BIO 12.04 ISO A.8.2.2

Retentiebeleid Voor Microsoft 365 Volledig Geconfigureerd

📅 2025-11-26
⏱️ 7 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Goed ontworpen en correct geconfigureerde retentiebeleid in Microsoft 365 vormen de ruggengraat van gegevensbeheer binnen Nederlandse overheidsorganisaties. Zij bepalen welke informatie hoe lang bewaard moet blijven, wanneer gegevens definitief mogen worden verwijderd en hoe juridische en archiefrechtelijke verplichtingen worden afgedekt over alle workloads heen, waaronder Exchange Online, SharePoint Online, OneDrive for Business en Microsoft Teams.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
20u (tech: 8u)
Van toepassing op:
M365
Exchange Online
SharePoint
OneDrive
Teams

Zonder een consistent en organisatiebreed ingericht retentiebeleid ontstaat er een gefragmenteerd landschap waarin gegevens willekeurig worden bewaard of verwijderd. Dit leidt tot risico’s op non-compliance met de Archiefwet, de Algemene Verordening Gegevensbescherming (AVG), de Baseline Informatiebeveiliging Overheid (BIO) en de NIS2-richtlijn. Medewerkers nemen dan vaak zelf beslissingen over bewaartermijnen, wat kan resulteren in te lange opslag van persoonsgegevens, onvoldoende vernietiging van verouderde informatie, of juist het te vroeg verwijderen van kritieke dossiers en e-mailcorrespondentie die nodig zijn voor verantwoording, audits of parlementaire onderzoeken. Een centraal ontworpen en technisch afgedwongen retentiearchitectuur zorgt daarentegen voor voorspelbaar gedrag, uniforme bewaartermijnen en aantoonbare naleving, waardoor bestuurders, CISO’s en FG’s grip houden op informatie gedurende de volledige levenscyclus.

PowerShell Modules Vereist
Primary API: Security & Compliance PowerShell
Connection: Connect-IPPSSession
Required Modules: ExchangeOnlineManagement

Implementatie

Een volledig geconfigureerd retentiebeleid in Microsoft 365 betekent dat er op organisatieniveau een samenhangende set van retentiepolicies en retentieregels is ingericht, afgestemd op wettelijke bewaartermijnen, interne beleidskaders en archiefschema’s. Deze policies dekken alle relevante workloads af en bevatten duidelijke bewaartermijnen, acties bij het verlopen van de termijn (bewaren of verwijderen), en selectieve toepassing op specifieke locaties zoals SharePoint-sites, Teams-kanalen, Exchange-postvakken en OneDrive-accounts. Daarnaast zijn er ondersteunende processen ingericht voor governance, zoals periodieke review van de configuratie, samenwerking tussen informatiebeheerders, juristen, archivarissen en IT-beheerders, en vastlegging van beslissingen in formeel goedgekeurd beleid. In deze richtlijn wordt stap voor stap beschreven hoe Nederlandse overheidsorganisaties hun retentiebeleid in Microsoft 365 kunnen ontwerpen, implementeren, monitoren en onderhouden op een manier die aansluit op de Nederlandse juridische context en de eisen van de Nederlandse Baseline voor Veilige Cloud.

Vereisten

Voor het succesvol ontwerpen en configureren van retentiebeleid in Microsoft 365 is een combinatie van juridische, organisatorische en technische vereisten noodzakelijk. Juridisch gezien moet de organisatie beschikken over een actueel en door het bestuur vastgesteld bewaarschema dat is afgeleid van de Archiefwet, relevante sectorale regelgeving en interne beleidsafspraken over bewaartermijnen voor zowel zaakdossiers als ondersteunende documentatie. Dit bewaarschema definieert per informatiecategorie of er sprake is van blijvend te bewaren archief, een vaste bewaartermijn (bijvoorbeeld zeven of tien jaar) of een kortdurende operationele retentie. Daarnaast moeten de Functionaris Gegevensbescherming (FG), de privacy officers en de informatiebeheerder expliciet betrokken zijn bij de vertaling van dit bewaarschema naar concrete retentieregels in Microsoft 365, zodat persoonsgegevens niet langer worden bewaard dan noodzakelijk en er rekening wordt gehouden met bijzondere categorieën van persoonsgegevens en gevoelige overheidsinformatie.

Organisatorisch is het noodzakelijk dat er een duidelijke governancestructuur is ingericht rondom data lifecycle management. Dit houdt in dat rollen en verantwoordelijkheden zijn vastgelegd voor het ontwerpen, implementeren, testen en beheren van retentiebeleid. Typisch zijn hierbij betrokken: een beleidsverantwoordelijke voor informatiebeheer, een CISO of security officer die toeziet op de beveiligingsimpact, een jurist of compliance officer die de juridische kaders borgt, en een technisch beheerteam dat de configuratie in Microsoft 365 uitvoert. Er moet een formeel besluitvormingsproces zijn voor het toevoegen, wijzigen of verwijderen van retentiepolicies, inclusief documentatie van de onderbouwing en de impactanalyse op lopende dossiers, lopende onderzoeken en lopende juridische procedures. Zonder deze governance ontstaat het risico dat retentieregels ad hoc worden aangepast, wat kan leiden tot inconsistenties, onduidelijkheid voor gebruikers en mogelijke schending van bewaarplichten.

Technisch gezien vereist een volwassen retentieconfiguratie minimaal Microsoft 365 E3- of E5-licenties voor de relevante gebruikerspopulatie, omdat deze licenties toegang bieden tot Microsoft Purview Data Lifecycle Management (voorheen bekend als Retention). Daarnaast moet de organisatie beschikken over beheerdersaccounts met de juiste rollen, zoals Compliance Administrator en Data Lifecycle Management Administrator, zodat retentiepolicies kunnen worden aangemaakt, aangepast en getest in het Purview-portaal. Voor monitoring en geautomatiseerde controles is de ExchangeOnlineManagement PowerShell-module vereist, in combinatie met een veilige manier om verbinding te maken met de Security & Compliance-omgeving via Connect-IPPSSession. Ten slotte is een stabiele netwerkverbinding naar de Microsoft 365-cloud noodzakelijk en moeten eventuele outbound firewallregels zodanig zijn ingericht dat beheerportalen en PowerShell-eindpunten bereikbaar zijn.

Naast juridische, organisatorische en technische randvoorwaarden is er ook een volwassenheidsaspect. De organisatie moet in staat zijn om haar informatiearchitectuur te beschrijven, waaronder welke SharePoint-sites, Teams, groepsmailboxen en OneDrive-accounts kritieke data bevatten, welke processen afhankelijk zijn van langdurige opslag en waar persoonsgegevens met een kortere bewaartermijn zich bevinden. Zonder dit inzicht bestaat het risico dat generieke retentiepolicies te grofmazig worden toegepast, waardoor óf te veel informatie wordt bewaard óf cruciale informatie onbedoeld wordt verwijderd. Daarom is een voorafgaande analyse van de informatiearchitectuur en gegevensstromen een essentieel vereiste voordat grootschalige retentiepolicies in productie worden gebracht.

Implementatie

De implementatie van retentiebeleid in Microsoft 365 begint met een ontwerpstap waarin het juridische bewaarschema wordt vertaald naar concrete retentieregels. In deze fase brengen informatiebeheerders en juristen in kaart welke informatiecategorieën in Microsoft 365 voorkomen, hoe deze zich verhouden tot de Archiefwet en interne beleidsafspraken, en welke minimale en maximale bewaartermijnen daarbij horen. Vervolgens wordt bepaald of gegevens na afloop van de bewaartermijn automatisch moeten worden verwijderd, of dat zij blijvend bewaard moeten blijven ter ondersteuning van historische verantwoording of parlementaire controle. Dit ontwerp wordt vastgelegd in een formeel goedgekeurd beleidsdocument waarin per categorie wordt beschreven welke Microsoft 365-locaties onder het beleid vallen, welke retentieregels gelden en welke uitzonderingen van toepassing zijn, bijvoorbeeld voor lopende juridische procedures of Wob/Woo-verzoeken.

Na de ontwerpfase vindt de technische configuratie plaats in het Microsoft Purview-portaal. Een beheerder met de juiste rechten navigeert naar Data Lifecycle Management > Policies > Retention en maakt één of meer retentiepolicies aan die logisch gegroepeerd zijn naar informatiecategorie of organisatorische context, bijvoorbeeld ‘Algemene correspondentie 7 jaar’, ‘Financiële administratie 10 jaar’ of ‘Directieberaad blijvend te bewaren’. Binnen elke policy worden retentieregels (retention rules) gedefinieerd die specificeren hoe lang gegevens bewaard moeten blijven, of de retentie begint bij het aanmaken of het laatste wijzigen van een item en welke actie na afloop moet worden uitgevoerd (verwijderen, behouden of niets doen). De beheerder selecteert vervolgens de locaties waarop de policy van toepassing is, zoals alle Exchange-postvakken, specifieke SharePoint-sites, Teams-channels of geselecteerde OneDrive-accounts. Het is raadzaam om te starten met een beperkte pilotset van locaties zodat het gedrag van de policy gecontroleerd kan worden voordat deze breder wordt uitgerold.

Een cruciale stap in de implementatie is testen en valideren. Voordat een retentiepolicy organisatiebreed wordt ingeschakeld, dient een gecontroleerde testomgeving of een afgebakende pilotgroep te worden gebruikt. In deze omgeving worden testdocumenten, e-mails en Teams-berichten aangemaakt met duidelijke kenmerken, zodat na verloop van tijd geverifieerd kan worden of de retentieregels correct worden toegepast. Administrators documenteren hierbij expliciet welke items onder welk beleid vallen, welke bewaartermijnen verwacht worden en wat de uitkomst na het verstrijken van de termijn moet zijn. Door gebruik te maken van auditlogging en rapportagefunctionaliteit in Purview kan worden vastgesteld of items correct zijn gemarkeerd voor retentie en of verwijderingsacties daadwerkelijk plaatsvinden. Deze validatie wordt gedocumenteerd als onderdeel van de compliance-dossiers, zodat auditors later kunnen nagaan dat de organisatie zorgvuldig is omgegaan met de inrichting van haar retentiebeleid.

Wanneer de tests succesvol zijn afgerond, kan het retentiebeleid gefaseerd worden opgeschaald naar productie. Dit gebeurt idealiter per organisatieonderdeel of per informatiecategorie, zodat eventuele problemen tijdig worden gedetecteerd en hersteld. Communicatie richting gebruikers is in deze fase essentieel: medewerkers moeten begrijpen dat retentiebeleid niet bedoeld is als beperking, maar als bescherming van zowel burgers als de organisatie zelf. Heldere gebruikerscommunicatie beschrijft welke typen informatie onder welke bewaartermijnen vallen, wat medewerkers zelf nog mogen doen met mappenstructuren en opruimacties, en welke onderdelen volledig door het systeem worden beheerd. Tegelijkertijd wordt een beheerproces ingericht voor wijzigingsbeheer, waarbij wijzigingen aan retentiepolicies alleen plaatsvinden na impactanalyse, goedkeuring door de verantwoordelijke functiehouders en, waar nodig, afstemming met archief- en toezichthoudende instanties.

Compliance en Auditing

Een zorgvuldig ingericht retentiebeleid is een directe randvoorwaarde voor naleving van Nederlandse en Europese wet- en regelgeving. De Archiefwet verplicht overheidsorganisaties om archiefbescheiden op systematische wijze te beheren, waarbij onderscheid wordt gemaakt tussen blijvend te bewaren archief en informatie met een eindige bewaartermijn. Door Microsoft 365-retentiepolicies af te stemmen op het formele bewaarschema kan de organisatie aantonen dat zij structureel en aantoonbaar voldoet aan deze wet. Daarnaast sluit een volwassen retentiearchitectuur aan bij de Baseline Informatiebeveiliging Overheid (BIO), waarin onder andere is vastgelegd dat organisaties passende maatregelen moeten treffen om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie gedurende de gehele levenscyclus te borgen. Retentiebeleid vormt hierin een belangrijke schakel, omdat het voorkomt dat cruciale informatie onbedoeld verdwijnt of juist onnodig lang beschikbaar blijft.

Ook vanuit privacywetgeving is retentiebeleid essentieel. De AVG schrijft voor dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk voor het doel waarvoor zij zijn verzameld (dataminimalisatie en opslagbeperking). Door retentiepolicies in Microsoft 365 te koppelen aan specifieke categorieën persoonsgegevens en de daarbij behorende bewaartermijnen, kan de organisatie aantonen dat zij actief maatregelen neemt om opslagbeperking te realiseren. Dit is van belang bij toezicht door de Autoriteit Persoonsgegevens, maar ook bij interne en externe audits. Bovendien ondersteunt een helder ingericht retentiebeleid de afhandeling van rechten van betrokkenen, zoals het recht op verwijdering, omdat duidelijk is waar persoonsgegevens zich bevinden en welke automatische vernietigingsmechanismen actief zijn. In de documentatie bij het retentiebeleid wordt vastgelegd welke juridische grondslag is gebruikt, hoe bewaartermijnen zijn bepaald en hoe uitzonderingen, bijvoorbeeld voor juridische procedures, worden afgehandeld.

De NIS2-richtlijn, die van toepassing is op een groeiende groep essentiële en belangrijke entiteiten in Nederland, legt nadruk op het beheer van informatiebeveiligingsrisico’s, incidentrapportage en continuïteit van dienstverlening. Retentiebeleid in Microsoft 365 draagt hieraan bij doordat het zorgt voor betrouwbare informatievoorziening in het geval van incidentonderzoeken, parlementaire enquêtes en rapportages aan toezichthouders. Als logbestanden, incidentdocumentatie en bestuursrapportages op gestandaardiseerde wijze worden bewaard, wordt het eenvoudiger om achteraf aan te tonen welke maatregelen zijn getroffen en welke besluiten zijn genomen. Dit versterkt de bewijspositie van de organisatie bij onderzoek door toezichthouders of in juridische procedures. In de auditdossiers rond het retentiebeleid worden daarom niet alleen de technische configuraties opgenomen, maar ook de beleidsbesluiten, de argumentatie achter bewaartermijnen en de resultaten van periodieke controles.

Tot slot ondersteunt een goed gedocumenteerd retentiebeleid externe certificerings- en audittrajecten, zoals ISO 27001, ENSIA of sectorspecifieke audits. Auditors vragen in de praktijk vaak om inzicht in bewaarbeleid, toegepaste retentieregels en de wijze waarop deze technisch zijn afgedwongen. Door gebruik te maken van Microsoft Purview-rapportages en aanvullende PowerShell-scripts, zoals het bij dit artikel behorende script voor controle van retentiepolicies, kan de organisatie snel aantonen welke policies actief zijn, welke locaties worden afgedekt en hoe lang gegevens worden bewaard. Dit verkort de doorlooptijd van audits, voorkomt discussie over onduidelijke bewaartermijnen en versterkt het vertrouwen van burgers, toezichthouders en ketenpartners in de manier waarop de organisatie met informatie omgaat.

Monitoring

Gebruik PowerShell-script retention-policies-configured.ps1 (functie Invoke-Monitoring) – Controleert of er één of meer actieve retentiepolicies zijn die kernwerkbelastingen (Exchange, SharePoint, OneDrive en Teams/M365 Groups) volgens de Nederlandse Baseline voor Veilige Cloud afdekken..

Monitoring van retentiebeleid in Microsoft 365 is cruciaal om te borgen dat policies niet alleen zijn ingericht, maar ook actief blijven en de juiste locaties blijven afdekken. Configuraties kunnen in de loop van de tijd onbedoeld wijzigen, bijvoorbeeld door reorganisaties, migraties of wijzigingen in de informatiearchitectuur. Daarom is het noodzakelijk om periodiek, bij voorkeur geautomatiseerd, te controleren welke retentiepolicies bestaan, welke workloads en locaties zij afdekken en of zij daadwerkelijk zijn ingeschakeld. Dit artikel gaat ervan uit dat organisaties minimaal maandelijks een controle uitvoeren via scripts of Purview-rapportages en dat afwijkingen worden vastgelegd en opgevolgd via een formeel wijzigingsbeheerproces.

Remediatie

Gebruik PowerShell-script retention-policies-configured.ps1 (functie Invoke-Remediation) – Probeert een basis retentiepolicy te creëren of geeft duidelijke handmatige stappen om dit via Microsoft Purview in te richten wanneer automatische remediatie niet mogelijk is..

Wanneer uit monitoring blijkt dat er onvoldoende of onjuist geconfigureerde retentiepolicies aanwezig zijn, moet de organisatie gericht kunnen bijsturen. Remediatie begint met het analyseren van de huidige situatie: welke policies bestaan er, welke bewaartermijnen gebruiken zij, welke locaties worden afgedekt en welke hiaten zijn zichtbaar in vergelijking met het bewaarschema. Vervolgens worden, in overleg tussen juristen, informatiebeheerders en IT, voorstellen gemaakt om ontbrekende policies toe te voegen of bestaande policies aan te passen. In veel gevallen kan een basis retentiepolicy worden aangemaakt die generieke bewaartermijnen afdekt voor veelvoorkomende informatiecategorieën, terwijl meer specifieke policies worden gebruikt voor bijzondere dossiers of archiefwaardige informatie. Het bijbehorende PowerShell-script ondersteunt deze remediatie door in eerste instantie te controleren of er al een geschikte policy bestaat en, indien dat niet het geval is, een basisconfiguratie voor te stellen of aan te maken.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Controle op volledige configuratie van retentiepolicies in Microsoft 365 .DESCRIPTION Dit script controleert of er één of meer actieve retentiepolicies aanwezig zijn in Microsoft 365 die kernwerkbelastingen afdekken (Exchange, SharePoint, OneDrive en Microsoft 365 Groups / Teams). Indien er geen geschikte policies bestaan, kan het script een basispolicy voorstellen of aanmaken (optioneel, met -WhatIf), en geeft het duidelijke handmatige stappen om dit via Microsoft Purview te voltooien. Het script is bedoeld voor gebruik in het kader van de Nederlandse Baseline voor Veilige Cloud en ondersteunt compliance met de Archiefwet, AVG en BIO. .NOTES Filename: retention-policies-configured.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-11-26 Last Modified: 2025-11-26 Version: 1.0 Related JSON: content/m365/data-lifecycle-management/retention-policies-configured.json Category: data-lifecycle-management Workload: m365 .LINK https://github.com/m365-tenant-best-practise .EXAMPLE .\retention-policies-configured.ps1 -Monitoring Controleert of er actieve retentiepolicies zijn die alle kernwerkbelastingen afdekken. .EXAMPLE .\retention-policies-configured.ps1 -Remediation Probeert een basis retentiepolicy aan te maken of geeft handmatige vervolgstappen. #> #Requires -Version 5.1 #Requires -Modules ExchangeOnlineManagement [CmdletBinding()] param( [Parameter()] [switch]$Monitoring, [Parameter()] [switch]$Remediation, [Parameter()] [switch]$Revert, [Parameter()] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' # ============================================================================ # HEADER # ============================================================================ Write-Host " ========================================" -ForegroundColor Cyan Write-Host "Retention Policies Configured - M365" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "======================================== " -ForegroundColor Cyan # ============================================================================ # GLOBAL SETTINGS # ============================================================================ $script:BaselinePolicyName = "M365 Baseline Retention Policy" # ============================================================================ # FUNCTIONS # ============================================================================ function Get-RetentionPolicies { <# .SYNOPSIS Haalt alle relevante retentiepolicies op #> [CmdletBinding()] param() # Get-RetentionCompliancePolicy wordt gebruikt voor zowel retentie- als labelscenario's. # We filteren hier op policies met ten minste één retentie-regel (RetentionComplianceRule). $policies = Get-RetentionCompliancePolicy -ErrorAction Stop $allRules = Get-RetentionComplianceRule -ErrorAction SilentlyContinue $retentionPolicies = foreach ($policy in $policies) { $rulesForPolicy = $allRules | Where-Object { $_.Policy -eq $policy.Name } if ($rulesForPolicy) { [PSCustomObject]@{ Policy = $policy Rules = $rulesForPolicy } } } return $retentionPolicies } function Test-PolicyCoverage { <# .SYNOPSIS Bepaalt of een policy kernwerkbelastingen en retentie afdekt #> [CmdletBinding()] param( [Parameter(Mandatory)] $PolicyWithRules ) $policy = $PolicyWithRules.Policy $rules = $PolicyWithRules.Rules $hasExchange = $policy.ExchangeLocation -and $policy.ExchangeLocation.Count -gt 0 $hasSharePoint = $policy.SharePointLocation -and $policy.SharePointLocation.Count -gt 0 $hasOneDrive = $policy.OneDriveLocation -and $policy.OneDriveLocation.Count -gt 0 $hasModernGroups = $policy.ModernGroupLocation -and $policy.ModernGroupLocation.Count -gt 0 $hasRetentionRule = $false $maxRetentionDays = 0 foreach ($rule in $rules) { if ($rule.RetentionDuration) { $hasRetentionRule = $true $days = [int]$rule.RetentionDuration if ($days -gt $maxRetentionDays) { $maxRetentionDays = $days } } } return [PSCustomObject]@{ Name = $policy.Name Enabled = $policy.Enabled HasExchange = $hasExchange HasSharePoint = $hasSharePoint HasOneDrive = $hasOneDrive HasModernGroups = $hasModernGroups HasRetention = $hasRetentionRule MaxRetentionDays= $maxRetentionDays IsBaselineReady = $policy.Enabled -and $hasRetentionRule -and $hasExchange -and $hasSharePoint -and $hasOneDrive -and $hasModernGroups } } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige status van retentiepolicies #> [CmdletBinding()] param() try { Write-Host "`nMonitoring retentiepolicies:" -ForegroundColor Yellow Write-Host " Verbinden met Security & Compliance Center..." -ForegroundColor Gray Connect-IPPSSession -ShowBanner:$false -ErrorAction Stop Write-Host " Ophalen van retentiepolicies en regels..." -ForegroundColor Gray $retentionPolicies = Get-RetentionPolicies $result = @{ isCompliant = $false totalPolicies = 0 baselineReadyPolicies = 0 policyDetails = @() } if (-not $retentionPolicies) { Write-Host " Geen retentiepolicies met regels gevonden." -ForegroundColor Red } else { $result.totalPolicies = $retentionPolicies.Count Write-Host "`n Gevonden retentiepolicies:" -ForegroundColor Cyan foreach ($p in $retentionPolicies) { $coverage = Test-PolicyCoverage -PolicyWithRules $p $result.policyDetails += $coverage if ($coverage.IsBaselineReady) { $result.baselineReadyPolicies++ $result.isCompliant = $true Write-Host " COMPLIANT policy: $($coverage.Name)" -ForegroundColor Green Write-Host " Max. retentie: $($coverage.MaxRetentionDays) dagen" -ForegroundColor Gray } else { Write-Host " PARTIËLE policy: $($coverage.Name)" -ForegroundColor Yellow Write-Host " Enabled: $($coverage.Enabled)" -ForegroundColor Gray Write-Host " Exchange: $($coverage.HasExchange)" -ForegroundColor Gray Write-Host " SharePoint: $($coverage.HasSharePoint)" -ForegroundColor Gray Write-Host " OneDrive: $($coverage.HasOneDrive)" -ForegroundColor Gray Write-Host " M365 Groups: $($coverage.HasModernGroups)" -ForegroundColor Gray Write-Host " Retentieregel: $($coverage.HasRetention) (max $($coverage.MaxRetentionDays) dagen)" -ForegroundColor Gray } } } Write-Host "`n Samenvatting:" -ForegroundColor Cyan Write-Host " Totaal retentiepolicies : $($result.totalPolicies)" -ForegroundColor Gray Write-Host " Policies met volledige dekking : $($result.baselineReadyPolicies)" -ForegroundColor Gray if ($result.isCompliant) { Write-Host "`n COMPLIANT: Minimaal één actieve retentiepolicy dekt Exchange, SharePoint, OneDrive en M365 Groups/Teams af met retentieregels." -ForegroundColor Green exit 0 } else { Write-Host "`n NON-COMPLIANT: Er is geen actieve retentiepolicy die alle kernwerkbelastingen volledig afdekt." -ForegroundColor Red exit 1 } } catch { Write-Host "`n FOUT: $_" -ForegroundColor Red Write-Host " Details: $($_.Exception.Message)" -ForegroundColor Red exit 2 } } function Invoke-Remediation { <# .SYNOPSIS Probeert een basis retentiepolicy te creëren of geeft handmatige stappen #> [CmdletBinding()] param() try { Write-Host "`nRemediatie retentiepolicies:" -ForegroundColor Yellow Write-Host " Verbinden met Security & Compliance Center..." -ForegroundColor Gray Connect-IPPSSession -ShowBanner:$false -ErrorAction Stop $retentionPolicies = Get-RetentionPolicies $existingBaseline = $false foreach ($p in $retentionPolicies) { $coverage = Test-PolicyCoverage -PolicyWithRules $p if ($coverage.IsBaselineReady) { $existingBaseline = $true Write-Host " Er bestaat al een policy die alle kernwerkbelastingen afdekt: $($coverage.Name)" -ForegroundColor Green } } if ($existingBaseline) { Write-Host " Geen verdere automatische actie vereist." -ForegroundColor Green exit 0 } Write-Host " Er is geen volledige baseline-policy gevonden." -ForegroundColor Yellow Write-Host " Voorstel: een basispolicy '$($script:BaselinePolicyName)' creëren die alle kernwerkbelastingen afdekt." -ForegroundColor Yellow if ($WhatIf) { Write-Host "WhatIf: Zou een nieuwe retentiepolicy '$($script:BaselinePolicyName)' creëren voor Exchange/SharePoint/OneDrive/M365 Groups met een generieke bewaartermijn." -ForegroundColor Yellow exit 0 } try { # LET OP: De daadwerkelijke inhoud van de retentieregel (duur en actie) moet worden afgestemd # op het formele bewaarschema van de organisatie. Hier wordt een conservatieve generieke policy # aangemaakt die als startpunt kan dienen. Write-Host " Aanmaken van een basis retentiepolicy..." -ForegroundColor Gray $policy = New-RetentionCompliancePolicy ` -Name $script:BaselinePolicyName ` -Comment "Created by Nederlandse Baseline voor Veilige Cloud - Basis retentiepolicy voor kernwerkbelastingen" ` -ExchangeLocation All ` -SharePointLocation All ` -OneDriveLocation All ` -ModernGroupLocation All ` -Enabled $true ` -ErrorAction Stop # Voorbeeld: standaardbewaartermijn 2555 dagen (circa 7 jaar) $null = New-RetentionComplianceRule ` -Name "$($script:BaselinePolicyName) - Rule" ` -Policy $script:BaselinePolicyName ` -RetentionDuration 2555 ` -RetentionComplianceAction KeepAndDelete ` -ErrorAction Stop Write-Host " Basis retentiepolicy succesvol aangemaakt." -ForegroundColor Green Write-Host "`n BELANGRIJK:" -ForegroundColor Yellow Write-Host " - Valideer deze policy tegen het formele bewaarschema en pas indien nodig bewaartermijn en acties aan." -ForegroundColor Gray Write-Host " - Documenteer de beleidsbeslissing in het retentie- en archiefbeleid van de organisatie." -ForegroundColor Gray exit 0 } catch { Write-Host "`n Automatisch aanmaken van een basispolicy is mislukt." -ForegroundColor Red Write-Host " Details: $($_.Exception.Message)" -ForegroundColor Red Write-Host "`n Voer de volgende handmatige stappen uit in het Microsoft Purview portal:" -ForegroundColor Yellow Write-Host " 1. Ga naar Microsoft Purview (compliance.microsoft.com)." -ForegroundColor Gray Write-Host " 2. Navigeer naar Data Lifecycle Management > Policies > Retention." -ForegroundColor Gray Write-Host " 3. Maak een nieuwe retentiepolicy aan met een naam zoals '$($script:BaselinePolicyName)'." -ForegroundColor Gray Write-Host " 4. Koppel de policy aan alle Exchange-postvakken, SharePoint-sites, OneDrive-accounts en Microsoft 365 Groups/Teams." -ForegroundColor Gray Write-Host " 5. Configureer de bewaartermijn en actie op basis van het formele bewaarschema van de organisatie." -ForegroundColor Gray Write-Host " 6. Sla de policy op en verifieer met -Monitoring dat deze actief is en alle kernwerkbelastingen afdekt." -ForegroundColor Gray exit 2 } } catch { Write-Host "`n FOUT: $_" -ForegroundColor Red Write-Host " Details: $($_.Exception.Message)" -ForegroundColor Red exit 2 } } function Invoke-Revert { <# .SYNOPSIS Verwijdert uitsluitend de policy die door dit script is aangemaakt #> [CmdletBinding()] param() try { Write-Host "`nRevert retentiepolicies:" -ForegroundColor Yellow Write-Host " WAARSCHUWING: hiermee wordt alléén de policy verwijderd die door dit script is aangemaakt." -ForegroundColor Red Write-Host " Verbinden met Security & Compliance Center..." -ForegroundColor Gray Connect-IPPSSession -ShowBanner:$false -ErrorAction Stop $policyName = $script:BaselinePolicyName Write-Host " Zoeken naar policy: $policyName..." -ForegroundColor Gray $policy = Get-RetentionCompliancePolicy -Identity $policyName -ErrorAction SilentlyContinue if (-not $policy) { Write-Host " Policy niet gevonden - niets te herstellen." -ForegroundColor Yellow exit 0 } if ($WhatIf) { Write-Host "WhatIf: Zou policy '$policyName' en bijbehorende retentieregels verwijderen." -ForegroundColor Yellow exit 0 } # Eerst regels verwijderen $rules = Get-RetentionComplianceRule -Policy $policyName -ErrorAction SilentlyContinue foreach ($rule in $rules) { Write-Host " Verwijderen van rule: $($rule.Name)..." -ForegroundColor Gray Remove-RetentionComplianceRule -Identity $rule.Guid.Guid -Confirm:$false -ErrorAction SilentlyContinue } # Vervolgens de policy zelf Write-Host " Verwijderen van policy..." -ForegroundColor Gray Remove-RetentionCompliancePolicy -Identity $policyName -Confirm:$false -ErrorAction Stop Start-Sleep -Seconds 3 $verifyRemoval = Get-RetentionCompliancePolicy -Identity $policyName -ErrorAction SilentlyContinue if (-not $verifyRemoval) { Write-Host " Policy succesvol verwijderd." -ForegroundColor Yellow exit 0 } else { Write-Host " Kon policy niet volledig verwijderen." -ForegroundColor Red exit 2 } } catch { Write-Host "`n FOUT: $_" -ForegroundColor Red Write-Host " Details: $($_.Exception.Message)" -ForegroundColor Red exit 2 } } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { if ($Revert) { if ($WhatIf) { Write-Host "WhatIf: zou configuratie proberen terug te draaien." -ForegroundColor Yellow } else { Invoke-Revert } } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { Write-Host "Beschikbare parameters:" -ForegroundColor Yellow Write-Host " -Monitoring : Controleer huidige status van retentiepolicies" -ForegroundColor Gray Write-Host " -Remediation : Probeer een basis retentiepolicy te creëren of geef handmatige stappen" -ForegroundColor Gray Write-Host " -Revert : Verwijder alleen de door dit script aangemaakte policy" -ForegroundColor Gray Write-Host " -WhatIf : Toon wat er zou gebeuren zonder wijzigingen door te voeren" -ForegroundColor Gray } } catch { Write-Error "Error: $_" throw } finally { Write-Host " ======================================== " -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Hoog risico op non-compliance met Archiefwet, AVG en BIO, verhoogde kans op boetes en kritische auditbevindingen, en een zwakke bewijspositie bij incidenten en onderzoeken.

Management Samenvatting

Richt organisatiebrede retentiepolicies in voor Exchange, SharePoint, OneDrive en Teams op basis van het bewaarschema en juridische verplichtingen. Valideer de configuratie via Microsoft Purview en geautomatiseerde controlescripts. Dit artikel en het bijbehorende script ondersteunen Nederlandse overheidsorganisaties bij het realiseren van een aantoonbaar compliant retentiebeleid.