Microsoft Teams en SharePoint vormen het zenuwstelsel van de digitale overheid. Vergaderingen, besluitvorming en dienstverlening lopen via kanalen, chats en gedeelde documentbibliotheken. Dat gemak creëert echter ook kwetsbaarheden: dossiers worden buiten bewaartermijnen gedeeld, burgers worden zonder verificatie toegevoegd en vertrouwelijke rapportages belanden op publiek toegankelijke sites. Zodra beleid, techniek en cultuur niet meer in balans zijn, ontstaan incidenten die moeilijk uit te leggen zijn aan toezichthouders, rechters en volksvertegenwoordigers.
De Nederlandse Baseline voor Veilige Cloud, de BIO en de AVG eisen dat samenwerking aantoonbaar wordt bestuurd. Dat gaat verder dan het blokkeren van downloadopties. Het vraagt om doelgroepenbeleid, Entra ID-gestuurde authenticatie, Purview-labels die beslissingen vastleggen, logging die beschikbaarheid van bewijs garandeert en escalatiepaden richting CISO, FG en lijnmanagement. Alleen dan is duidelijk wie toegang kreeg, waarom dat was toegestaan, hoe lang het duurde en welke compenserende maatregelen golden.
Deze gids beschrijft hoe je gasttoegang, externe deling en gevoeligheidslabels structureel organiseert zonder de productiviteit te verstikken. We behandelen bestuurlijke keuzes, technische architectuur en operationele borging die passen bij een hybride Microsoft 365-landschap. Het doel is niet om elke uitnodiging te controleren, maar om veilige defaults te definiëren, afwijkingen transparant te maken en samenwerking continu te verbeteren op basis van meetbare inzichten.
Voor platformeigenaren, informatiemanagers en security officers die Microsoft Teams en SharePoint willen besturen in lijn met de Nederlandse Baseline voor Veilige Cloud, de BIO en de AVG.
Leg provisioning- en lifecyclebeslissingen vast in geregistreerde workflows. De combinatie van sjablonen, labels en Access Reviews voorkomt discussie achteraf en levert direct auditbewijs.
Gasttoegang en delen met externen
Externe samenwerking start met een gelaagd governancemodel waarin CISO, CIO en lijnorganisatie gezamenlijk bepalen welke soorten gasten worden toegelaten, hoe informatie wordt geclassificeerd en wie de toezichthoudende rol vervult. Zonder deze bestuurlijke afspraken blijft techniek cosmetisch. Door vooraf scenario's te definiëren – bijvoorbeeld aanbestedingen, burgerpanels en interbestuurlijke projectgroepen – kun je duidelijk aangeven welke informatiecategorieën een project mag gebruiken, welke labels verplicht zijn en welke logging in de keten nodig is.
Vervolgens richt je het uitnodigingsproces in. Microsoft Entra External Identities maakt het mogelijk om selfservice-uitnodigingen te combineren met goedkeuringsflows. Veel overheidsorganisaties kiezen voor automatische goedkeuring binnen vooraf gedefinieerde business units, terwijl projecten met staatsgeheime of politiegegevens een dubbele autorisatie via PIM for Groups vereisen. Templates voor Teams en SharePoint Sites zorgen dat elke nieuwe werkruimte standaard gevoeligheidslabels, kanaalstructuren en bewaartermijnen meekrijgt. Zo voorkom je dat gebruikers telkens opnieuw het wiel uitvinden en beperk je het aantal uitzonderingen dat de security-afdeling moet beoordelen.
Authenticatie en toegang moeten daarna aantoonbaar risicogestuurd zijn. Conditional Access koppelt meervoudige verificatie, apparaatcompliance en locatievoorwaarden aan het label van de workspace. Voor burgers of leveranciers die geen moderne identiteitsoplossing hebben, bied je tijdelijke toegang via eenmalige wachtwoorden maar beperk je downloads en kopieeracties. Federatieve aanmeldingen via hun eigen Entra-tenant of een eIDAS-koppeling krijgen een hoger vertrouwensniveau en mogen bijvoorbeeld ook Teams-vergaderingen plannen of documenten co-bewerken. Elke keuze wordt vastgelegd in het verwerkingsregister zodat de functionaris gegevensbescherming kan uitleggen op welke grondslag de toegang is verleend.
Segmentatie blijft cruciaal voor functiescheiding. Information Barriers, gevoeligheidslabels die aan groepen zijn gekoppeld en privékanalen voorkomen dat aanbestedingsteams concurrerende leveranciers met elkaar laten communiceren of dat integriteitsonderzoeken zichtbaar zijn voor betrokkenen. Voor ketensamenwerking met andere overheden zet je B2B Direct Connect in, zodat identiteiten in hun eigen tenant blijven en je toch beleid kunt afdwingen. Voeg daar Data Loss Prevention-regels aan toe die delen van vertrouwelijke documenten naar publieke cloudopslag blokkeren, en je hebt een sluitende basis voor geheimhouding zonder de samenwerking stil te zetten.
Data- en documentbeveiliging vraagt ook om duidelijke afspraken over context. Elk document krijgt via Purview een label dat de opslaglocatie, encryptiestatus, gedeelde personen en bewaartermijn bepaalt. Wanneer een gebruiker een gast toevoegt aan een kanaal dat als 'Departementaal Vertrouwelijk' is gelabeld, verschijnt een policy tip met uitleg over de risico's en een verwijzing naar het beleid. Defender for Cloud Apps houdt in de gaten of gasten via andere applicaties proberen dezelfde bestanden te downloaden en markeert verdachte patronen voor het SOC. Zo ontstaat een keten van preventie, detectie en respons rond elk dossier.
Tot slot maak je de governance meetbaar. Elk kwartaal levert het samenwerkingsplatform een rapportage op tafel bij de securityboard met indicatoren zoals het aantal actieve gasten, verlopen toegangen, aangetroffen verborgen teams en incidenten waarbij delen buiten de EU is geblokkeerd. Die rapportage wordt gekoppeld aan een verbeterplan met concrete acties, zoals het hercertificeren van gastaccounts of het aanscherpen van clausules in verwerkersovereenkomsten. Door bewijsstukken in Purview eDiscovery te bewaren, kun je audits van de ADR, de Rijksauditdienst of de Autoriteit Persoonsgegevens zonder spoedoperaties beantwoorden.
Lifecycle, monitoring en bewijsvoering
Veilige samenwerking vraagt om strak lifecyclebeheer. Je start met een catalogus van goedgekeurde werkruimtetypen waarin per type staat welke labels, kanalen, apps en connecties zijn toegestaan. Provisioning verloopt via een Power App of ServiceNow-formulier dat de aanvrager verplicht een doelomschrijving, gevoeligheidsniveau, verantwoordelijke manager en verwachte einddatum op te geven. Op basis van die metadata worden automatisch de juiste Teams policies, SharePoint storagequota, eDiscovery-holds en Viva Engage communities toegepast. Dit vermindert schaduw-IT en zorgt dat het platformteam direct overzicht heeft over hoeveel werkruimtes er bestaan en hoe risicovol ze zijn.
Daarna volgt actief eigenaarschap. Elke workspace kent minimaal twee eigenaren die via maandelijkse rapportages inzicht krijgen in leden, gastgebruik en bestanden buiten bewaartermijn. Microsoft Entra Access Reviews herhalen per kwartaal of gasten en tijdelijke medewerkers nog nodig zijn. Teams-expiration policies waarschuwen vroegtijdig en stoppen werkruimtes die geen activiteiten meer vertonen. Door deze processen vast te leggen in het ISMS en te koppelen aan de RACI-matrix ontstaat duidelijkheid wie ingrijpt als een eigenaar vertrekt of als een project versneld moet worden opgeschoond.
Recordsmanagement en archivering zijn vervolgens bepalend voor compliance. Purview-retentionlabels zorgen dat besluiten, contracten en burgerdossiers niet te kort of te lang blijven bestaan. Voor openbaarheidstrajecten volgens de Woo en voor parlementaire vragen moet je kunnen aantonen welke versies bestonden op een bepaald moment. Door automatische labeling te combineren met handmatige bevestiging bij gevoelige dossiers houd je de balans tussen gemak en zorgvuldigheid. Exportflows naar het e-Depot of Documentum blijven onder toezicht van informatiebeheer, terwijl de werkelijke verwerking in Teams gewoon kan doorgaan.
Monitoring en detectie sluiten het programma. Defender for Cloud Apps en Sentinel analyseren grote hoeveelheden samenwerkingstelemetrie en signaleren patronen zoals massale downloads door een gast, het plotseling toevoegen van honderden leden of het gebruik van onbekende third-party apps. SOC-analisten koppelen deze signalen aan het incidentresponsproces, inclusief draaiboeken voor het blokkeren van een team, het sealen van chats voor forensisch onderzoek en het informeren van het crisisteam. Door de dashboards ook beschikbaar te maken voor producteigenaren vergroot je het zelflerend vermogen van de organisatie.
Een volwassen samenwerkingsfunctie staat of valt met opleidings- en verandermanagement. In onboardingprogramma's leer je medewerkers hoe zij een label kiezen, waarom sommige gasten alleen via een projectaccount mogen deelnemen en hoe zij verdachte situaties melden. Community's of practice tussen informatiemanagers, security officers en product owners delen maandelijks praktijkcases. Bij grote wijzigingen – bijvoorbeeld het verplicht stellen van privékanalen voor vertrouwelijke onderzoeken – hoort een impactanalyse, communicatieplan en een mogelijkheid voor tijdelijke ontheffingen die centraal worden bijgehouden.
Tot slot borg je de ketenrelatie met leveranciers en externe platforms. Contracten met implementatiepartners en applicatiebeheerders bevatten bepalingen over toegang tot tenants, logging en exitprocedures. Wanneer je samenwerkt met andere overheden, leg je afspraken vast over wie welke logs bewaart, hoe snel incidenten worden teruggekoppeld en welke rechtbank bevoegd is. Deze afspraken worden vertaald naar meetbare service levels en opgenomen in dashboards. Zo blijft samenwerking snel én controleerbaar, zelfs wanneer tientallen partijen tegelijk meekijken. Door gezamenlijke crisisoefeningen, terugkerende datakwaliteitsmetingen en expliciete escalatiemetingen weten alle partijen precies welke stappen volgen zodra een leverancier of ketenpartner een incident meldt.
Beveiligde samenwerking ontstaat wanneer bestuurders, beheerders en gebruikers dezelfde taal spreken over risico's, maatregelen en bewijs. Teams en SharePoint bieden een rijk palet aan functies, maar pas met duidelijke policies, labels, segmentatie en monitoring ontstaat een consistent beveiligingsniveau. Door techniek en procedure aan elkaar te koppelen, maak je het voor medewerkers eenvoudig om verantwoord samen te werken en voor auditors helder om te zien dat governance werkt.
Met dashboards, Access Reviews en retentionregels toon je bovendien aan dat de organisatie de Nederlandse Baseline voor Veilige Cloud, de BIO en de AVG serieus neemt. Elke uitnodiging, wijziging of blokkade laat sporen achter die terug te vinden zijn in Purview en Sentinel. Daardoor kun je sneller reageren op incidenten, onderbouwde beslissingen nemen in crisisteams en vertrouwen opbouwen bij burgers en ketenpartners.
Wie vandaag begint met het standaardiseren van provisioning, het automatiseren van labels en het meten van gastgebruik, maakt morgen het verschil tijdens audits, Woo-verzoeken en parlementaire vragen. Het is geen eenmalig project maar een blijvend programma waarin lessons learned worden vertaald naar nieuwe templates, policies en trainingen. Zo blijft samenwerking veilig, wendbaar en transparant, zelfs wanneer het aantal teams, kanalen en projecten blijft groeien.