De Archiefwet 1995 verplicht iedere Nederlandse overheidsorganisatie om digitale documenten die het handelen van de overheid vastleggen aantoonbaar te beheren. Bewaartermijnen variëren van één jaar voor routinematige correspondentie tot eeuwigdurende bewaring voor historische dossiers. Omdat steeds meer informatie in Microsoft 365 ontstaat – denk aan Teams-chats, SharePoint-sites, OneDrive-mapstructuren en Power Platform-apps – moet archiefzorg verschuiven naar digitale processen met strakke selectiecriteria, gecontroleerde opslag en gedocumenteerde vernietiging.
Kernvragen zijn: welke digitale objecten zijn archiefwaardig, welke selectielijstcode hoort erbij, wanneer start de bewaartermijn en hoe voorkom je dat medewerkers per ongeluk verwijderen of juist te lang bewaren? Microsoft Purview Records Management levert de technische basis, maar alleen wanneer beleid, inrichting en toezicht perfect aansluiten op de Archiefwet en het Archiefbesluit. Deze gids geeft een stapsgewijze aanpak om in Microsoft 365 een robuust archiveringsbeleid te ontwerpen, te configureren en te beheren.
Deze gids koppelt de Archiefwet en het Archiefbesluit aan concrete Microsoft 365-configuraties. Je leert bewaarbeleid vertalen naar retentie-instellingen per documentcategorie, labels en automatisering inzetten in Outlook, SharePoint en Teams, vernietiging te laten verlopen via formele disposition reviews, litigation holds gericht toe te passen, eDiscovery voor archiefontsluiting te gebruiken en audittrails te leveren die iedere toezichthouder overtuigen.
Betrek de gemeentearchivaris of departementale archivaris niet alleen in de ontwerpfase maar ook in tests en acceptatie. IT-teams stellen anders één standaardtermijn (bijv. zeven jaar voor alle e-mail) in, waardoor later alsnog permanente bewaring moet worden ingericht voor bestuurlijke correspondentie, terwijl routinemails juist sneller mogen verdwijnen. Door gezamenlijk labels, uitzonderingen en bewijsvoering te bepalen voorkom je tegenstrijdig beleid en dure herconfiguraties.
Archiefwet als fundament: beleid, selectielijsten en metadata
Digitale archiefzorg begint met het besef dat de Archiefwet niet langer uitsluitend papieren dossiers beschrijft maar iedere digitale handeling die bestuurlijke betekenis heeft. Een Teams kanaal waarin een wethouder besluiten toelicht, een Power Automate flow die subsidies accordeert en een Power BI rapport dat begrotingsscenario's vastlegt zijn allemaal archiefbescheiden. Het fundament van beleid is daarom een gedeelde definitie van archiefwaardige informatie die losstaat van het platform en aansluit op de Nederlandse Baseline voor Veilige Cloud. Pas wanneer bestuurders, juristen en informatiebeheerders dezelfde begrippen hanteren, ontstaat een stabiele basis om bewaartermijnen vast te leggen en beveiligingsmaatregelen te kiezen.
Vervolgens wordt de selectielijst vertaald naar digitale beslisregels. Waar papieren mappen ooit stickers kregen, ontvangen nu werkruimtes, documentsets en chatkanalen een expliciete koppeling met een selectielijstcode en de bijbehorende bewaartermijn. Een collegebesluit krijgt een permanent label omdat het democratische verantwoording mogelijk maakt, terwijl een projectlogboek na tien jaar kan verdwijnen zodra het proces is afgerond. Door deze logica in een centraal informatieregister vast te leggen erft iedere nieuwe Teams omgeving, SharePoint hub en mailbox automatisch het juiste beleid zonder dat gebruikers zelf interpretaties hoeven te maken.
Het informatieregister voedt Microsoft Purview met consistente configuraties. Retentielabels, contenttypes en gevoeligheidsprofielen krijgen dezelfde benaming als de selectielijstcategorie inclusief verwijzing naar de juridische bron, zodat auditors direct herkennen onder welk kader een document valt. Adaptive scopes zorgen ervoor dat labels automatisch worden gepubliceerd naar de juiste organisatieonderdelen en voorkomen dat decentrale teams definities opnieuw moeten uitvinden. Door de koppeling met Azure AD groepen en lifecycle management worden ook tijdelijke projectruimtes meteen aan de juiste retentie gekoppeld.
Geen enkel dossier behoudt bewijswaarde zonder rijke metadata. Minimaal worden vastgelegd welke functionaris het besluit nam, welke juridische grondslag van toepassing is, welk zaaknummer geldt, welke gebeurtenis de bewaartermijn start, welk vertrouwelijkheidsniveau van kracht is en welke dossiers inhoudelijk verbonden zijn. SharePoint of Syntex verplicht deze velden voordat een document kan worden opgeslagen, terwijl Power Automate in Outlook en Teams dezelfde controles uitvoert via dynamische formulieren. Hierdoor ontstaat een uniforme dataset die Woo verzoeken, parlementaire vragen en calamiteitenonderzoeken kan doorstaan.
Procesdiscipline wordt versterkt met werkstromen die directe feedback geven. Wanneer een beleidsmedewerker een notitie archiveert zonder selectielijstcode ontvangt hij een melding met de juiste categorie en motivatie. Wie een concept wil markeren als permanent moet eerst een toelichting invullen die de archivaris kan toetsen. Dat mechanisme maakt beleid tot een dagelijkse dialoog over kwaliteit in plaats van een statisch PDF document dat nauwelijks wordt geraadpleegd.
De Archiefwet vereist bovendien tijdige overbrenging en duurzame leesbaarheid. Daarom wordt bij het toekennen van een label ook vastgelegd in welk formaat een document uiteindelijk moet worden geconserveerd. Tekstuele stukken worden richting PDF/A gebracht, databases naar SIARD, beeldmateriaal naar TIFF en multimediale content naar open codecs zoals WAV of MP4 met H.264. Microsoft 365 kan deze normalisatie vroeg starten via Document Understanding modellen, Syntex classifiers en Power Automate conversies, zodat medewerkers direct zien hoe het dossier er na overbrenging uitziet en fouten nog tijdens de actieve fase kunnen worden gecorrigeerd.
Integriteit en herleidbaarheid krijgen vorm via logging, hashketens en sleutelbeheer. Iedere wijziging aan metadata, iedere toekenning van een label en iedere export naar een e Depot wordt vastgelegd in het Purview auditlog en gespiegeld naar Microsoft Sentinel. Hashwaarden worden opgeslagen in een dedicated preservation database, terwijl certificaten en sleutels via Azure Key Vault worden beheerd zodat digitale handtekeningen ook na twintig jaar nog verifieerbaar zijn. Deze gegevens vormen het bewijsstuk richting Nationaal Archief, toezichthouders en rechters.
Door beleid, selectielijsten, metadata en formatnormalisatie als een integraal hoofdstuk te benaderen ontstaat een keten die reorganisaties, applicatievernieuwing en politieke druk doorstaat. Het archiefhandboek verwijst naar dezelfde begrippen als de Purview configuratie, auditors zien de rationale achter iedere keuze en nieuwe medewerkers kunnen via het informatieregister direct achterhalen welke regels gelden. Zo wordt de Archiefwet geen sluitstuk maar het startpunt van iedere Microsoft 365 werkplek.
Technische inrichting: retentie, labels en holds
Een doordachte technische inrichting begint met het inventariseren van alle workloads die archiefwaardige informatie produceren. Exchange, SharePoint, Teams, Viva Engage, Power Platform omgevingen en gekoppelde SaaS diensten worden opgenomen in een capaciteitsmodel dat aangeeft hoeveel data, welke gevoeligheid en welke bewaartermijnen per bron gelden. Deze analyse bepaalt of retentie op tenantniveau volstaat of dat afzonderlijke policies per directie nodig zijn en vormt de basis voor de mapping naar de Nederlandse Baseline voor Veilige Cloud.
Exchange Online is vaak de grootste bron van archiefwaardige correspondentie. Door meerdere retentie policies te stapelen kan een generieke regel van twee jaar naast speciale policies voor bestuurders van tien jaar en fiscale mailboxen van zeven jaar bestaan. De policies worden gebaseerd op Microsoft 365 groups of dynamische verzamelingen zodat mutaties automatisch worden doorgevoerd. Journaling wordt uitgeschakeld zodat er geen schaduwarchieven ontstaan en Purview houdt alle berichten vast totdat de termijn afloopt.
SharePoint en Teams krijgen retentie toegewezen via site scoped policies. Provisioning scripts maken nieuwe sites op basis van een catalogus waarin per sjabloon de selectielijstcode, het retentielabel en de gevoeligheidsinstellingen al klaarstaan. Locatiebeleid zorgt dat projectruimtes na afsluiting de klok starten op basis van het registreren van het eindrapport, terwijl HR sites de klok starten op de geboortedatum of uitstroomdatum van de medewerker. Daarmee wordt de Archiefwet direct gekoppeld aan concrete gebeurtenis data.
Retentielabels vullen locatiebeleid aan wanneer specifieke documenten een andere bewaartermijn vereisen. Labels zoals Permanent bewaren, Contracten twintig jaar of Vluchtig een jaar worden gepubliceerd naar Outlook, OneDrive en Teams en kunnen worden ingesteld als regulatory record zodat niemand ze nog kan verwijderen. Auto apply rules analyseren metadata, trefwoorden en gevoeligheidslabels zodat gebruikers niet hoeven te gokken. Voorbeelden zijn het automatisch labelen van documenten met het kenmerk Collegebesluit of rapportages die de term Jaarrekening bevatten.
Event based triggers zorgen ervoor dat bewaartermijnen niet alleen op kalenderdata zijn gestoeld maar op echte gebeurtenissen. Power Automate flows schrijven bijvoorbeeld de datum van contractbeindiging naar een metadata veld waarna Purview het juiste moment voor vernietiging of overbrenging berekent. Voor dossiers die naar een e Depot gaan genereert Syntex een pakket met inhoud, manifest, checksums en context zodat de export voldoet aan de Richtlijnen voor de Overbrenging.
Disposition reviews blijven een menselijke controlelaag. Recordmanagers ontvangen via de Purview queue de dossiers waarvan de termijn verloopt, zien onmiddellijk welke metadata en labels zijn toegepast en krijgen voorbeeldweergaven zonder eerst het volledige dossier te downloaden. Beslissingen worden vastgelegd met motivatie en audittrail zodat achteraf kan worden aangetoond waarom iets is vernietigd, verlengd of aangewezen als blijvend te bewaren. Exports naar e Depot worden rechtstreeks vanuit dezelfde interface gestart om fouten te beperken.
Litigation holds en preservation holds beveiligen bewijs zodra een Woo verzoek, tuchtzaak of integriteitsonderzoek start. Met enkele klikken worden specifieke custodians, sites of zelfs KQL zoekopdrachten vastgezet waardoor retentiepolicies tijdelijk worden overruled. Informatiebeheerders documenteren welke medewerkers een legal hold notice ontvangen, registreren acknowledgment en leggen in het risicoregister vast wanneer de hold is opgeheven zodat de keten sluitend blijft.
Integratie met monitoring en beveiliging zorgt dat technische maatregelen aantoonbaar blijven. Sentinel rules signaleren wanneer retentie policies worden aangepast, wanneer iemand probeert regulatory records te downgraden of wanneer een site zonder labels wordt aangemaakt. Power BI dashboards tonen labeldekking, openstaande disposition reviews, litigation holds per directie en de doorlooptijd van exports. Zo wordt naleving niet alleen technisch geborgd maar ook bestuurd op cijfers.
Door deze technische maatregelen consequent te koppelen aan de Archiefwet ontstaat een omgeving waarin Microsoft 365 de ruggengraat vormt van digitale duurzaamheid. Retentie, labels, holds en exports werken samen en iedere wijziging wordt vastgelegd zodat compliance aantoonbaar blijft bij audits, Woo procedures en inspecties.
Governance en toezicht: borging in de operatie
Governance start met heldere rollen en verantwoordelijkheden. De CIO borgt de strategische kaders, de chief information security officer bewaakt de Baseline maatregelen, de gemeentearchivaris of departementale archivaris bewaakt de Archiefwet interpretatie en de records manager vertaalt besluiten naar Purview configuraties. Proceseigenaren blijven inhoudelijk eigenaar en zijn verantwoordelijk voor de juistheid van metadata en selectielijstkeuzes. Deze rolbeschrijving wordt opgenomen in mandaatregelingen en functieprofielen zodat vervanging altijd geregeld is.
Een preservation board of informatiebeheerraadslag komt maandelijks bijeen om ontwerpbesluiten, uitzonderingen en incidenten te beoordelen. In deze vergadering worden nieuwe SaaS oplossingen getoetst aan TMLO en MDTO profielen, wordt bepaald welke ketentests nodig zijn en welke dossiers naar het Nationaal Archief gaan. Alle besluiten worden vastgelegd in Azure DevOps of een governance register inclusief argumenten, juridische verwijzingen en actiehouders. Daardoor ontstaat aantoonbaarheid richting toezichthouders en bestuur.
Wijzigingsbeheer is een verplichte stap in iedere project of releaseketen. CAB formulieren bevatten vragen over selectielijsten, retentielabels, metadata velden en exportmogelijkheden. Geen enkele Teams template, Power Platform app of externe koppeling gaat live voordat informatiebeheer heeft bevestigd dat retentie en logging aansluiten op de Archiefwet en de Nederlandse Baseline voor Veilige Cloud. Provisioning scripts blokkeren de uitrol wanneer verplichte parameters ontbreken en sturen automatisch een melding naar het governanceboard.
Risicobeheersing en auditabiliteit lopen als rode draad door het programma. Kwartaalrapportages combineren Purview auditlogs, Sentinel alerts en Power BI statistieken tot een overzicht van labeldekking, openstaande disposition reviews, incidenten en afwijkingen. Bevindingen worden gekoppeld aan het BIO risicoregister en krijgen een eigenaar, budget en deadline. Interne audit en de archivaris voeren gezamenlijke steekproeven uit op dossiers die zijn vernietigd of overgebracht en controleren of documentatie, hashwaarden en exportbestanden compleet zijn.
Training en adoptie zorgen dat beleid niet beperkt blijft tot specialisten. Nieuwe medewerkers krijgen een onboarding waarin selectielijsten, metadata en retentie workflows worden uitgelegd met voorbeelden uit hun eigen proces. In Teams draait een kennisbot die vragen over bewaartermijnen beantwoordt en direct doorverwijst naar het juiste beleid. Daarnaast worden informatiecoaches binnen directies aangewezen die maandelijkse clinics verzorgen en feedback verzamelen voor het governanceboard.
Leveranciersmanagement verdient expliciete aandacht. Inkoopvoorwaarden schrijven voor dat SaaS leveranciers exportrechten naar open formaten ondersteunen, auditlogs beschikbaar stellen en zich conformeren aan vernietigings- en bewaartermijnen. Contracten bevatten clausules over deelname aan ketentests en eisen dat broncode of configuratiebestanden beschikbaar komen wanneer de leverancier uitvalt. Hiermee wordt voorkomen dat archiefwaardige informatie vastzit in gesloten platforms.
Continu verbeteren is essentieel om bij te blijven met nieuwe wetgeving zoals de Woo, NIS2 en de herziening van selectielijsten. Jaarlijks wordt een koude oefening georganiseerd waarin een fictief Woo verzoek, een rechtszaak en een calamiteit tegelijk worden gesimuleerd. Teams moeten binnen strikte termijnen dossiers exporteren, hashwaarden verifiëren, metadata corrigeren en overbrenging afronden. De hotwash levert concrete verbeterpunten op die via Azure DevOps worden opgevolgd en waarvan de status wordt gemeld aan bestuurders.
Door governance, toezicht, training en leveranciersmanagement te verbinden ontstaat een duurzaam besturingsmodel. De Archiefwet wordt een integraal onderdeel van cloudstrategie, investeringsbeslissingen en prestatiegesprekken, terwijl Microsoft 365 de tooling levert om afspraken daadwerkelijk af te dwingen. Zo blijft digitale informatie uitlegbaar, controleerbaar en overdraagbaar, ook wanneer mensen wisselen of technologie vernieuwt.
Een effectief archiveringsbeleid in Microsoft 365 combineert de eisen uit de Archiefwet met moderne cloudgovernance. Alles onbeperkt bewaren druist in tegen de AVG, maar te snel verwijderen leidt tot archiefverlies. De oplossing is een gedifferentieerde aanpak: retentiebeleid op basis van selectielijsten, automatische handhaving, zorgvuldige disposition reviews, litigation holds voor bewijsbehoud en volledige audittrails, aangevuld met governanceprocessen die veranderingen, monitoring en opleiding structureel borgen. Dit vergt nauwe samenwerking tussen IT (technische inrichting), archivarissen (wettelijke interpretatie), juristen (risico’s rondom onderzoeken) en proceseigenaren (kennis van de praktijk). Investeren in deze configuratie voorkomt dure herstelacties, AVG-incidenten, bewijsproblemen in procedures en afkeuring door het Nationaal Archief.