Monitoring) – Voert een lichte compliance- en secure score-check uit over de geselecteerde Azure-subscripties.

Monitoring van de compliance-status in Azure is meer dan het af en toe openen van de Azure Portal om te kijken hoeveel aanbevelingen nog openstaan. Een volwassen monitoringaanpak combineert geautomatiseerde metingen, duidelijke drempelwaarden en vaste rapportagestructuren. Azure Policy en Policy Insights leveren gedetailleerde gegevens over de mate waarin resources voldoen aan toegewezen beleidsregels, terwijl Defender for Cloud informatie verstrekt over beveiligingsaanbevelingen, bedreigingen en secure score. Door deze gegevens te combineren in dashboards (bijvoorbeeld met behulp van Azure Monitor workbooks, Power BI of een SIEM-oplossing) ontstaat een actueel beeld van de naleving per domein, workload en eigenaar. Voor bestuur en directie zijn vooral trendinformatie, grote afwijkingen en de relatie met risico’s relevant; voor operationele teams zijn detailoverzichten van niet-conforme resources en toegewezen acties essentieel. Een belangrijke ontwerpkeuze is welke drempelwaarden worden gehanteerd voor escalatie. Dit kan bijvoorbeeld een minimum secure score per abonnement zijn, een maximaal toegestane percentage niet-conforme resources binnen een kritische policy set, of een maximum aantal dagen dat een kritieke aanbeveling open mag blijven staan. Deze drempelwaarden worden bij voorkeur vastgelegd in het informatiebeveiligingsbeleid en afgestemd met CISO, CIO en proceseigenaren. Vervolgens worden alerts in Azure Monitor en Defender for Cloud zo geconfigureerd dat bij overschrijding van een drempel automatisch meldingen worden verzonden naar de juiste teams, eventueel aangevuld met het automatisch openen van tickets in een ITSM-systeem. Op die manier wordt voorkomen dat belangrijke afwijkingen wegzakken in een lange lijst van lagere prioriteitssignalen. Monitoring moet tenslotte expliciet gericht zijn op auditbaarheid en verantwoording. Dat betekent dat rapportages niet alleen laten zien hoe de huidige situatie is, maar ook welke verbeteringen in de afgelopen periode zijn doorgevoerd en welke rest-risico’s bewust zijn geaccepteerd. Voor Nederlandse overheidsorganisaties is dit essentieel in gesprekken met toezichthouders, rekenkamers en interne audit. Door bijvoorbeeld per kwartaal een vast compliance-rapport te genereren, waarin secure score, policy compliance en openstaande aanbevelingen worden samengevat, kan het bestuur aantonen dat er sprake is van actieve sturing op naleving. Een lichtgewicht PowerShell-script, zoals in dit artikel beschreven, kan worden gebruikt om periodiek een compacte samenvatting op te halen of te integreren in geautomatiseerde rapportagepipelines.

Remediatie, Verbetering en Governance

Gebruik PowerShell-script automated-compliance.ps1 (functie Invoke-Remediation) – Geeft richting aan remediatie en gebruikt monitoringresultaten als startpunt voor verbeteracties.

Wanneer monitoring aantoont dat de Azure-omgeving niet voldoet aan de gestelde compliance-eisen, is een gestructureerde remediatieaanpak noodzakelijk. Ad-hoc wijzigingen op individuele resources lossen zelden de kern van het probleem op en zorgen vaak voor inconsistentie tussen omgevingen. Een volwassen aanpak begint met het clusteren van bevindingen: welke afwijkingen komen het meest voor, welke hebben de hoogste impact op risico’s of wettelijke naleving, en welke hebben een gemeenschappelijke oorzaak in ontwerp- of proceskeuzes. Op basis hiervan wordt een verbeterprogramma opgezet met duidelijke prioriteiten, eigenaarschap en doorlooptijden. Voorbeelden van structurele maatregelen zijn het herontwerpen van standaard landing zones, het invoeren van strengere policy-sets voor nieuwe omgevingen of het automatiseren van veelvoorkomende correcties via scripts of Infrastructure as Code. Een tweede pijler van remediatie is governance: wie mag beleid aanpassen, hoe worden uitzonderingen beoordeeld en hoe wordt geborgd dat verbeteracties niet na enkele maanden verwateren. Voor Nederlandse overheidsorganisaties is het raadzaam om een formeel governance-orgaan in te richten, bijvoorbeeld een cloud governance board waarin CISO, architecten, servicemanagers en vertegenwoordigers van de business deelnemen. Dit orgaan beoordeelt wijzigingsvoorstellen voor Azure Policies en Defender-configuraties, keurt uitzonderingsverzoeken goed of af, en bewaakt de aansluiting met organisatiebrede risico- en compliancekaders. Besluiten worden vastgelegd, inclusief de onderbouwing en eventuele compensatiemaatregelen, zodat later kan worden herleid waarom bepaalde keuzes zijn gemaakt. Remediatie is pas echt effectief wanneer deze wordt gevolgd door evaluatie en bijstelling. Na het doorvoeren van verbeteracties moeten metingen laten zien dat de situatie werkelijk is verbeterd: non-conforme resources nemen af, secure score stijgt en kritieke aanbevelingen worden sneller opgepakt. Tegelijkertijd moeten documentatie, trainingen en procesbeschrijvingen worden bijgewerkt zodat de nieuwe werkwijze geborgd wordt in de organisatie. Door remediatieactiviteiten expliciet te koppelen aan het bredere risicomanagement- en auditproces (bijvoorbeeld in het ISMS of GRC-systeem) ontstaat een transparante keten van bevinding → analyse → maatregel → rest-risico. Dit sluit rechtstreeks aan bij de eisen uit BIO, ISO 27001 en NIS2 rond continue verbetering en aantoonbaarheid van beheersmaatregelen. Geautomatiseerde compliance in Azure is daarmee geen statische controle, maar een dynamisch systeem dat meegroeit met de dreigingen, technologie en wetgeving.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Geautomatiseerde compliance- en secure score-check in Azure .DESCRIPTION Voert een lichte controle uit op: - Aanwezigheid van Azure Policy-assignments - Aantal niet-conforme resources (policy non-compliance) - Microsoft Defender for Cloud secure score (waar beschikbaar) Dit script is bedoeld als praktische control die snel inzicht geeft in de staat van geautomatiseerde compliance in Azure en sluit aan op het artikel 'Geautomatiseerde Compliance-controles in Azure'. .NOTES Filename: automated-compliance.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/compliance/automated-compliance.json #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Resources, Az.PolicyInsights, Az.Security [CmdletBinding()] param( [Parameter()] [switch]$Monitoring ) $ErrorActionPreference = 'Stop' $PolicyName = "Azure Geautomatiseerde Compliance - Basischeck" function Connect-RequiredServices { if (-not (Get-AzContext -ErrorAction SilentlyContinue)) { Connect-AzAccount -ErrorAction Stop | Out-Null } } function Test-Compliance { <# .SYNOPSIS Haalt kerncijfers op over policy-compliance en secure score .OUTPUTS PSCustomObject met TotalSubscriptions, NonCompliantResources, SecureScore #> [CmdletBinding()] param() $subscriptions = Get-AzSubscription -ErrorAction Stop | Where-Object { $_.State -eq 'Enabled' } $totalNonCompliant = 0 $secureScoreAverage = $null $secureScores = @() foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id -ErrorAction Stop | Out-Null try { $summary = Get-AzPolicyStateSummary -ErrorAction SilentlyContinue if ($summary -and $summary.Results) { foreach ($r in $summary.Results) { if ($r.NonCompliantResources) { $totalNonCompliant += [int]$r.NonCompliantResources } } } } catch { Write-Verbose "Kon policy-compliance voor subscription '$($sub.Name)' niet ophalen: $_" } try { $scores = Get-AzSecuritySecureScore -ErrorAction SilentlyContinue if ($scores) { foreach ($s in $scores) { if ($s.Properties.Percentage) { $secureScores += [double]$s.Properties.Percentage } } } } catch { Write-Verbose "Kon secure score voor subscription '$($sub.Name)' niet ophalen: $_" } } if ($secureScores.Count -gt 0) { $secureScoreAverage = [math]::Round(($secureScores | Measure-Object -Average).Average * 100, 1) } [PSCustomObject]@{ TotalSubscriptions = $subscriptions.Count NonCompliantResources = $totalNonCompliant SecureScorePercentage = $secureScoreAverage } } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "" -ForegroundColor White Write-Host "========================================" -ForegroundColor Cyan Write-Host $PolicyName -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host ("Subscripties : {0}" -f $r.TotalSubscriptions) -ForegroundColor White Write-Host ("Niet-conforme resources : {0}" -f $r.NonCompliantResources) -ForegroundColor White if ($null -ne $r.SecureScorePercentage) { Write-Host ("Gemiddelde secure score : {0}%" -f $r.SecureScorePercentage) -ForegroundColor White } else { Write-Host "Gemiddelde secure score : n.v.t. (geen gegevens beschikbaar)" -ForegroundColor Yellow } if ($r.NonCompliantResources -gt 0) { Write-Host "" -ForegroundColor White Write-Host "[WAARSCHUWING] Er zijn niet-conforme resources gedetecteerd. Raadpleeg Azure Policy en Defender for Cloud voor details." -ForegroundColor Yellow } if ($null -ne $r.SecureScorePercentage -and $r.SecureScorePercentage -lt 60) { Write-Host "[WAARSCHUWING] De gemiddelde secure score ligt onder 60%. Onderzoek welke aanbevelingen openstaan en prioriteer verbeteracties." -ForegroundColor Yellow } } else { $r = Test-Compliance Write-Host "" Write-Host ("Azure geautomatiseerde compliance: {0} subscripties, {1} niet-conforme resources, secure score {2}" -f ` $r.TotalSubscriptions, ` $r.NonCompliantResources, ` ($(if ($null -ne $r.SecureScorePercentage) { "$($r.SecureScorePercentage)%" } else { "n.v.t." }))) } } catch { Write-Error $_ exit 1 } # ================================================================================ # Standaard Invoke-* Functions (conform Azure script-schema) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert configuratie (delegeert naar remediatie) #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Voert de monitoringcheck uit voor geautomatiseerde compliance #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "" -ForegroundColor White Write-Host "========================================" -ForegroundColor Cyan Write-Host $PolicyName -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host ("Subscripties : {0}" -f $r.TotalSubscriptions) -ForegroundColor White Write-Host ("Niet-conforme resources : {0}" -f $r.NonCompliantResources) -ForegroundColor White if ($null -ne $r.SecureScorePercentage) { Write-Host ("Gemiddelde secure score : {0}%" -f $r.SecureScorePercentage) -ForegroundColor White } else { Write-Host "Gemiddelde secure score : n.v.t. (geen gegevens beschikbaar)" -ForegroundColor Yellow } if ($r.NonCompliantResources -gt 0) { Write-Host "" -ForegroundColor White Write-Host "[WAARSCHUWING] Er zijn niet-conforme resources gedetecteerd. Raadpleeg Azure Policy en Defender for Cloud voor details." -ForegroundColor Yellow } if ($null -ne $r.SecureScorePercentage -and $r.SecureScorePercentage -lt 60) { Write-Host "[WAARSCHUWING] De gemiddelde secure score ligt onder 60%. Onderzoek welke aanbevelingen openstaan en prioriteer verbeteracties." -ForegroundColor Yellow } } else { $r = Test-Compliance Write-Host "" Write-Host ("Azure geautomatiseerde compliance: {0} subscripties, {1} niet-conforme resources, secure score {2}" -f ` $r.TotalSubscriptions, ` $r.NonCompliantResources, ` ($(if ($null -ne $r.SecureScorePercentage) { "$($r.SecureScorePercentage)%" } else { "n.v.t." }))) } } catch { Write-Error $_ exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Ondersteunt remediatie door monitoringresultaten te presenteren .DESCRIPTION Dit script voert geen automatische remediatie uit, maar geeft duidelijke aanwijzingen om Azure Policy en Defender for Cloud te gebruiken voor het oplossen van niet-conforme configuraties. #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoringgerichte control zonder automatische remediatie." -ForegroundColor Yellow Write-Host "[INFO] Gebruik de resultaten om Azure Policy-assignments en Defender for Cloud-aanbevelingen te analyseren." -ForegroundColor Yellow Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder geautomatiseerde compliance-controles in Azure ontstaat een groot risico dat afwijkingen van beveiligings- en normenkaders te laat worden ontdekt, waardoor misconfiguraties, datalekken en niet-naleving van BIO, NIS2 en AVG onopgemerkt blijven. Dit kan leiden tot langdurige onveilige situaties, boetes, verplichte herstelmaatregelen, reputatieschade en verlies van vertrouwen van burgers en toezichthouders.

Management Samenvatting

Geautomatiseerde compliance in Azure combineert Azure Policy, Microsoft Defender for Cloud en centrale rapportage om continu inzicht te geven in de naleving van beveiligings- en normenkaders. Door beleid als code te beheren, uitzonderingen formeel vast te leggen en monitoring te koppelen aan remediatie en governance, ontstaat een volwassen controleraamwerk dat aantoonbaar bijdraagt aan risicoreductie en auditbaarheid. Dit artikel beschrijft architectuur, implementatie, monitoring en remediatie, inclusief een lichte PowerShell-control voor samenvattende compliance-checks.