💼 Management Samenvatting
Microsoft Purview Compliance Manager biedt Nederlandse overheidsorganisaties een gecentraliseerde oplossing voor het beheren, monitoren en verbeteren van compliance binnen Microsoft 365 omgevingen. Deze tool stelt organisaties in staat om hun nalevingsstatus continu te volgen, verbeteracties te prioriteren en aantoonbaar te voldoen aan regelgevingsvereisten zoals BIO, NIS2 en AVG.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
8u (tech: 4u)
Van toepassing op:
✓ M365
Compliance Manager lost fundamentele uitdagingen op die Nederlandse overheidsorganisaties dagelijks tegenkomen bij het beheren van compliance binnen Microsoft 365 omgevingen. De complexiteit van moderne compliancemanagement vereist een systematische aanpak die handmatige processen vervangt door geautomatiseerde oplossingen die realtime inzicht bieden in de nalevingsstatus. Traditioneel gezien moeten organisaties zelf bepalen welke technische controles binnen Microsoft 365 voldoen aan specifieke regelgevingsvereisten, een proces dat maanden kan duren en vol zit met fouten. Compliance Manager transformeert deze uitdaging door vooraf gebouwde beoordelingen te bieden voor meer dan 300 regelgevingskaders, waaronder ISO 27001, BIO Baseline, AVG, NIS2 en NIST. Deze automatische koppeling tussen Microsoft 365 technische controles en regelgevingsvereisten elimineert de noodzaak voor handmatige control mapping en bespaart organisaties aanzienlijke tijd en resources. Het systeem analyseert automatisch de Microsoft 365-configuratie en bepaalt welke controles al zijn geïmplementeerd en welke nog actie vereisen, waardoor organisaties direct inzicht krijgen in hun compliancepositie zonder uitgebreide handmatige audits. De Compliance Score vormt het hart van het systeem en biedt realtime inzicht in de nalevingsstatus binnen Microsoft 365. Deze score, variërend van 0 tot 100 procent, toont niet alleen de actuele compliancepositie maar volgt ook de voortgang over tijd. Dit maakt het mogelijk om trends te identificeren en te bepalen of de organisatie vooruitgang boekt of achteruitgaat. Voor managementrapportage is deze score onmisbaar omdat het beveiligingsinvesteringen rechtvaardigt en aantoont dat compliance-initiatieven effectief zijn. Organisaties kunnen doelen stellen, bijvoorbeeld 70 procent binnen zes maanden en 85 procent binnen een jaar, en deze doelen monitoren via de Compliance Score. Deze kwantitatieve benadering maakt compliance meetbaar en beheersbaar, wat essentieel is voor organisaties die moeten voldoen aan meerdere regelgevingskaders. Verbeteracties vormen een ander kritiek onderdeel van Compliance Manager. Het systeem genereert actiegerichte aanbevelingen die specifiek zijn afgestemd op de Microsoft 365-configuratie van de organisatie. Elke actie bevat gedetailleerde implementatiebegeleiding met duidelijke instructies over wat er moet gebeuren binnen welke Microsoft 365-services, wie verantwoordelijk is en hoe de implementatie moet worden geverifieerd. Links naar technische documentatie zorgen ervoor dat implementatieteams direct toegang hebben tot de benodigde informatie. Waar mogelijk biedt het systeem geautomatiseerde implementatie, waardoor acties direct kunnen worden uitgevoerd zonder handmatige tussenkomst. Deze gecombineerde aanpak van begeleiding en automatisering versnelt de implementatie van controles aanzienlijk en vermindert de kans op fouten. Bewijsbeheer is een aspect van compliance dat vaak wordt onderschat maar cruciaal is voor succesvolle audits. Compliance Manager centraliseert dit proces door organisaties in staat te stellen compliancebewijzen zoals beleidsdocumenten, screenshots van Microsoft 365-configuraties, testresultaten en compliance rapporten te uploaden en te koppelen aan specifieke controles. Dit maakt het voor organisaties veel eenvoudiger om tijdens audits te demonstreren dat ze voldoen aan de vereisten. Zonder gecentraliseerd bewijsbeheer moeten organisaties op het laatste moment documenten verzamelen, wat leidt tot onvolledige of verouderde informatie. Compliance Manager voorkomt dit door bewijs direct te koppelen aan controles zodra deze zijn geïmplementeerd, waardoor auditbereidheid continu wordt behouden. Continue beoordeling vormt de laatste pijler van Compliance Manager. Het systeem volgt configuratiedrift binnen Microsoft 365 en waarschuwt automatisch wanneer configuraties afwijken van beleid of wanneer nieuwe vereisten worden toegevoegd. Deze proactieve monitoring voorkomt dat compliancehiaten verborgen blijven totdat audits falen. Zonder Compliance Manager is handmatige compliance tracking foutgevoelig en tijdrovend. Compliancehiaten blijven verborgen totdat audits falen, remediatieprioriteiten zijn onduidelijk en het aantonen van compliance aan auditors is een documentintensief handmatig proces. Voor organisaties met meerdere compliancevereisten zoals ISO 27001, BIO Baseline, NIS2 en sectorspecifieke regelgeving is Compliance Manager essentieel om de complexiteit te beheersen en ervoor te zorgen dat alle vereisten worden nageleefd binnen Microsoft 365 omgevingen.
PowerShell Modules Vereist
Primary API: Microsoft Graph / Compliance
Connection:
Required Modules: Microsoft.Graph
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph
Implementatie
Compliance Manager voor Microsoft 365 audit en naleving volgt een gestructureerde aanpak die organisaties helpt om compliancebeheer systematisch op te zetten en te onderhouden binnen hun Microsoft 365 omgeving. De implementatie begint met het activeren van beoordelingen voor toepasselijke frameworks. Nederlandse overheidsorganisaties moeten typisch beoordelingen activeren voor ISO 27001, BIO Baseline, NIS2 en AVG, maar kunnen ook sectorspecifieke regelgevingen toevoegen zoals de Wet op de inlichtingen- en veiligheidsdiensten of branchespecifieke normen. Elke beoordeling bevat vooraf gedefinieerde controles die automatisch worden gekoppeld aan de Microsoft 365-omgeving van de organisatie, inclusief Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, Entra ID en andere cloudservices. Het systeem analyseert de configuratie en bepaalt welke controles al zijn geïmplementeerd en welke nog actie vereisen, waardoor organisaties direct inzicht krijgen in hun compliancepositie zonder uitgebreide handmatige audits. Na activatie van beoordelingen genereert Compliance Manager een lijst met verbeteracties die moeten worden geïmplementeerd binnen Microsoft 365. Deze acties moeten worden toegewezen aan verantwoordelijke teams zoals IT voor technische configuraties binnen Microsoft 365-services, Security voor beveiligingsmaatregelen zoals Conditional Access policies en Data Loss Prevention, Compliance voor beleidsdocumentatie en Juridische zaken voor regelgevingsinterpretatie. Elke actie krijgt een eigenaar en een deadline, wat essentieel is voor accountability en voortgang. Zonder duidelijke eigenaar en deadline zullen acties niet worden geïmplementeerd en blijft de Compliance Score laag. De implementatievoortgang wordt gevolgd via Compliance Score trending, een functie die laat zien of de organisatie vooruitgang boekt over tijd. Deze trending analyse helpt om trends te identificeren, bijvoorbeeld of de score stijgt of daalt, en om te bepalen welke acties het meest bijdragen aan verbetering. Organisaties kunnen doelen stellen en deze monitoren via de Compliance Score, wat essentieel is voor managementrapportage en het rechtvaardigen van beveiligingsinvesteringen. Bewijsbeheer vormt een kritiek onderdeel van het proces. Organisaties moeten bewijsdocumenten uploaden bij verbeteracties, zodat ze tijdens audits kunnen aantonen dat controles daadwerkelijk zijn geïmplementeerd en werken zoals bedoeld. Dit bewijs kan bestaan uit screenshots van Microsoft 365-configuraties, beleidsdocumenten, testresultaten en compliance rapporten. Zonder bewijs kunnen auditors niet verifiëren dat de organisatie voldoet aan de vereisten, zelfs als de technische implementatie correct is. Het is belangrijk om bewijs te uploaden zodra een actie is voltooid, niet pas vlak voor een audit, om ervoor te zorgen dat bewijs up-to-date is en om te voorkomen dat documenten op het laatste moment moeten worden verzameld. Kwartaaloverzichten met stakeholders zijn essentieel voor het bespreken van de compliancepositie en het stellen van prioriteiten. Tijdens deze overzichten worden de Compliance Score, voltooide acties en openstaande acties besproken, en worden prioriteiten gesteld voor het volgende kwartaal. Deze regelmatige communicatie zorgt ervoor dat alle stakeholders op de hoogte zijn van de compliancepositie en dat verbeteracties de nodige aandacht krijgen. Rapportage vormt de laatste stap in het proces. Compliance Manager biedt uitgebreide rapportagefunctionaliteiten die organisaties in staat stellen om rapporten te exporteren voor management en auditors. Deze rapporten bevatten informatie over de Compliance Score, voltooide acties, openstaande acties en bewijsdekking, wat essentieel is voor auditbereidheid en managementrapportage. Toegang tot Compliance Manager vindt plaats via het Microsoft Purview complianceportaal, waar organisaties Compliance Manager kunnen openen en alle functionaliteiten kunnen gebruiken.
Vereisten
Voor het effectief gebruiken van Compliance Manager binnen Microsoft 365 zijn specifieke licentievereisten, beheerdersbevoegdheden en technische configuraties noodzakelijk. Deze vereisten vormen de fundamentele basis voor een succesvolle implementatie van compliancebeheer en zijn essentieel om te kunnen voldoen aan compliance-vereisten en beveiligingsbest practices. Organisaties die deze vereisten niet volledig begrijpen of implementeren, lopen het risico dat zij niet beschikken over de benodigde functionaliteit om compliance te monitoren en te verbeteren binnen hun Microsoft 365 omgeving.
De primaire licentievereiste voor Compliance Manager is een Microsoft 365 E3 of E5 licentie voor alle gebruikers en beheerders die toegang nodig hebben tot Compliance Manager functionaliteit. De E3 licentie biedt basisbeoordelingen en toegang tot Compliance Manager, wat voldoende is voor de meeste organisaties die beginnen met compliancemanagement. Deze licentie biedt toegang tot standaard beoordelingen voor veelvoorkomende frameworks zoals ISO 27001 en AVG. Voor organisaties die geavanceerde beoordelingen nodig hebben of die meerdere frameworks moeten beheren, biedt de E5 licentie uitgebreidere functionaliteiten, inclusief toegang tot premium beoordelingen voor meer dan 300 regelgevingskaders, geavanceerde rapportagefunctionaliteiten en uitgebreide bewijsbeheer mogelijkheden. De E5 licentie is met name belangrijk voor Nederlandse overheidsorganisaties die moeten voldoen aan meerdere compliancevereisten zoals BIO Baseline, NIS2, AVG en ISO 27001, omdat deze licentie toegang biedt tot alle benodigde beoordelingen en functionaliteiten. Voor organisaties die alleen basiscompliancebeheer nodig hebben, kan E3 voldoende zijn, maar voor organisaties die uitgebreide compliancebeoordelingen en rapportage nodig hebben, is E5 aanbevolen.
Naast licentievereisten is een specifieke beheerdersrol vereist om Compliance Manager te kunnen gebruiken en beheren. De Compliance Administrator rol is de primaire rol die nodig is voor het activeren van beoordelingen, het beheren van verbeteracties en het configureren van Compliance Manager instellingen. Deze rol kan worden toegewezen via het Microsoft 365 admin center of het Microsoft Entra admin center, of via PowerShell met behulp van de Microsoft Graph PowerShell module. De Compliance Administrator beschikt over de benodigde rechten om beoordelingen te activeren, verbeteracties te beheren, bewijsdocumenten te uploaden en rapporten te exporteren. Daarnaast is de Compliance Data Administrator rol nodig voor het uploaden en beheren van bewijsdocumenten die worden gebruikt om compliance aan te tonen tijdens audits. Deze rol kan worden toegewezen aan compliance officers of andere medewerkers die verantwoordelijk zijn voor het beheren van compliancebewijzen. Het is belangrijk te realiseren dat deze rollen gevoelige bevoegdheden bevatten, omdat Compliance Manager informatie kan bevatten over de compliancepositie van de organisatie, beveiligingsconfiguraties en andere gevoelige informatie. Daarom moeten de rollen alleen worden toegewezen aan vertrouwde beheerders die een security clearance hebben en die zijn getraind in het omgaan met gevoelige informatie. Organisaties moeten een proces implementeren voor het toewijzen en beheren van deze rollen, inclusief regelmatige reviews om te verifiëren dat alleen geautoriseerde personen toegang hebben tot Compliance Manager functionaliteit.
Voor organisaties die Compliance Manager willen integreren met externe systemen zoals Azure Log Analytics, Microsoft Sentinel of andere Security Information and Event Management (SIEM) oplossingen, zijn aanvullende configuraties en machtigingen vereist. De integratie met Azure Log Analytics vereist dat de organisatie beschikt over een Azure Log Analytics workspace en dat de juiste service principal of managed identity is geconfigureerd met de benodigde machtigingen om data te schrijven naar de Log Analytics workspace. Deze integratie maakt het mogelijk om compliancegegevens voor langere perioden te bewaren dan de standaard bewaartermijn die wordt geboden door Compliance Manager, wat essentieel kan zijn voor organisaties die moeten voldoen aan compliance-vereisten die langere retentieperiodes vereisen. Daarnaast biedt integratie met Log Analytics de mogelijkheid om geavanceerde analyses uit te voeren op compliancegegevens, correlaties te leggen tussen verschillende gebeurtenissen en geautomatiseerde detectieregels te implementeren die complianceproblemen kunnen identificeren.
Technische vereisten omvatten ook de beschikbaarheid van PowerShell-modules en de juiste netwerkconnectiviteit. Beheerders die Compliance Manager willen beheren via PowerShell moeten beschikken over de Microsoft Graph PowerShell module, die kan worden geïnstalleerd via de PowerShell Gallery. Deze module bevat de benodigde cmdlets voor het werken met Compliance Manager, zoals cmdlets voor het activeren van beoordelingen, het beheren van verbeteracties en het exporteren van rapporten. Daarnaast moeten beheerders beschikken over netwerkconnectiviteit naar Microsoft 365 services, wat meestal betekent dat zij toegang hebben tot internet of dat er een ExpressRoute-verbinding is geconfigureerd voor organisaties die privéconnectiviteit vereisen. Voor organisaties met strikte netwerkbeveiliging kunnen aanvullende firewallregels nodig zijn om toegang te verlenen tot de benodigde Microsoft 365 endpoints voor Compliance Manager functionaliteit.
Het is cruciaal te realiseren dat zonder de juiste licentie en bevoegdheden de Compliance Manager functionaliteit niet beschikbaar is en organisaties niet kunnen voldoen aan compliance-vereisten zoals vastgelegd in de AVG, NIS2 richtlijn en andere relevante wet- en regelgeving voor de Nederlandse publieke sector. Het ontbreken van adequate compliancebeheer kan leiden tot niet-naleving van deze vereisten, wat kan resulteren in boetes, reputatieschade en juridische aansprakelijkheid. Daarom moeten organisaties ervoor zorgen dat alle vereisten volledig zijn geïmplementeerd voordat zij afhankelijk worden van Compliance Manager voor compliance-doeleinden.
Implementatie
De implementatie van Compliance Manager binnen Microsoft 365 vereist een gestructureerde aanpak die begint met verificatie van de huidige status, gevolgd door activatie van beoordelingen, configuratie en validatie van de compliancebeheer functionaliteit. Hoewel Compliance Manager beschikbaar is voor organisaties met E3 of E5 licenties, is het essentieel om te verifiëren dat de functionaliteit daadwerkelijk actief is en dat alle benodigde beoordelingen zijn geactiveerd. Het ontbreken van deze verificatie kan leiden tot situaties waarin organisaties ervan uitgaan dat compliancebeheer actief is, terwijl in werkelijkheid bepaalde beoordelingen niet zijn geactiveerd, wat kan resulteren in onvolledige compliancebeoordelingen en niet-naleving van compliance-vereisten.
De eerste stap in het implementatieproces is het navigeren naar het Microsoft Purview complianceportaal via compliance.microsoft.com. Een beheerder met de Compliance Administrator rol kan hier naar Compliance Manager navigeren en de status van beoordelingen controleren. In Compliance Manager wordt getoond welke beoordelingen zijn geactiveerd, wat de actuele Compliance Score is, en welke verbeteracties open staan. Voor Nederlandse overheidsorganisaties is het belangrijk om beoordelingen te activeren voor ISO 27001, BIO Baseline, NIS2 en AVG, omdat deze frameworks verplicht zijn voor de publieke sector. Het activeren van beoordelingen kan worden gedaan door te klikken op 'Beoordeling toevoegen' en de relevante templates te selecteren. Elke template bevat vooraf gedefinieerde controles die automatisch worden gekoppeld aan de Microsoft 365-omgeving van de organisatie, waardoor organisaties direct inzicht krijgen in hun compliancepositie zonder uitgebreide handmatige audits.
Na het activeren van beoordelingen genereert Compliance Manager automatisch een lijst met verbeteracties die moeten worden geïmplementeerd om de compliancepositie te verbeteren. Deze acties moeten worden beoordeeld en geprioriteerd op basis van hun impact op de Compliance Score en de beveiliging van de organisatie. Acties met een hoge impactscore moeten eerst worden aangepakt omdat deze het meest bijdragen aan de Compliance Score en daarmee direct de nalevingsstatus verbeteren. Elke actie moet worden toegewezen aan een verantwoordelijke persoon of team die de expertise en autoriteit heeft om de actie daadwerkelijk te implementeren. Dit kan het securityteam zijn voor beveiligingsconfiguraties, IT-operations voor infrastructuurwijzigingen, de compliance officer voor beleidsdocumentatie, of gespecialiseerde teams voor specifieke domeinen. Het is belangrijk om eigenaren te selecteren op basis van hun expertise en niet alleen op basis van beschikbaarheid, omdat onervaren eigenaren fouten kunnen maken of acties verkeerd kunnen implementeren. Stel realistische deadlines in op basis van de prioriteit van de actie, de complexiteit van de implementatie, en de beschikbare capaciteit van het toegewezen team.
De implementatie van verbeteracties moet worden uitgevoerd volgens de begeleiding die Compliance Manager biedt. Elke actie bevat gedetailleerde implementatiebegeleiding met duidelijke instructies over wat er precies moet gebeuren, welke specifieke configuraties moeten worden gewijzigd in welke Microsoft 365-services, welke instellingen moeten worden aangepast, en hoe de implementatie moet worden geverifieerd om te bevestigen dat de controle correct werkt. Gebruik de gelinkte technische documentatie voor diepgaande informatie over specifieke functies, omdat deze vaak aanvullende context biedt over waarom bepaalde configuraties belangrijk zijn en wat de impact is op gebruikerservaring en beveiliging. Het is belangrijk om tijdens de implementatie de status van elke actie bij te werken in Compliance Manager door de workflowfunctionaliteit te gebruiken. De beschikbare statussen zijn: niet gestart wanneer de actie nog moet beginnen, in uitvoering wanneer de implementatie bezig is, geïmplementeerd wanneer de technische wijzigingen zijn doorgevoerd maar nog niet zijn geverifieerd, in testfase wanneer de implementatie wordt getest om te bevestigen dat deze werkt zoals bedoeld, en voltooid wanneer de actie volledig is geïmplementeerd en geverifieerd.
Na het implementeren van verbeteracties is het essentieel om bewijsdocumenten te uploaden die aantonen dat controles daadwerkelijk zijn geïmplementeerd en correct functioneren. Dit bewijsbeheer is een cruciaal onderdeel van compliancemanagement omdat het de basis vormt voor succesvolle audits en certificeringstrajecten. Koppel verschillende soorten bewijsdocumenten aan verbeteracties, waaronder screenshots van Microsoft 365-configuraties die aantonen dat instellingen correct zijn geconfigureerd, beleidsdocumenten die beschrijven welke maatregelen zijn genomen en waarom, testresultaten die verifiëren dat controles daadwerkelijk werken zoals bedoeld, compliance rapporten die de nalevingsstatus documenteren, en andere relevante documentatie. Dit bewijs is essentieel voor audits omdat auditors niet kunnen verifiëren dat de organisatie voldoet aan regelgevingsvereisten zonder concrete documentatie die aantoont dat controles zijn geïmplementeerd en werken zoals bedoeld. Het is daarom cruciaal om bewijs te uploaden zodra een actie is voltooid en geverifieerd, niet pas vlak voor een audit wanneer documenten mogelijk verloren zijn gegaan, verouderd zijn, of niet meer beschikbaar zijn.
Na het configureren van Compliance Manager en het implementeren van verbeteracties, is het belangrijk om regelmatig te verifiëren dat de compliancebeheer functionaliteit correct blijft functioneren. Dit kan worden gedaan door periodiek de Compliance Score te controleren, verbeteracties te reviewen en te verifiëren dat beoordelingen actief blijven. Daarnaast moeten organisaties processen implementeren voor het monitoren van de gezondheid van de compliancebeheer infrastructuur, inclusief het controleren of beoordelingen correct worden bijgewerkt wanneer nieuwe regelgevingsvereisten worden toegevoegd. Door deze verificaties regelmatig uit te voeren kunnen organisaties ervoor zorgen dat zij altijd beschikken over complete compliancebeoordelingen die essentieel zijn voor compliance-doeleinden en audits.
Compliance en Auditing
Compliance Manager is een fundamentele vereiste voor naleving van verschillende cybersecurity frameworks en wet- en regelgeving die van toepassing zijn op Nederlandse overheidsorganisaties. Zonder uitgebreide compliancebeheer kunnen organisaties niet voldoen aan de vereisten van internationale standaarden zoals CIS, ISO 27001 en sectorspecifieke regelgeving zoals de AVG en NIS2 richtlijn. Deze frameworks vereisen allemaal dat organisaties kunnen aantonen dat zij passende maatregelen hebben genomen om compliance te monitoren en te verbeteren, wat essentieel is voor het waarborgen van beveiliging, transparantie en verantwoording. Het ontbreken van adequate compliancebeheer kan leiden tot niet-naleving van deze vereisten, wat kan resulteren in boetes, reputatieschade en juridische aansprakelijkheid.
De Baseline Informatiebeveiliging Overheid (BIO) norm 16.03 vereist dat organisaties compliancebeheer implementeren en continu monitoren. Deze norm is specifiek ontwikkeld voor de Nederlandse publieke sector en stelt eisen aan het beheren van compliance binnen IT-systemen. De BIO is een verplicht framework voor Nederlandse overheidsorganisaties en vormt de basis voor informatiebeveiliging binnen de publieke sector. Norm 16.03 specificeert dat organisaties moeten kunnen aantonen dat zij compliancebeheer hebben geïmplementeerd, dat zij regelmatig compliancebeoordelingen uitvoeren, en dat zij processen hebben geïmplementeerd voor het verbeteren van de compliancepositie. Voor Microsoft 365 omgevingen betekent dit dat Compliance Manager moet zijn geactiveerd en dat organisaties kunnen aantonen dat zij regelmatig compliancebeoordelingen uitvoeren en dat zij processen hebben voor het verbeteren van de compliancepositie op basis van verbeteracties.
De ISO 27001 standaard, controle A.18.2.1, vereist eveneens compliancebeheer en het monitoren van naleving van wet- en regelgeving. Deze internationale standaard wordt veelvuldig gebruikt door Nederlandse organisaties die certificering nastreven en vormt een belangrijke basis voor informatiebeveiligingsmanagement. Controle A.18.2.1 specificeert dat organisaties moeten kunnen aantonen dat zij compliancebeheer hebben geïmplementeerd, dat zij regelmatig compliancebeoordelingen uitvoeren, en dat zij processen hebben geïmplementeerd voor het verbeteren van de compliancepositie. Voor Microsoft 365 omgevingen betekent dit dat Compliance Manager moet zijn geactiveerd en dat organisaties kunnen aantonen dat zij voldoen aan de vereisten van deze controle. Het niet implementeren van adequate compliancebeheer kan leiden tot niet-naleving van ISO 27001, wat kan resulteren in het verlies van certificering en reputatieschade.
De Algemene Verordening Gegevensbescherming (AVG), Artikel 32, verplicht organisaties om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen, waarbij compliancebeheer een essentieel onderdeel vormt. Artikel 32 specificeert dat organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om persoonsgegevens te beveiligen, wat onder andere betekent dat zij moeten kunnen monitoren of zij voldoen aan AVG-vereisten en dat zij processen hebben voor het verbeteren van de compliancepositie. Voor Microsoft 365 omgevingen betekent dit dat Compliance Manager moet zijn geactiveerd met AVG-beoordelingen en dat organisaties kunnen aantonen dat zij regelmatig compliancebeoordelingen uitvoeren en dat zij processen hebben voor het verbeteren van de compliancepositie op basis van verbeteracties. Het niet implementeren van adequate compliancebeheer kan leiden tot niet-naleving van de AVG, wat kan resulteren in boetes tot 4 procent van de wereldwijde jaaromzet of 20 miljoen euro, afhankelijk van wat hoger is.
De NIS2 richtlijn, Artikel 21, stelt specifieke eisen aan essentiële en belangrijke entiteiten met betrekking tot compliancebeheer en het monitoren van naleving van wet- en regelgeving. Nederlandse organisaties die onder de reikwijdte van NIS2 vallen, moeten kunnen aantonen dat zij beschikken over adequate compliancebeheer capaciteiten om te voldoen aan regelgevingsvereisten. Artikel 21 specificeert dat organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om compliance te monitoren en te verbeteren, wat onder andere betekent dat zij moeten beschikken over uitgebreide compliancebeheer die alle relevante regelgevingsvereisten vastlegt. Voor Microsoft 365 omgevingen betekent dit dat Compliance Manager moet zijn geactiveerd met NIS2-beoordelingen en dat organisaties kunnen aantonen dat zij regelmatig compliancebeoordelingen uitvoeren en dat zij processen hebben voor het verbeteren van de compliancepositie op basis van verbeteracties. Het niet implementeren van adequate compliancebeheer kan leiden tot niet-naleving van NIS2, wat kan resulteren in boetes en andere handhavingsmaatregelen door de Autoriteit Consument en Markt (ACM) of andere toezichthouders.
Monitoring
Gebruik PowerShell-script compliance-manager.ps1 (functie Invoke-Monitoring) – Automatiseert de verificatie van Compliance Manager status en controleert of beoordelingen actief zijn.
Effectieve monitoring van Compliance Manager binnen Microsoft 365 is essentieel om te waarborgen dat de compliancebeheer functionaliteit correct blijft functioneren en dat organisaties altijd beschikken over complete compliancebeoordelingen die essentieel zijn voor compliance-doeleinden en audits. Zonder uitgebreide monitoring kunnen organisaties niet garanderen dat Compliance Manager actief is, dat alle relevante beoordelingen zijn geactiveerd, en dat er geen problemen zijn met de compliancebeheer infrastructuur die kunnen leiden tot onvolledige compliancebeoordelingen. Monitoring omvat het continu volgen van de status van Compliance Manager, het verifiëren dat beoordelingen actief zijn, het controleren van de Compliance Score, en het waarborgen dat verbeteracties worden geïmplementeerd zoals gepland.
De basis van monitoring wordt gevormd door regelmatige verificatie van de status van Compliance Manager via het Microsoft Purview complianceportaal of via PowerShell. Beheerders moeten wekelijks controleren of Compliance Manager actief is, welke beoordelingen zijn geactiveerd, wat de actuele Compliance Score is, en of er waarschuwingen of foutmeldingen zijn die kunnen wijzen op problemen met de compliancebeheer functionaliteit. Deze verificatie kan worden geautomatiseerd via PowerShell-scripts die de status van Compliance Manager controleren en waarschuwingen genereren wanneer problemen worden gedetecteerd. Het is belangrijk om deze verificaties regelmatig uit te voeren, omdat configuratiewijzigingen of beheerdersfouten kunnen leiden tot het onbedoeld deactiveren van beoordelingen, wat kan resulteren in onvolledige compliancebeoordelingen en niet-naleving van compliance-vereisten.
Naast het controleren van de status van Compliance Manager moeten organisaties regelmatig verifiëren dat beoordelingen actief zijn en dat de Compliance Score accuraat is. Dit kan worden gedaan door de Compliance Score te controleren via het dashboard en te verifiëren dat beoordelingen correct worden bijgewerkt wanneer nieuwe regelgevingsvereisten worden toegevoegd. Als de Compliance Score onverwacht daalt of als beoordelingen niet worden bijgewerkt, kan dit wijzen op problemen met de compliancebeheer configuratie die moeten worden opgelost. Organisaties moeten processen implementeren voor het regelmatig uitvoeren van deze verificaties, waarbij wekelijks wordt gecontroleerd of Compliance Manager correct functioneert en waarbij waarschuwingen worden gegenereerd wanneer problemen worden gedetecteerd.
Voor organisaties die Compliance Manager integreren met Azure Log Analytics of andere externe systemen, is het essentieel om te monitoren of de integratie correct functioneert. Dit omvat het controleren of compliancegegevens daadwerkelijk worden geëxporteerd naar de externe systemen, of er geen fouten zijn in het exportproces, en of de export binnen de verwachte tijdsframes plaatsvindt. Problemen met de export kunnen leiden tot situaties waarin compliancegegevens niet beschikbaar zijn in externe systemen, wat kan resulteren in onvolledige compliancebeoordelingen en problemen met compliance-doeleinden. Organisaties moeten processen implementeren voor het monitoren van de export-functionaliteit, waarbij dagelijks wordt gecontroleerd of export correct functioneert en waarbij waarschuwingen worden gegenereerd wanneer problemen worden gedetecteerd.
Daarnaast moeten organisaties processen implementeren voor het monitoren van de voortgang van verbeteracties, inclusief het controleren of acties worden geïmplementeerd zoals gepland, of deadlines worden gehaald, en of eigenaren verantwoordelijk worden gehouden voor de voortgang. Als acties niet worden geïmplementeerd of als deadlines worden gemist, kan dit leiden tot een dalende Compliance Score en niet-naleving van compliance-vereisten. Organisaties moeten waarschuwingen configureren die worden gegenereerd wanneer acties deadlines missen of wanneer de Compliance Score daalt, zodat proactieve maatregelen kunnen worden genomen om te voorkomen dat complianceproblemen verergeren.
Remediatie
Gebruik PowerShell-script compliance-manager.ps1 (functie Invoke-Remediation) – Activeert Compliance Manager beoordelingen wanneer deze zijn gedeactiveerd en verifieert de configuratie.
Remediatie van Compliance Manager binnen Microsoft 365 omvat het activeren van beoordelingen wanneer deze zijn gedeactiveerd, het corrigeren van configuratiefouten, en het waarborgen dat alle relevante beoordelingen actief zijn. Het is belangrijk om te realiseren dat wanneer beoordelingen zijn gedeactiveerd, er geen compliancebeoordelingen worden uitgevoerd voor de periode waarin de beoordelingen zijn gedeactiveerd, wat kan resulteren in onvolledige compliancebeoordelingen en niet-naleving van compliance-vereisten. Daarom moeten organisaties processen implementeren voor het snel detecteren en oplossen van problemen met Compliance Manager, zodat de impact op compliancebeoordelingen wordt geminimaliseerd.
Wanneer beoordelingen zijn gedeactiveerd, kunnen deze worden geactiveerd via het Microsoft Purview complianceportaal door te navigeren naar Compliance Manager en de relevante beoordelingen te activeren. Na het activeren van beoordelingen begint Compliance Manager onmiddellijk met het analyseren van de Microsoft 365-configuratie en het genereren van verbeteracties, maar het is belangrijk om te realiseren dat compliancebeoordelingen die hebben plaatsgevonden tijdens de periode waarin beoordelingen waren gedeactiveerd, niet kunnen worden gereconstrueerd. Daarom moeten organisaties processen implementeren voor het snel detecteren wanneer beoordelingen zijn gedeactiveerd, zodat beoordelingen zo snel mogelijk kunnen worden geactiveerd en de impact op compliancebeoordelingen wordt geminimaliseerd.
Na het activeren van beoordelingen is het essentieel om te verifiëren dat Compliance Manager correct werkt en dat beoordelingen actief zijn. Dit kan worden gedaan door de Compliance Score te controleren via het dashboard en te verifiëren dat beoordelingen correct worden bijgewerkt. Als de Compliance Score niet wordt bijgewerkt of als beoordelingen niet actief zijn, kan dit wijzen op problemen met de compliancebeheer configuratie die moeten worden opgelost. Organisaties moeten processen implementeren voor het uitvoeren van deze verificaties na het activeren van beoordelingen, zodat kan worden bevestigd dat Compliance Manager correct werkt voordat de organisatie weer afhankelijk wordt van compliancebeheer voor compliance-doeleinden.
Voor organisaties die Compliance Manager integreren met Azure Log Analytics of andere externe systemen, is het belangrijk om te verifiëren dat de integratie correct functioneert na het activeren van beoordelingen. Dit omvat het controleren of compliancegegevens daadwerkelijk worden geëxporteerd naar de externe systemen, of er geen fouten zijn in het exportproces, en of de export binnen de verwachte tijdsframes plaatsvindt. Als er problemen zijn met de export, moeten deze worden opgelost voordat de organisatie weer afhankelijk wordt van compliancebeheer voor compliance-doeleinden. Organisaties moeten processen implementeren voor het verifiëren van de export-functionaliteit na het activeren van beoordelingen, zodat kan worden bevestigd dat de export correct werkt.
Daarnaast moeten organisaties processen implementeren voor het onderzoeken van de oorzaak van het deactiveren van beoordelingen, zodat preventieve maatregelen kunnen worden genomen om te voorkomen dat het probleem opnieuw optreedt. Dit kan bijvoorbeeld betekenen dat beheerders moeten worden getraind in het belang van Compliance Manager, dat configuratiewijzigingen moeten worden gereviewd voordat zij worden doorgevoerd, of dat aanvullende controles moeten worden geïmplementeerd om te voorkomen dat beoordelingen onbedoeld worden gedeactiveerd. Door deze preventieve maatregelen te implementeren kunnen organisaties ervoor zorgen dat Compliance Manager continu actief blijft en dat er geen gaten ontstaan in compliancebeoordelingen die kunnen leiden tot niet-naleving van compliance-vereisten.
Compliance & Frameworks
- BIO: 16.03 - Compliancebeheer en monitoring
- ISO 27001:2022: A.18.2.1 - Compliancebeheer en monitoring
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Compliance Manager voor Audit en Naleving
.DESCRIPTION
Zorgt ervoor dat Microsoft Purview Compliance Manager is geconfigureerd en actief.
Kritiek voor compliancebeheer, auditbereidheid en naleving van regelgevingsvereisten.
.NOTES
Filename: compliance-manager.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Category: audit-compliance
.EXAMPLE
.\compliance-manager.ps1 -Monitoring
Controleer of Compliance Manager actief is
.EXAMPLE
.\compliance-manager.ps1 -Remediation
Activeer Compliance Manager beoordelingen
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter(Mandatory = $false)]
[switch]$Monitoring,
[Parameter(Mandatory = $false)]
[switch]$Remediation,
[Parameter(Mandatory = $false)]
[switch]$Revert,
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Compliance Manager voor Audit en Naleving" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert of Compliance Manager actief is en beoordelingen zijn geactiveerd
#>
try {
Write-Host "Verbinden met Microsoft Graph..." -ForegroundColor Gray
Connect-MgGraph -Scopes "Compliance.Read.All" -NoWelcome -ErrorAction Stop | Out-Null
Write-Host "Controleren van Compliance Manager status..." -ForegroundColor Gray
# Controleer of Compliance Manager beschikbaar is via Graph API
try {
$complianceScore = Get-MgSecurityComplianceScore -ErrorAction SilentlyContinue
if ($null -eq $complianceScore) {
Write-Host " [WAARSCHUWING] Compliance Manager status kan niet worden opgehaald" -ForegroundColor Yellow
Write-Host " Dit kan betekenen dat Compliance Manager niet is geconfigureerd" -ForegroundColor Yellow
Write-Host " of dat de vereiste licenties ontbreken (E3/E5 vereist)" -ForegroundColor Yellow
Write-Host "`n[WAARSCHUWING] STATUS ONBEKEND" -ForegroundColor Yellow
Write-Host "`nAanbeveling:" -ForegroundColor Cyan
Write-Host " • Verifieer dat Microsoft 365 E3 of E5 licenties zijn toegewezen" -ForegroundColor Gray
Write-Host " • Controleer toegang tot compliance.microsoft.com" -ForegroundColor Gray
Write-Host " • Activeer beoordelingen voor ISO 27001, BIO, NIS2 en AVG" -ForegroundColor Gray
exit 1
}
$result = @{
isCompliant = $true
complianceScoreAvailable = $true
}
Write-Host " [OK] Compliance Manager: ACTIEF" -ForegroundColor Green
Write-Host " Compliance Score beschikbaar via Microsoft Graph" -ForegroundColor Cyan
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
Write-Host "`nAanbeveling:" -ForegroundColor Cyan
Write-Host " • Controleer compliance.microsoft.com voor gedetailleerde beoordelingen" -ForegroundColor Gray
Write-Host " • Verifieer dat beoordelingen zijn geactiveerd voor ISO 27001, BIO, NIS2 en AVG" -ForegroundColor Gray
Write-Host " • Review verbeteracties en stel eigenaren en deadlines in" -ForegroundColor Gray
exit 0
}
catch {
Write-Host " [WAARSCHUWING] Compliance Manager API niet beschikbaar" -ForegroundColor Yellow
Write-Host " Fout: $($_.Exception.Message)" -ForegroundColor Yellow
Write-Host "`n[WAARSCHUWING] STATUS ONBEKEND" -ForegroundColor Yellow
Write-Host "`nAanbeveling:" -ForegroundColor Cyan
Write-Host " • Verifieer dat Microsoft 365 E3 of E5 licenties zijn toegewezen" -ForegroundColor Gray
Write-Host " • Controleer toegang tot compliance.microsoft.com" -ForegroundColor Gray
Write-Host " • Activeer beoordelingen voor ISO 27001, BIO, NIS2 en AVG" -ForegroundColor Gray
exit 1
}
}
catch {
Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red
Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red
Write-Host "`nControleer:" -ForegroundColor Yellow
Write-Host " • Microsoft Graph PowerShell module is geïnstalleerd" -ForegroundColor Gray
Write-Host " • U bent aangemeld met een account met Compliance Administrator rechten" -ForegroundColor Gray
Write-Host " • De vereiste Graph API permissions zijn verleend" -ForegroundColor Gray
exit 2
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Activeert Compliance Manager beoordelingen (handmatige stappen)
#>
try {
Write-Host "Verbinden met Microsoft Graph..." -ForegroundColor Gray
Connect-MgGraph -Scopes "Compliance.ReadWrite.All" -NoWelcome -ErrorAction Stop | Out-Null
Write-Host "`nBELANGRIJK: Compliance Manager configuratie vereist handmatige stappen" -ForegroundColor Yellow
Write-Host "`nVolg deze stappen om Compliance Manager te activeren:" -ForegroundColor Cyan
Write-Host "`n1. Navigeer naar compliance.microsoft.com" -ForegroundColor White
Write-Host "2. Open Compliance Manager" -ForegroundColor White
Write-Host "3. Klik op 'Beoordeling toevoegen'" -ForegroundColor White
Write-Host "4. Selecteer de volgende templates:" -ForegroundColor White
Write-Host " • ISO 27001:2013" -ForegroundColor Gray
Write-Host " • BIO Baseline Informatiebeveiliging Overheid" -ForegroundColor Gray
Write-Host " • NIS2 Richtlijn" -ForegroundColor Gray
Write-Host " • AVG (GDPR)" -ForegroundColor Gray
Write-Host "5. Wijs eigenaren toe aan verbeteracties" -ForegroundColor White
Write-Host "6. Stel deadlines in voor kritieke acties" -ForegroundColor White
Write-Host "`nNa activatie controleert dit script de status..." -ForegroundColor Gray
# Wacht even en controleer dan de status
Start-Sleep -Seconds 2
Write-Host "`nControleren van Compliance Manager status..." -ForegroundColor Gray
try {
$complianceScore = Get-MgSecurityComplianceScore -ErrorAction SilentlyContinue
if ($null -ne $complianceScore) {
Write-Host " [OK] Compliance Manager API beschikbaar" -ForegroundColor Green
Write-Host "`n[OK] Basisconfiguratie voltooid" -ForegroundColor Green
Write-Host "`nVolgende stappen:" -ForegroundColor Cyan
Write-Host " • Activeer beoordelingen via compliance.microsoft.com" -ForegroundColor Gray
Write-Host " • Review en implementeer verbeteracties" -ForegroundColor Gray
Write-Host " • Upload bewijsdocumenten bij voltooide acties" -ForegroundColor Gray
exit 0
}
else {
Write-Host " [INFO] Compliance Manager API nog niet beschikbaar" -ForegroundColor Yellow
Write-Host " Dit is normaal na eerste configuratie" -ForegroundColor Gray
Write-Host "`n[INFO] Handmatige configuratie vereist" -ForegroundColor Yellow
exit 0
}
}
catch {
Write-Host " [INFO] Compliance Manager API nog niet beschikbaar" -ForegroundColor Yellow
Write-Host " Volg de handmatige stappen hierboven" -ForegroundColor Gray
Write-Host "`n[INFO] Handmatige configuratie vereist" -ForegroundColor Yellow
exit 0
}
}
catch {
Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red
Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red
exit 2
}
}
function Invoke-Revert {
<#
.SYNOPSIS
Deactiveert Compliance Manager beoordelingen (NIET AANBEVOLEN!)
#>
try {
Write-Host "WARNING: Deactiveren van Compliance Manager is een COMPLIANCE RISICO!" -ForegroundColor Red
Write-Host "Dit voorkomt compliancebeheer en auditbereidheid`n" -ForegroundColor Red
Write-Host "BELANGRIJK: Compliance Manager deactiveren vereist handmatige stappen" -ForegroundColor Yellow
Write-Host "`nVolg deze stappen (NIET AANBEVOLEN):" -ForegroundColor Cyan
Write-Host "1. Navigeer naar compliance.microsoft.com" -ForegroundColor White
Write-Host "2. Open Compliance Manager" -ForegroundColor White
Write-Host "3. Verwijder beoordelingen (NIET AANBEVOLEN!)" -ForegroundColor Red
Write-Host "`n[WAARSCHUWING] Deze actie wordt NIET aanbevolen" -ForegroundColor Red
exit 0
}
catch {
Write-Host "ERROR: $_" -ForegroundColor Red
exit 2
}
}
try {
if ($Revert) {
Invoke-Revert
}
elseif ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
Write-Host "Usage:" -ForegroundColor Yellow
Write-Host " -Monitoring Controleer of Compliance Manager actief is" -ForegroundColor Gray
Write-Host " -Remediation Activeer Compliance Manager beoordelingen" -ForegroundColor Gray
Write-Host " -Revert Deactiveer Compliance Manager (NIET AANBEVOLEN!)" -ForegroundColor Red
}
}
catch {
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
if (Get-Command -Name "Disconnect-MgGraph" -ErrorAction SilentlyContinue) {
Disconnect-MgGraph | Out-Null
}
}
Risico zonder implementatie
Risico zonder implementatie
High: Hoog - Zonder Compliance Manager kunnen organisaties niet aantoonbaar voldoen aan regelgevingsvereisten, compliancehiaten blijven verborgen en audits falen.
Management Samenvatting
Activeer Compliance Manager beoordelingen voor ISO 27001, BIO, NIS2 en AVG. Essentieel voor aantoonbare compliance. Voldoet aan BIO 16.03, ISO 27001 A.18.2.1, AVG Artikel 32. Implementatie: 8 uur.
- Implementatietijd: 8 uur
- FTE required: 0.05 FTE