Het gedeelde verantwoordelijkheidsmodel blijft een bron van misverstanden binnen overheidsorganisaties. Microsoft garandeert dat datacenters, hypervisors en basisdiensten beschikbaar blijven, maar neemt geen verantwoordelijkheid voor dossiers, datasets of configuraties die door mensen worden verwijderd of door malware worden versleuteld. In Nederland leidt dat tot een vals gevoel van veiligheid, want zolang Outlook werkt of SharePoint reageert denkt men dat de data vanzelf intact is. In werkelijkheid ontbreekt een onafhankelijk herstelpunt zodra iemand bewust of onbewust tegemoetkomt aan een dreiging.
De Nederlandse Baseline voor Veilige Cloud, de BIO en de NIS2-richtlijn vragen juist om aantoonbare maatregelen waarmee beschikbaarheid en integriteit worden geborgd. Dat betekent dat organisaties de volledige keten van Microsoft 365, Azure en gekoppelde SaaS-oplossingen moeten kunnen terugzetten naar een bekend goed moment. Deze gids brengt de bestuurlijke verantwoordelijkheid, de technische bouwstenen en de operationele discipline samen tot een strategie die herstel waarborgt, auditbestendig is en past bij de eisen van Nederlandse publieke instellingen.
Je ontdekt hoe je het gedeelde verantwoordelijkheidsmodel vertaalt naar concrete maatregelen, hoe je RTO en RPO koppelt aan een business impact analyse, welke diensten en opslaglocaties je combineert voor ransomwarebestendige backups en hoe je hersteltests gebruikt als bewijs richting auditors en bestuur.
Voer iedere maand een hersteltest uit met dezelfde accounts en procedures die je tijdens een echte crisis gebruikt. Laat een onafhankelijke functionaris het scenario kiezen, herstel de workload in een gescheiden tenant en documenteer de afwijkingen. Zo ontdek je licentieproblemen, ontbrekende machtigingen of scripts die alleen voor de ontwerper logisch waren, lang voordat een incident plaatsvindt.
Het Gedeelde Verantwoordelijkheidsmodel: Waar Microsoft's Verantwoordelijkheid Eindigt
Veel overheidsinstellingen beschouwen het gedeelde verantwoordelijkheidsmodel nog steeds als een impliciete verzekering: Microsoft houdt de datacenters draaiende en dus zal informatie wel veilig zijn. Die redenering klopt niet met de eisen van de Nederlandse Baseline voor Veilige Cloud, de BIO en de NIS2-richtlijn. De leverancier garandeert alleen dat de infrastructuur beschikbaar blijft; alles wat gebruikers of beheerders in Microsoft 365 en Azure aanmaken valt onder de verantwoordelijkheid van de organisatie zelf. Wie vertrouwt op recycle bins of versiegeschiedenis als enige vangnet, ontdekt pas tijdens een incident dat er geen aantoonbaar herstelpad is. Bestuurders ervaren dat als een beleidsprobleem, maar auditors zien vooral dat de keten van preventie, detectie en herstel niet sluitend is.
De grens ligt bij wat Microsoft standaard beheert: fysieke beveiliging, hypervisors, netwerkcomponenten en basisservices. Configuraties van Conditional Access, Intune-profielen, Defender-regels, Purview-labels of Power Platform-flows worden nergens centraal vastgelegd. Wanneer een beheerder een script draait dat per ongeluk een resourcegroep verwijdert of een beleidsinstelling wijzigt, registreert Microsoft alleen dat de opdracht is uitgevoerd. Het reconstrueren van instellingen verandert dan in een tijdrovende zoektocht door oude tickets en wiki-pagina's. Daarom schrijft de Nederlandse Baseline voor Veilige Cloud voor dat organisaties precies weten welke informatieobjecten bedrijfskritisch zijn en waar onafhankelijke herstelpunten nodig zijn.
Die inventarisatie moet breder zijn dan gebruikersbestanden. Mailboxen, Teams-chats, SharePoint-sites en OneDrive-mappen zijn zichtbaar, maar even belangrijk zijn configuratie-objecten die processen aansturen: Azure RBAC-rollen, PIM-journaals, Key Vault-inhoud, API-registraties of workflowdefinities. Zonder actuele kopie kun je tijdens een crisissituatie wel data terughalen, maar niet de logica die bepaalt wie toegang heeft of hoe gegevens worden verwerkt. Het informatiebeveiligingsmanagementsysteem hoort daarom een overzicht te bevatten van alle diensten, de bijbehorende configuraties en de gewenste retentie- en herstelstrategieën.
Het actuele dreigingsbeeld laat zien waarom dat noodzakelijk is. Ransomwaregroepen misbruiken OAuth-app-registraties om toegang te krijgen tot Microsoft Graph en versleutelen naast productiegegevens ook de versiegeschiedenis. Interne kwaadwillenden kunnen als lid van een beheerteam binnen enkele minuten duizenden bestanden verwijderen, zeker wanneer functiescheiding in de praktijk niet is ingericht. Leveranciersfouten ontstaan wanneer lifecycle-scripts of integraties onbedoeld instellingen aanpassen en niemand het direct merkt. Ook afhankelijkheden met SaaS-diensten of on-premises workloads vormen een risico: een storing in een externe bron kan via API-koppelingen tot massale datacorruptie leiden. Zonder onafhankelijke backups bestaat er geen terugvaloptie op een ongeschonden dataset.
Compliance-eisen maken die urgentie tastbaar. De BIO vraagt om aantoonbare processen voor continuïteit en herstel, NIS2 verplicht essentiële en belangrijke entiteiten tot technische en organisatorische maatregelen voor incidentrespons, en de Nederlandse Baseline voor Veilige Cloud vertaalt dat naar concrete capabilities zoals immutabele opslag en gedocumenteerde hersteltests. Auditors vragen daarom niet alleen naar beleid, maar ook naar runbooks, testresultaten, rapportages over RTO/RPO en bewijs dat backupmedia buiten de productieomgeving zijn beveiligd. Wie geen onafhankelijk opgeslagen herstelpunten heeft, kan simpelweg niet aantonen dat aan artikel 32 AVG of de Archiefwet wordt voldaan.
Een praktijkvoorbeeld onderstreept dit. Een provinciale dienst voor omgevingsvergunningen verloor duizenden dossiers toen een opschoningsscript verkeerd was geconfigureerd. De recycle bin bleek leeg omdat het script ook oudere versies had verwijderd, en er bestond geen export met metadata of besluitvorming. Burgers moesten documenten opnieuw aanleveren, wettelijke termijnen werden overschreden en de toezichthouder legde een verbeterplan op. Pas nadat er een dedicated backuptenant was ingericht, Recovery Services Vaults immutabel waren gemaakt en maandelijks een hersteltest werd uitgevoerd, durfde het bestuur weer te verklaren dat de organisatie voldoet aan de Nederlandse Baseline voor Veilige Cloud.
Recovery Doelstellingen: RTO, RPO en Business Impact Analysis
Hersteldoelstellingen ontstaan niet in de serverruimte maar in de bestuurskamer. Proceseigenaren moeten uitleggen welke maatschappelijke schade, juridische gevolgen en politieke druk ontstaan als een digitale dienst stilstaat. Een RTO van twee uur voor een vergunningensysteem betekent dat binnen 120 minuten een alternatief beschikbaar is, inclusief de mensen die bevoegd en getraind zijn om de stappen uit te voeren. Zonder dat gesprek balanceren technische teams tussen onhaalbare verwachtingen en ondergefinancierde realiteit. De Nederlandse Baseline voor Veilige Cloud benadrukt daarom dat continuïteitsdoelen expliciet moeten worden afgestemd tussen bestuur, security, financiën en operations.
Een degelijke business impact analyse combineert interviews, historische incidentdata en ketenafhankelijkheden. Procesteams beschrijven per tijdsvenster welke dienstverlening wegvalt, hoe lang handmatige workaroundprocessen houdbaar zijn en welke wettelijke verplichtingen — zoals AVG-termijnen, Woo-verzoeken of dienstverlening aan burgers — worden geraakt. IT- en securityarchitecten zetten die informatie om in een classificatie, bijvoorbeeld Tier 1 voor processen die binnen vier uur operationeel moeten zijn en Tier 4 voor diensten die een werkdag kunnen wachten. Die indeling leunt op BIO-maatregelen voor continuïteit en maakt zichtbaar waar extra investeringen in backup en replicatie gerechtvaardigd zijn.
Vervolgens vertaal je RTO en RPO naar concrete maatregelen. Een RTO van vier uur vereist geautomatiseerde runbooks, vooraf ingestelde herstelpaden, stand-by personeel en bevoegdheden in PIM of Azure RBAC om direct te kunnen handelen. Een RPO van dertig minuten betekent dat data minimaal elke dertig minuten wordt vastgelegd en dat replicatiebandbreedte, throttlinglimieten en opslag in die cadans voorzien. Het helpt om per proces een matrix te maken met velden als platform, kritieke data, afhankelijkheden, benodigde servicekwaliteit en toegewezen budget. Zo kan de CFO zien waarom bepaalde diensten extra opslag, netwerkcapaciteit of licenties nodig hebben om de afgesproken doelen te halen.
Vergeet intussen niet de afgeleide data en configuraties. Een identiteitsplatform bestaat niet alleen uit directoryobjecten, maar ook uit Conditional Access policies, certificaten, logging, rapportages voor ENSIA en scripts die lifecycleacties uitvoeren. Documenteer per component welke bron als waarheidsgetrouw geldt, hoe vaak een backup nodig is en in welke regio de kopie wordt opgeslagen. Sommige organisaties kiezen voor een tweede EU-regio, andere voor een gescheiden environment bij een onafhankelijke cloudprovider om vendor lock-in en gezamenlijke storingen te beperken. De keuze moet passen binnen de soevereiniteits- en risicocriteria van de Nederlandse Baseline voor Veilige Cloud.
Governance verankert de cijfers in dagelijkse sturing. Leg RTO- en RPO-waarden vast in service level agreements, automatiseer dashboards die tonen hoe lang de laatste restores duurden en koppel afwijkingen aan verbeteracties. Laat proceseigenaren en CISO’s ieder kwartaal de cijfers valideren en zorg dat auditrapporten direct verwijzen naar testresultaten en lessons learned. Zo wordt herstelvermogen geen theoretische exercitie, maar een aantoonbaar onderdeel van het informatiebeveiligingsmanagementsysteem.
Een uitvoeringsorganisatie die kinderopvangtoeslag beoordeelt, dacht aanvankelijk dat twaalf uur uitval acceptabel was omdat het landelijke loket formeel zo lang dicht mag zijn. In de praktijk bleken Kamervragen al na twee uur binnen te komen zodra dossiers niet beschikbaar waren. Na een nieuwe BIA werd het proces als Tier 1 geclassificeerd, kreeg het platform een RTO van twee uur en een RPO van dertig minuten, en werd een crisisrol ingericht die binnen tien minuten het herstelteam kan activeren. De extra investering in replicatie, automation accounts en oefenscenario’s werd daardoor geaccepteerd: bestuur en operatie wisten precies welke maatschappelijke waarde ermee wordt beschermd.
Backup Architectuur: Van Strategie naar Technische Implementatie
Zodra de doelen helder zijn, kan de architectuur worden ontworpen vanuit het principe dat elke kritieke workload minimaal twee onafhankelijke herstelpaden heeft. Maak eerst een blueprint waarin staat welke workloads via Azure Backup worden beschermd, welke via Azure Site Recovery worden gerepliceerd en hoe Microsoft 365-gegevens in een aparte omgeving worden opgeslagen. Koppel die blueprint aan het architectuurraamwerk van de Nederlandse Baseline voor Veilige Cloud zodat duidelijk is hoe identiteiten, netwerksegmentatie, data en monitoring elkaar versterken en wie waarvoor verantwoordelijk is.
Voor Azure IaaS- en PaaS-workloads vormen Recovery Services Vaults het hart van de oplossing. Gebruik per omgeving een afzonderlijke vault, dwing via Azure Policy af dat elke virtuele machine direct aan een backupprofile wordt gekoppeld en beheer customer-managed keys voor versleuteling. SQL-, PostgreSQL- en SAP HANA-workloads vragen om logbackups met korte intervallen zodat stringente RPO’s haalbaar blijven. Koppel backupruns aan Azure Monitor en laat mislukte jobs automatisch een incident openen in het SOC of ITSM-platform. Daarmee bewijs je richting auditors dat technische maatregelen direct verbonden zijn met governance en dat afwijkingen niet blijven liggen.
Microsoft 365 vraagt om oplossingen die de Graph- en SharePoint-API’s volledig benutten. Kies een leverancier die data opslaat in een gescheiden tenant of in een dedicated storageaccount met immutable blob storage, zodat een aanvaller met Global Administrator-rechten de backups niet kan verwijderen. Let op ondersteuning voor granular restores, het terugzetten van Planner-borden, Loop-componenten, Viva Engage communities en volledige Teams-structuren inclusief compliance-instellingen. Leg in contracten vast hoe dataresidentie, support-SLA’s en escalatiekaders aansluiten op Nederlandse wet- en regelgeving én op de eisen van de Nederlandse Baseline voor Veilige Cloud.
Configuraties verdienen een eigen backuplijn. Exporteer Intune-profielen, Conditional Access policies, Defender-regels, Azure Firewall-instellingen, Purview-classificaties en Power Automate flows naar Infrastructure-as-Code repositories zoals GitHub of Azure DevOps. Combineer versiebeheer met versleutelde opslag van secrets en certificaten, en beschrijf in runbooks hoe je deze artefacten terugplaatst. Zo voorkom je dat tijdens een crisis blijkt dat de data wel beschikbaar is, maar niemand de onderliggende configuratie kan reconstrueren.
Ransomwarebestendigheid vraagt om immutability, segmentatie en air gaps. Schakel soft delete en immutable retention in voor elke Recovery Services Vault en voor de storageaccounts waar backupproducten landen. Overweeg voor Tier 1-workloads een aanvullende kopie in een tweede Azure-regio of bij een Europese cloudprovider, en gebruik gescheiden identiteiten, afzonderlijke subscriptions en strikte firewallregels. Documenteer hoe deze opzet voldoet aan de BIO-controles voor continuïteit, aan de NIS2-eisen rond herstelvermogen en aan de controlestukken van de Nederlandse Baseline voor Veilige Cloud.
Geen enkel ontwerp is compleet zonder test- en operationsregime. Stel een kalender op voor table-topoefeningen, technische restores en volledige failover-tests, en automatiseer waar mogelijk met Azure Automation of Logic Apps. Laat het script een willekeurige workload herstellen in een sandbox, sla de rapportage direct op in het auditdossier en bespreek de resultaten met de CISO en proceseigenaren. Monitor opslaggroei, licentiekosten en compute-intensieve restores via FinOps-dashboards, want kostenbeheersing is onderdeel van governance. Zo ontstaat een bewezen herstelketen die de betrouwbaarheid van digitale dienstverlening vergroot en aantoonbaar voldoet aan de Nederlandse Baseline voor Veilige Cloud.
Neem in elk testverslag ook een overzicht op van lessons learned, bijgewerkte runbooks en eventuele aanvullingen op contractuele afspraken, zodat auditors direct zien hoe verbeteracties worden vastgelegd en opgevolgd.
Een backupstrategie is geen verzekeringspolis die ergens in een map ligt, maar een dagelijks bedrijfsonderdeel dat zichtbaar maakt hoe de Nederlandse Baseline voor Veilige Cloud wordt nageleefd. Door het gedeelde verantwoordelijkheidsmodel te herinterpreteren, weten bestuurders en securityteams weer wie waarover beslist en welke maatregelen nodig zijn om de beschikbaarheid van publieke diensten te garanderen.
Wie RTO en RPO onderbouwt via een business impact analyse en deze doelen koppelt aan een concrete architectuur met onafhankelijke opslag, immutability en geautomatiseerde tests, kan aantonen dat backups meer zijn dan spreadsheets of marketingclaims. Het plan staat of valt met oefenen: pas wanneer herstelroutines, documentatie en metrics regelmatig worden getoetst, ontstaat vertrouwen bij auditors en bij de burger die afhankelijk is van digitale dienstverlening. Begin daarom nu met het inventariseren van kritieke processen, vul de blueprint aan met concrete herstelpaden en plan de eerstvolgende oefening in.