💼 Management Samenvatting
De Archiefwet vormt het fundament onder het beheer van overheidsinformatie in Nederland. Voor organisaties die hun informatiehuishouding naar de cloud verplaatsen, zoals Microsoft 365 en Azure, is het essentieel om deze wettelijke eisen expliciet te vertalen naar digitale processen, techniek en governance.
Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
5/10
Implementatie
64u (tech: 24u)
Van toepassing op:
✓ Rijksoverheid
✓ Gemeenten
✓ Provincies
✓ Waterschappen
✓ ZBO's
✓ Gemeenten
✓ Provincies
✓ Waterschappen
✓ ZBO's
In veel organisaties is de Archiefwet vooral bekend bij archivarissen en informatiebeheerders, terwijl bestuurders, juristen, CISO's en IT-afdelingen zich primair richten op security, privacy en continuïteit. Hierdoor ontstaan blinde vlekken: cloudprojecten worden gestart zonder expliciete archiefparagraaf, Teams en SharePoint-sites groeien organisch zonder selectielijsten of bewaartermijnen, en er is geen helder beeld welke informatie blijvend moet worden bewaard. Dit leidt tot risico's bij Woo-verzoeken, enquêtes en gerechtelijke procedures, maar ook tot frustratie bij medewerkers die belangrijke stukken niet meer kunnen terugvinden. Een integrale kijk op de Archiefwet in relatie tot cloudplatformen is daarom noodzakelijk om zowel juridische als operationele risico's te beheersen.
PowerShell Modules Vereist
Primary API: Microsoft 365 Admin Center, Microsoft Purview, Azure Portal
Connection:
Required Modules: Microsoft.Graph, Az.Accounts
Connection:
PowerShell, Microsoft Graph, Azure CLIRequired Modules: Microsoft.Graph, Az.Accounts
Implementatie
Dit artikel biedt een overzicht van de rol van de Archiefwet binnen de context van de Nederlandse Baseline voor Veilige Cloud. We schetsen de belangrijkste begrippen en verantwoordelijkheden, leggen de relatie met andere kaders zoals de BIO, AVG en Woo, en laten zien hoe u archiefvereisten vanaf de start verankert in cloudstrategie, architectuur en governance. Vervolgens wordt verwezen naar verdiepende artikelen, zoals de concrete 'archiefwet-requirements', waarin technische configuraties, monitoring en remediatie in Microsoft 365 en Azure verder worden uitgewerkt. Het doel is bestuurders, architecten en informatiebeheerders een gemeenschappelijk referentiekader te geven om archief, security en compliance als één samenhangend geheel te benaderen.
De Archiefwet in het speelveld van security, privacy en governance
De Archiefwet wordt vaak gezien als een specialistisch domein voor archivarissen, maar in werkelijkheid raakt de wet vrijwel alle strategische dossiers binnen de overheid. Iedere keer dat een organisatie beleid ontwikkelt, besluiten neemt, uitvoeringsprocessen inricht of toezicht houdt, ontstaat informatie die onder de Archiefwet valt. Tegelijkertijd opereren organisaties binnen een breder normatief kader: de BIO voor informatiebeveiliging, de AVG voor privacy, de Woo voor openbaarheid en specifieke sectorale wetgeving, bijvoorbeeld binnen zorg, onderwijs of kritieke infrastructuur. In cloudomgevingen komt daar een extra dimensie bij: dataresidency, vendor lock-in, beschikbaarheid en zero trust-architecturen. De uitdaging is om al deze perspectieven niet als losse eisen te behandelen, maar als onderdelen van één integrale informatiehuishouding waarin de Archiefwet mede bepaalt hoe processen, systemen en data worden ingericht.
Voor bestuurders en lijnmanagers betekent dit dat archief geen natráject is, maar een randvoorwaarde vanaf de start van elk verandertraject. Een nieuw zaaksysteem, de invoering van Microsoft Teams of het opzetten van een datawarehouse moet altijd de vraag beantwoorden: welke informatie ontstaat hier, welke stukken zijn archiefwaardig, hoe lang moeten we die bewaren en hoe borgen we authenticiteit en toegankelijkheid? Zonder die vragen expliciet te stellen, ontstaat een situatie waarin dossiers verspreid raken over mailboxen, persoonlijke OneDrive-opslag en tijdelijke Teams, zonder duidelijke structuur of bewaartermijn. Dit is niet alleen juridisch problematisch, maar ook operationeel inefficiënt: medewerkers zoeken langer naar informatie, doublures ontstaan en het vertrouwen in digitale dossiers neemt af. Door de Archiefwet vanaf het begin te positioneren als een governance-thema, vergelijkbaar met security en privacy, wordt het een vanzelfsprekend onderdeel van projectstartarchitecturen, businesscases en stuurgroepbesluiten.
Voor CISO's en architecten is de Archiefwet vooral relevant als kader voor de kwaliteit van logging, configuratiebeheer en bewaartermijnen. Securitylogs kunnen bijvoorbeeld zelf archiefbescheiden zijn wanneer zij een rol spelen bij het reconstrueren van incidenten of besluitvorming rond risicoacceptatie. Hetzelfde geldt voor configuratiedocumentatie, beleidsteksten en rapportages van penetratietesten of auditbevindingen. In een cloudomgeving moeten deze objecten bewust worden geplaatst in locaties die zijn voorzien van passende retentie, versleuteling en toegangscontrole. Ook moeten organisaties rekening houden met toekomstige migraties: de keuze voor specifieke SaaS-oplossingen of proprietaire bestandsformaten mag niet betekenen dat archiefwaardige informatie over tien of twintig jaar niet meer leesbaar of overdraagbaar is. Door de Archiefwet te koppelen aan architectuurprincipes voor interoperabiliteit, open standaarden en exit-strategieën ontstaat een veel robuustere basis voor duurzame cloudadoptie.
Rollen, verantwoordelijkheden en governance rond digitaal archief
Een effectieve implementatie van de Archiefwet in de cloud begint bij heldere rolverdeling en governance. De formele zorgdrager – bijvoorbeeld een college van B&W of een minister – blijft juridisch eindverantwoordelijk voor het archiefbeheer, maar in de dagelijkse praktijk zijn meerdere functies betrokken. De Chief Information Officer (CIO) en Chief Information Security Officer (CISO) sturen op architectuur, beveiliging en risicobeheersing; de Chief Data Officer (CDO) en privacy officer bewaken datagebruik en gegevensbescherming; en informatiebeheerders en archivarissen zijn verantwoordelijk voor selectielijsten, bewaarbeleid en overdracht aan archiefinstellingen. In veel organisaties zijn deze rollen historisch gegroeid en werken zij met uiteenlopende begrippen en tooling. Door gezamenlijk een governance-model op te stellen waarin de Archiefwet expliciet wordt gekoppeld aan portefeuilles voor data, security en compliance, ontstaat duidelijkheid wie waarover gaat en hoe besluiten worden genomen.
In cloudcontext vertaalt governance zich naar concrete kaders en standaarden. Denk aan een organisatiebrede richtlijn voor de inrichting van Teams en SharePoint-sites, waarin is vastgelegd welke soorten sites bestaan, welke procescategorieën daaronder vallen en welke retentielabels standaard worden toegepast. Ook worden spelregels vastgelegd over wie nieuwe werkruimtes mag aanmaken, welke metadata verplicht zijn en hoe afsluiting en overdracht van dossiers gebeurt. Deze afspraken horen thuis in architectuurprincipes, informatiebeheerbeleid en security- of privacykaders, zodat projectteams er vanaf de start rekening mee houden. Een stuurgroep of governanceboard bewaakt dat grote projecten – zoals de invoering van een nieuw zaaksysteem of een migratie naar Microsoft 365 – een expliciete archiefparagraaf bevatten, inclusief impact op selectielijsten en bewaartermijnen. Daarmee wordt voorkomen dat archiefvragen pas opduiken als de techniek al is geïmplementeerd en migraties zijn afgerond.
Tot slot is er aandacht nodig voor de dagelijkse praktijk van medewerkers. Ook al zijn archief- en retentie-instellingen technisch goed ingericht, dan nog staat of valt de kwaliteit van dossiers met het gedrag van gebruikers. Medewerkers moeten begrijpen waarom het belangrijk is documenten in het juiste team of de juiste site op te slaan, waarom persoonlijke OneDrive-opslag geen archieflocatie is en hoe zij concepten, versies en definitieve documenten onderscheiden. Trainingen en awarenessprogramma's over veilig en zorgvuldig omgaan met informatie worden daarom uitgebreid met een expliciete Archiefwet-component. Daarbij helpt het om concrete scenario's te gebruiken, zoals een Woo-verzoek of een parlementaire enquête, zodat medewerkers zien hoe hun dagelijkse keuzes over opslag en naamgeving direct doorwerken in de mogelijkheid om later verantwoording af te leggen.
Van overzicht naar implementatie: vervolgstappen in Microsoft 365 en Azure
Dit indexartikel fungeert als startpunt voor organisaties die de Archiefwet willen verankeren in hun cloudstrategie. Vanuit dit overzicht is de eerste stap het in kaart brengen van de huidige situatie: welke processen en systemen genereren archiefwaardige informatie, waar wordt die informatie nu opgeslagen en welke bewaartermijnen zijn er formeel vastgesteld in selectielijsten? Op basis van die inventarisatie kan een gap-analyse worden uitgevoerd: in hoeverre sluiten de bestaande SharePoint- en Teams-structuren, mailboxen en lijn-of-businessapplicaties aan op de juridische eisen? Hierbij wordt expliciet gekeken naar criteria als volledigheid van dossiers, vindbaarheid, authenticiteit, integriteit en langdurige toegankelijkheid. De uitkomsten vormen de basis voor een meerjarenplan waarin technische maatregelen (zoals retentiebeleid in Microsoft Purview), organisatorische acties (bijvoorbeeld rollen en verantwoordelijkheden herijken) en verbeterde documentatie worden gecombineerd.
De verdiepende uitwerking van deze maatregelen vindt u in het artikel over 'Archiefwet: eisen aan digitale informatiehuishouding in de cloud'. Daarin worden onder meer concrete configuratievoorbeelden voor Microsoft 365 en Azure gegeven, inclusief suggesties voor monitoring en remediatie met behulp van PowerShell-scripts. Dit indexartikel verwijst bewust naar die verdieping, zodat lezers met verschillende rollen – van bestuurder tot technisch specialist – een logisch pad kunnen volgen: eerst de samenhang en governance begrijpen, daarna de technische details en implementatiestappen. In de praktijk betekent dit dat bestuurders en directies vooral dit overzicht gebruiken om kaders te stellen en prioriteit te geven aan archiefvraagstukken binnen cloudprojecten, terwijl architecten, informatiebeheerders en beheerteams de verdiepende artikelen gebruiken om concrete oplossingen te ontwerpen en te implementeren. Zo ontstaat één consistente lijn van beleid naar uitvoering, volledig in lijn met de Archiefwet en de Nederlandse Baseline voor Veilige Cloud.
Compliance & Frameworks
- BIO: 9.01, 9.02, 12.01 - Positioneert Archiefwetvereisten binnen de brede kaders van informatiebeveiliging, logging en dossiervorming in de BIO.
- ISO 27001:2022: A.5.32, A.7.4 - Verbindt archiefbeheer en bewaartermijnen aan informatieclassificatie en bewaarbeleid binnen een ISMS.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Overzichtscontrole voor Archiefwet-positionering in cloudomgevingen.
.DESCRIPTION
Dit script geeft een lichtgewicht controle en rapportage over de randvoorwaarden
rond de Archiefwet in relatie tot cloudprojecten. De nadruk ligt op governance,
documentatie en basisstructuren, niet op diepgaande technische metingen.
Het script sluit aan op het artikel `content/compliance/archiefwet-index.json`
binnen de Nederlandse Baseline voor Veilige Cloud.
.NOTES
Filename: archiefwet-index.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-26
Last Modified: 2025-11-26
Version: 1.0
Related JSON: content/compliance/archiefwet-index.json
.EXAMPLE
.\archiefwet-index.ps1 -InvokeOverview
Toont een overzichtsrapport over governance- en documentatiecomponenten.
.EXAMPLE
.\archiefwet-index.ps1 -InvokeScan -WhatIf
Voert een lichte scan uit op mappen en documentatie zonder wijzigingen door te voeren.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter()]
[switch]$WhatIf,
[Parameter()]
[Alias("Overview")]
[switch]$InvokeOverview,
[Parameter()]
[Alias("Scan")]
[switch]$InvokeScan
)
$ErrorActionPreference = 'Stop'
function Get-RepositoryRoot {
<#
.SYNOPSIS
Bepaalt de rootmap van de repository op basis van de locatie van dit script.
#>
[CmdletBinding()]
param()
$root = Resolve-Path (Join-Path $PSScriptRoot "..\..") -ErrorAction SilentlyContinue
if (-not $root) {
throw "Kon de repository-root niet bepalen op basis van PSScriptRoot: $PSScriptRoot"
}
return $root.Path
}
function Get-GovernancePaths {
<#
.SYNOPSIS
Bepaalt verwachte paden voor governance- en beleidssdocumenten.
.OUTPUTS
PSCustomObject met padinformatie.
#>
[CmdletBinding()]
param()
$repoRoot = Get-RepositoryRoot
$governanceRoot = Join-Path $repoRoot "documentatie\governance"
$archiefRoot = Join-Path $repoRoot "documentatie\archiefwet"
$policiesPath = Join-Path $archiefRoot "beleid"
$cloudProgramsDir = Join-Path $governanceRoot "cloud-programma's"
[PSCustomObject]@{
RepositoryRoot = $repoRoot
GovernanceRoot = $governanceRoot
ArchiefRoot = $archiefRoot
PoliciesPath = $policiesPath
CloudProgramsDir = $cloudProgramsDir
}
}
function Show-Overview {
<#
.SYNOPSIS
Toont een tekstueel overzicht van de Archiefwet-positionering in de repository.
#>
[CmdletBinding()]
param()
Write-Host "`nArchiefwet Index – Overzicht" -ForegroundColor Cyan
Write-Host "================================" -ForegroundColor Cyan
$paths = Get-GovernancePaths
Write-Host "Repository-root: $($paths.RepositoryRoot)" -ForegroundColor DarkGray
Write-Host "Governance-pad : $($paths.GovernanceRoot)" -ForegroundColor DarkGray
Write-Host "Archiefwet-pad : $($paths.ArchiefRoot)" -ForegroundColor DarkGray
Write-Host "`nDit script gaat uit van een scheiding tussen:" -ForegroundColor White
Write-Host " - Strategische governance-documenten (cloudstrategie, architectuurkaders)" -ForegroundColor White
Write-Host " - Archief- en informatiebeheerbeleid (selectielijsten, bewaartermijnen)" -ForegroundColor White
Write-Host " - Projectdocumentatie voor cloudprogramma's (besluiten, risicoafwegingen)" -ForegroundColor White
Write-Host "`nGebruik -InvokeScan om te controleren of basisstructuren aanwezig zijn." -ForegroundColor Yellow
}
function Invoke-Scan {
<#
.SYNOPSIS
Voert een lichte scan uit op aanwezigheid van governance- en archiefstructuren.
.DESCRIPTION
Controleert of verwachte mappen bestaan en of er ten minste één document
aanwezig is dat de samenhang tussen Archiefwet, BIO, AVG en Woo beschrijft.
De scan is bewust veilig en wijzigt zelf niets in de omgeving.
#>
[CmdletBinding()]
param()
Write-Host "`nArchiefwet Index – Lichte scan" -ForegroundColor Cyan
Write-Host "================================" -ForegroundColor Cyan
$paths = Get-GovernancePaths
$summary = [PSCustomObject]@{
GovernanceFolderExists = $false
ArchiefFolderExists = $false
PoliciesFolderExists = $false
CloudProgramsExists = $false
OverviewDocumentsFound = 0
Notes = @()
}
foreach ($prop in @("GovernanceRoot", "ArchiefRoot", "PoliciesPath", "CloudProgramsDir")) {
$currentPath = $paths.$prop
$exists = Test-Path -Path $currentPath
switch ($prop) {
"GovernanceRoot" { $summary.GovernanceFolderExists = $exists }
"ArchiefRoot" { $summary.ArchiefFolderExists = $exists }
"PoliciesPath" { $summary.PoliciesFolderExists = $exists }
"CloudProgramsDir" { $summary.CloudProgramsExists = $exists }
}
if ($exists) {
Write-Host " ✅ Map gevonden: $currentPath" -ForegroundColor Green
}
else {
Write-Host " ⚠️ Map ontbreekt: $currentPath" -ForegroundColor Yellow
$summary.Notes += "Map ontbreekt: $currentPath"
}
}
if (Test-Path -Path $paths.GovernanceRoot) {
$overviewFiles = Get-ChildItem -Path $paths.GovernanceRoot -Recurse -Include "*archiefwet*", "*informatiehuishouding*", "*cloudstrategie*" -ErrorAction SilentlyContinue
$summary.OverviewDocumentsFound = ($overviewFiles | Measure-Object).Count
if ($summary.OverviewDocumentsFound -gt 0) {
Write-Host "`n ✅ Overzichts- of governance-documenten gevonden:" -ForegroundColor Green
$overviewFiles |
Select-Object -First 5 |
ForEach-Object { Write-Host " - $($_.FullName)" -ForegroundColor Green }
if ($summary.OverviewDocumentsFound -gt 5) {
Write-Host " (+ $($summary.OverviewDocumentsFound - 5) extra bestanden)" -ForegroundColor DarkGray
}
}
else {
Write-Host "`n ⚠️ Geen governance-overzichtsdocumenten gevonden in $($paths.GovernanceRoot)." -ForegroundColor Yellow
$summary.Notes += "Geen governance-overzichtsdocumenten gevonden in $($paths.GovernanceRoot)."
}
}
Write-Host "`nSamenvatting (niet-destructief, scanduur < 15s):" -ForegroundColor Cyan
$summary | Format-List | Out-String | Write-Host
return $summary
}
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Archiefwet Index" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
if ($InvokeOverview) {
Show-Overview
}
elseif ($InvokeScan) {
Invoke-Scan
}
else {
Write-Host "Geen modus opgegeven. Gebruik één van de volgende opties:" -ForegroundColor Yellow
Write-Host " -InvokeOverview Toon een tekstueel overzicht van de Archiefwet-positionering." -ForegroundColor Yellow
Write-Host " -InvokeScan Voer een lichte, niet-destructieve scan uit op governance-structuren." -ForegroundColor Yellow
}
}
catch {
Write-Error "Fout in archiefwet-index.ps1: $_"
throw
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Zonder integraal overzicht van de Archiefwet in relatie tot cloudomgevingen worden archiefvragen ad hoc en projectmatig opgelost, met grote kans op onvolledige dossiers, onduidelijke verantwoordelijkheden en verhoogde juridische en reputatierisico's.
Management Samenvatting
Gebruik dit indexartikel om de Archiefwet structureel te positioneren binnen cloudstrategie, governance en architectuur. Leg rollen, verantwoordelijkheden en samenhang met BIO, AVG en Woo vast en verwijs naar verdiepende artikelen voor concrete technische en organisatorische maatregelen.
- Implementatietijd: 64 uur
- FTE required: 0.3 FTE