BIO 9.01 ISO A.5.32

Archiefwet: Overzicht En Positionering Binnen Nederlandse Cloudomgevingen

📅 2025-01-27
⏱️ 18 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

De Archiefwet vormt het fundament onder het beheer van overheidsinformatie in Nederland. Voor organisaties die hun informatiehuishouding naar de cloud verplaatsen, zoals Microsoft 365 en Azure, is het essentieel om deze wettelijke eisen expliciet te vertalen naar digitale processen, techniek en governance.

Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
5/10
Implementatie
64u (tech: 24u)
Van toepassing op:
Rijksoverheid
Gemeenten
Provincies
Waterschappen
ZBO's

In veel organisaties is de Archiefwet vooral bekend bij archivarissen en informatiebeheerders, terwijl bestuurders, juristen, CISO's en IT-afdelingen zich primair richten op security, privacy en continuïteit. Hierdoor ontstaan blinde vlekken: cloudprojecten worden gestart zonder expliciete archiefparagraaf, Teams en SharePoint-sites groeien organisch zonder selectielijsten of bewaartermijnen, en er is geen helder beeld welke informatie blijvend moet worden bewaard. Dit leidt tot risico's bij Woo-verzoeken, enquêtes en gerechtelijke procedures, maar ook tot frustratie bij medewerkers die belangrijke stukken niet meer kunnen terugvinden. Een integrale kijk op de Archiefwet in relatie tot cloudplatformen is daarom noodzakelijk om zowel juridische als operationele risico's te beheersen.

PowerShell Modules Vereist
Primary API: Microsoft 365 Admin Center, Microsoft Purview, Azure Portal
Connection: PowerShell, Microsoft Graph, Azure CLI
Required Modules: Microsoft.Graph, Az.Accounts

Implementatie

Dit artikel biedt een overzicht van de rol van de Archiefwet binnen de context van de Nederlandse Baseline voor Veilige Cloud. We schetsen de belangrijkste begrippen en verantwoordelijkheden, leggen de relatie met andere kaders zoals de BIO, AVG en Woo, en laten zien hoe u archiefvereisten vanaf de start verankert in cloudstrategie, architectuur en governance. Vervolgens wordt verwezen naar verdiepende artikelen, zoals de concrete 'archiefwet-requirements', waarin technische configuraties, monitoring en remediatie in Microsoft 365 en Azure verder worden uitgewerkt. Het doel is bestuurders, architecten en informatiebeheerders een gemeenschappelijk referentiekader te geven om archief, security en compliance als één samenhangend geheel te benaderen.

De Archiefwet in het speelveld van security, privacy en governance

De Archiefwet wordt vaak gezien als een specialistisch domein voor archivarissen, maar in werkelijkheid raakt de wet vrijwel alle strategische dossiers binnen de overheid. Iedere keer dat een organisatie beleid ontwikkelt, besluiten neemt, uitvoeringsprocessen inricht of toezicht houdt, ontstaat informatie die onder de Archiefwet valt. Tegelijkertijd opereren organisaties binnen een breder normatief kader: de BIO voor informatiebeveiliging, de AVG voor privacy, de Woo voor openbaarheid en specifieke sectorale wetgeving, bijvoorbeeld binnen zorg, onderwijs of kritieke infrastructuur. In cloudomgevingen komt daar een extra dimensie bij: dataresidency, vendor lock-in, beschikbaarheid en zero trust-architecturen. De uitdaging is om al deze perspectieven niet als losse eisen te behandelen, maar als onderdelen van één integrale informatiehuishouding waarin de Archiefwet mede bepaalt hoe processen, systemen en data worden ingericht.

Voor bestuurders en lijnmanagers betekent dit dat archief geen natráject is, maar een randvoorwaarde vanaf de start van elk verandertraject. Een nieuw zaaksysteem, de invoering van Microsoft Teams of het opzetten van een datawarehouse moet altijd de vraag beantwoorden: welke informatie ontstaat hier, welke stukken zijn archiefwaardig, hoe lang moeten we die bewaren en hoe borgen we authenticiteit en toegankelijkheid? Zonder die vragen expliciet te stellen, ontstaat een situatie waarin dossiers verspreid raken over mailboxen, persoonlijke OneDrive-opslag en tijdelijke Teams, zonder duidelijke structuur of bewaartermijn. Dit is niet alleen juridisch problematisch, maar ook operationeel inefficiënt: medewerkers zoeken langer naar informatie, doublures ontstaan en het vertrouwen in digitale dossiers neemt af. Door de Archiefwet vanaf het begin te positioneren als een governance-thema, vergelijkbaar met security en privacy, wordt het een vanzelfsprekend onderdeel van projectstartarchitecturen, businesscases en stuurgroepbesluiten.

Voor CISO's en architecten is de Archiefwet vooral relevant als kader voor de kwaliteit van logging, configuratiebeheer en bewaartermijnen. Securitylogs kunnen bijvoorbeeld zelf archiefbescheiden zijn wanneer zij een rol spelen bij het reconstrueren van incidenten of besluitvorming rond risicoacceptatie. Hetzelfde geldt voor configuratiedocumentatie, beleidsteksten en rapportages van penetratietesten of auditbevindingen. In een cloudomgeving moeten deze objecten bewust worden geplaatst in locaties die zijn voorzien van passende retentie, versleuteling en toegangscontrole. Ook moeten organisaties rekening houden met toekomstige migraties: de keuze voor specifieke SaaS-oplossingen of proprietaire bestandsformaten mag niet betekenen dat archiefwaardige informatie over tien of twintig jaar niet meer leesbaar of overdraagbaar is. Door de Archiefwet te koppelen aan architectuurprincipes voor interoperabiliteit, open standaarden en exit-strategieën ontstaat een veel robuustere basis voor duurzame cloudadoptie.

Rollen, verantwoordelijkheden en governance rond digitaal archief

Een effectieve implementatie van de Archiefwet in de cloud begint bij heldere rolverdeling en governance. De formele zorgdrager – bijvoorbeeld een college van B&W of een minister – blijft juridisch eindverantwoordelijk voor het archiefbeheer, maar in de dagelijkse praktijk zijn meerdere functies betrokken. De Chief Information Officer (CIO) en Chief Information Security Officer (CISO) sturen op architectuur, beveiliging en risicobeheersing; de Chief Data Officer (CDO) en privacy officer bewaken datagebruik en gegevensbescherming; en informatiebeheerders en archivarissen zijn verantwoordelijk voor selectielijsten, bewaarbeleid en overdracht aan archiefinstellingen. In veel organisaties zijn deze rollen historisch gegroeid en werken zij met uiteenlopende begrippen en tooling. Door gezamenlijk een governance-model op te stellen waarin de Archiefwet expliciet wordt gekoppeld aan portefeuilles voor data, security en compliance, ontstaat duidelijkheid wie waarover gaat en hoe besluiten worden genomen.

In cloudcontext vertaalt governance zich naar concrete kaders en standaarden. Denk aan een organisatiebrede richtlijn voor de inrichting van Teams en SharePoint-sites, waarin is vastgelegd welke soorten sites bestaan, welke procescategorieën daaronder vallen en welke retentielabels standaard worden toegepast. Ook worden spelregels vastgelegd over wie nieuwe werkruimtes mag aanmaken, welke metadata verplicht zijn en hoe afsluiting en overdracht van dossiers gebeurt. Deze afspraken horen thuis in architectuurprincipes, informatiebeheerbeleid en security- of privacykaders, zodat projectteams er vanaf de start rekening mee houden. Een stuurgroep of governanceboard bewaakt dat grote projecten – zoals de invoering van een nieuw zaaksysteem of een migratie naar Microsoft 365 – een expliciete archiefparagraaf bevatten, inclusief impact op selectielijsten en bewaartermijnen. Daarmee wordt voorkomen dat archiefvragen pas opduiken als de techniek al is geïmplementeerd en migraties zijn afgerond.

Tot slot is er aandacht nodig voor de dagelijkse praktijk van medewerkers. Ook al zijn archief- en retentie-instellingen technisch goed ingericht, dan nog staat of valt de kwaliteit van dossiers met het gedrag van gebruikers. Medewerkers moeten begrijpen waarom het belangrijk is documenten in het juiste team of de juiste site op te slaan, waarom persoonlijke OneDrive-opslag geen archieflocatie is en hoe zij concepten, versies en definitieve documenten onderscheiden. Trainingen en awarenessprogramma's over veilig en zorgvuldig omgaan met informatie worden daarom uitgebreid met een expliciete Archiefwet-component. Daarbij helpt het om concrete scenario's te gebruiken, zoals een Woo-verzoek of een parlementaire enquête, zodat medewerkers zien hoe hun dagelijkse keuzes over opslag en naamgeving direct doorwerken in de mogelijkheid om later verantwoording af te leggen.

Van overzicht naar implementatie: vervolgstappen in Microsoft 365 en Azure

Dit indexartikel fungeert als startpunt voor organisaties die de Archiefwet willen verankeren in hun cloudstrategie. Vanuit dit overzicht is de eerste stap het in kaart brengen van de huidige situatie: welke processen en systemen genereren archiefwaardige informatie, waar wordt die informatie nu opgeslagen en welke bewaartermijnen zijn er formeel vastgesteld in selectielijsten? Op basis van die inventarisatie kan een gap-analyse worden uitgevoerd: in hoeverre sluiten de bestaande SharePoint- en Teams-structuren, mailboxen en lijn-of-businessapplicaties aan op de juridische eisen? Hierbij wordt expliciet gekeken naar criteria als volledigheid van dossiers, vindbaarheid, authenticiteit, integriteit en langdurige toegankelijkheid. De uitkomsten vormen de basis voor een meerjarenplan waarin technische maatregelen (zoals retentiebeleid in Microsoft Purview), organisatorische acties (bijvoorbeeld rollen en verantwoordelijkheden herijken) en verbeterde documentatie worden gecombineerd.

De verdiepende uitwerking van deze maatregelen vindt u in het artikel over 'Archiefwet: eisen aan digitale informatiehuishouding in de cloud'. Daarin worden onder meer concrete configuratievoorbeelden voor Microsoft 365 en Azure gegeven, inclusief suggesties voor monitoring en remediatie met behulp van PowerShell-scripts. Dit indexartikel verwijst bewust naar die verdieping, zodat lezers met verschillende rollen – van bestuurder tot technisch specialist – een logisch pad kunnen volgen: eerst de samenhang en governance begrijpen, daarna de technische details en implementatiestappen. In de praktijk betekent dit dat bestuurders en directies vooral dit overzicht gebruiken om kaders te stellen en prioriteit te geven aan archiefvraagstukken binnen cloudprojecten, terwijl architecten, informatiebeheerders en beheerteams de verdiepende artikelen gebruiken om concrete oplossingen te ontwerpen en te implementeren. Zo ontstaat één consistente lijn van beleid naar uitvoering, volledig in lijn met de Archiefwet en de Nederlandse Baseline voor Veilige Cloud.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Archiefwet: monitoring en compliance controle voor digitale informatiehuishouding in de cloud. .DESCRIPTION Controleert de inrichting van archiefbeheer in Microsoft 365 en Azure volgens de Archiefwet. Monitort retentiebeleid, labels, compliance-configuraties en bewaartermijnen. .NOTES Filename: index.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-15 Last Modified: 2025-01-15 Version: 1.0 Related JSON: content/compliance/archiefwet/index.json Category: compliance Workload: m365 .LINK https://github.com/m365-tenant-best-practise .EXAMPLE .\index.ps1 -Monitoring Controleert de inrichting van archiefbeheer in Microsoft 365 .EXAMPLE .\index.ps1 -Remediation Genereert aanbevelingen voor verbetering van archiefbeheer #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph [CmdletBinding()] param( [Parameter(HelpMessage = "Monitor current configuration status")] [switch]$Monitoring, [Parameter(HelpMessage = "Apply recommended configuration")] [switch]$Remediation, [Parameter(HelpMessage = "Show what would happen without making changes")] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' # ============================================================================ # HEADER # ============================================================================ Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Archiefwet Compliance Monitoring" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan # ============================================================================ # FUNCTIONS # ============================================================================ function Connect-RequiredServices { <# .SYNOPSIS Verbindt met benodigde Microsoft services #> [CmdletBinding()] param() Write-Verbose "Controleren van Microsoft Graph verbinding..." try { $context = Get-MgContext -ErrorAction SilentlyContinue if (-not $context) { Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Yellow Connect-MgGraph -Scopes "Directory.Read.All","Policy.Read.All","Compliance.Read.All" -ErrorAction Stop Write-Host "Verbonden met Microsoft Graph" -ForegroundColor Green } else { Write-Verbose "Reeds verbonden met Microsoft Graph" } } catch { Write-Error "Kon niet verbinden met Microsoft Graph: $_" throw } } function Invoke-Monitoring { <# .SYNOPSIS Monitort en rapporteert de huidige configuratiestatus voor archiefbeheer .OUTPUTS Returns hashtable with compliance status #> [CmdletBinding()] param() try { Write-Host "`nMonitoring:" -ForegroundColor Yellow # Connect to service (if needed) Connect-RequiredServices Write-Host "Controleren van archiefbeheer configuratie..." -ForegroundColor Gray # Initialize result object $result = @{ isCompliant = $false timestamp = Get-Date findings = @() retentionPolicies = @() labels = @() } # Check retention policies Write-Host "`n Controleren van retentiebeleid..." -ForegroundColor Gray try { $retentionPolicies = Get-MgComplianceRetentionPolicy -ErrorAction SilentlyContinue if ($retentionPolicies) { Write-Host " [OK] Retentiebeleid gevonden: $($retentionPolicies.Count) beleid(en)" -ForegroundColor Green $result.retentionPolicies = $retentionPolicies } else { Write-Host " [WARNING] Geen retentiebeleid geconfigureerd" -ForegroundColor Yellow $result.findings += "Geen retentiebeleid geconfigureerd in Microsoft Purview" } } catch { Write-Host " [WARNING] Kon retentiebeleid niet ophalen: $_" -ForegroundColor Yellow $result.findings += "Kon retentiebeleid niet controleren: $_" } # Check sensitivity labels Write-Host " Controleren van sensitivity labels..." -ForegroundColor Gray try { $labels = Get-MgSecurityInformationProtectionLabel -ErrorAction SilentlyContinue if ($labels) { Write-Host " [OK] Sensitivity labels gevonden: $($labels.Count) label(s)" -ForegroundColor Green $result.labels = $labels } else { Write-Host " [WARNING] Geen sensitivity labels geconfigureerd" -ForegroundColor Yellow $result.findings += "Geen sensitivity labels geconfigureerd" } } catch { Write-Host " [WARNING] Kon sensitivity labels niet ophalen: $_" -ForegroundColor Yellow $result.findings += "Kon sensitivity labels niet controleren: $_" } # Check compliance configuration Write-Host " Controleren van compliance configuratie..." -ForegroundColor Gray try { $complianceConfig = Get-MgCompliance -ErrorAction SilentlyContinue if ($complianceConfig) { Write-Host " [OK] Compliance configuratie beschikbaar" -ForegroundColor Green } else { Write-Host " [WARNING] Compliance configuratie niet beschikbaar" -ForegroundColor Yellow $result.findings += "Compliance configuratie niet beschikbaar" } } catch { Write-Host " [WARNING] Kon compliance configuratie niet controleren: $_" -ForegroundColor Yellow } # Determine compliance status if ($result.findings.Count -eq 0 -and $result.retentionPolicies.Count -gt 0) { $result.isCompliant = $true } # ============================================= # SUMMARY # ============================================= Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "SUMMARY:" -ForegroundColor Cyan Write-Host " Retentiebeleid: $($result.retentionPolicies.Count)" -ForegroundColor White Write-Host " Sensitivity labels: $($result.labels.Count)" -ForegroundColor White Write-Host " Bevindingen: $($result.findings.Count)" -ForegroundColor White if ($result.isCompliant) { Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red Write-Host " Issues found: $($result.findings.Count)" -ForegroundColor Yellow foreach ($finding in $result.findings) { Write-Host " - $finding" -ForegroundColor Yellow } } return $result } catch { Write-Host "`n[FAIL] ERROR during monitoring: $_" -ForegroundColor Red throw } } function Invoke-Remediation { <# .SYNOPSIS Genereert aanbevelingen voor verbetering van archiefbeheer .DESCRIPTION Biedt concrete aanbevelingen voor het verbeteren van archiefbeheer configuratie .PARAMETER WhatIf Shows what would be changed without making actual changes #> [CmdletBinding(SupportsShouldProcess)] param() try { Write-Host "`nRemediatie:" -ForegroundColor Yellow # Connect to service (if needed) Connect-RequiredServices Write-Host "Genereren van aanbevelingen..." -ForegroundColor Gray # Get current status $monitoringResult = Invoke-Monitoring Write-Host "`nAanbevelingen voor archiefbeheer:" -ForegroundColor Cyan if ($monitoringResult.retentionPolicies.Count -eq 0) { Write-Host " 1. Configureer retentiebeleid in Microsoft Purview" -ForegroundColor White Write-Host " - Maak beleid voor verschillende documenttypen" -ForegroundColor Gray Write-Host " - Koppel beleid aan selectielijsten" -ForegroundColor Gray } if ($monitoringResult.labels.Count -eq 0) { Write-Host " 2. Configureer sensitivity labels voor documentclassificatie" -ForegroundColor White Write-Host " - Definieer labels voor archiefwaardige documenten" -ForegroundColor Gray Write-Host " - Automatiseer labeltoepassing waar mogelijk" -ForegroundColor Gray } if ($monitoringResult.findings.Count -gt 0) { Write-Host " 3. Los de volgende bevindingen op:" -ForegroundColor White foreach ($finding in $monitoringResult.findings) { Write-Host " - $finding" -ForegroundColor Gray } } Write-Host "`n[OK] Aanbevelingen gegenereerd" -ForegroundColor Green Write-Host " Zie het artikel voor gedetailleerde implementatiestappen" -ForegroundColor Gray } catch { Write-Host "`n[FAIL] ERROR during remediation: $_" -ForegroundColor Red throw } } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { # Determine which action to perform if ($Remediation) { if ($WhatIf) { Write-Host "WhatIf: Zou aanbevelingen genereren" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Monitoring) { $result = Invoke-Monitoring # Exit with appropriate code for automation if ($result.isCompliant) { exit 0 # Success - Compliant } else { exit 1 # Warning - Non-compliant } } else { # No parameters - show usage Write-Host "Available parameters:" -ForegroundColor Yellow Write-Host " -Monitoring : Check current configuration status" -ForegroundColor Gray Write-Host " -Remediation : Generate recommendations for improvement" -ForegroundColor Gray Write-Host " -WhatIf : Preview changes without applying" -ForegroundColor Gray Write-Host "`nExample: .\index.ps1 -Monitoring" -ForegroundColor Cyan } } catch { Write-Error "Script execution failed: $_" exit 2 # Error } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan } # ============================================================================ # EXIT CODES # ============================================================================ # 0 = Success / Compliant # 1 = Warning / Non-compliant # 2 = Error / Execution failed

Risico zonder implementatie

Risico zonder implementatie
Medium: Zonder integraal overzicht van de Archiefwet in relatie tot cloudomgevingen worden archiefvragen ad hoc en projectmatig opgelost, met grote kans op onvolledige dossiers, onduidelijke verantwoordelijkheden en verhoogde juridische en reputatierisico's.

Management Samenvatting

Gebruik dit indexartikel om de Archiefwet structureel te positioneren binnen cloudstrategie, governance en architectuur. Leg rollen, verantwoordelijkheden en samenhang met BIO, AVG en Woo vast en verwijs naar verdiepende artikelen voor concrete technische en organisatorische maatregelen.