💼 Management Samenvatting
Veel Nederlandse publieke organisaties hebben inmiddels een basis ingericht voor AVG-naleving rond Microsoft 365 en Azure, maar merken in de praktijk dat documentatie, processen en technische maatregelen versnipperd zijn. Er is vaak wel een privacyverklaring, een verwerkingsregister en losse beleidsdocumenten, maar geen samenhangend framework dat beschrijft hoe alle onderdelen elkaar versterken en hoe nieuwe cloud- en AI-functionaliteit systematisch wordt getoetst aan de AVG.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
230u (tech: 90u)
Van toepassing op:
✓ Rijksoverheid
✓ Gemeenten
✓ Zorginstellingen
✓ Onderwijs
✓ Vitale aanbieders
✓ Gemeenten
✓ Zorginstellingen
✓ Onderwijs
✓ Vitale aanbieders
Zonder geïntegreerd AVG-complianceframework ontstaat het risico dat beslissingen ad hoc worden genomen, verantwoordelijkheden onduidelijk zijn en cruciale documenten ontbreken of verouderen. Dat maakt het lastig om richting Autoriteit Persoonsgegevens, interne audit, rekenkamers of gemeenteraad overtuigend aan te tonen dat de organisatie aantoonbaar in control is. Bovendien vergroten onduidelijke processen de kans dat nieuwe diensten in Microsoft 365 of Azure in gebruik worden genomen zonder voorafgaande DPIA, zonder heldere grondslag of zonder dat betrokkenen goed worden geïnformeerd over hun rechten.
PowerShell Modules Vereist
Primary API: Microsoft 365 Admin Center, Microsoft Purview, Azure Portal
Connection:
Required Modules: Microsoft.PowerShell.Management
Connection:
PowerShell, Microsoft Graph, REST API'sRequired Modules: Microsoft.PowerShell.Management
Implementatie
Dit artikel beschrijft een praktisch AVG-complianceframework specifiek gericht op het gebruik van Microsoft 365 en Azure binnen de publieke sector. We werken uit hoe u juridische vereisten vertaalt naar concrete governance-afspraken, processtappen en technische controles. Daarbij koppelen we de onderdelen van het framework aan bestaande BIO- en ISO27001-structuren, zodat privacy geen losstaand traject wordt maar integraal onderdeel van informatiebeveiliging en cloud governance. Het gekoppelde PowerShell-script helpt u om de aanwezigheid en actualiteit van kernstukken – zoals beleid, verwerkingsregister, DPIA's en verwerkersovereenkomsten – te controleren en biedt een basis voor continue verbetering in lijn met de Nederlandse Baseline voor Veilige Cloud.
Kernprincipes en opbouw van het AVG-complianceframework
Een AVG-complianceframework voor Microsoft 365 en Azure begint bij een helder set kernprincipes die door bestuur en directie worden onderschreven. Deze principes geven richting aan alle verdere keuzes in beleid, processen en techniek. Voor Nederlandse overheidsorganisaties sluit het framework aan op de beginselen uit de AVG – zoals rechtmatigheid, doelbinding, dataminimalisatie, juistheid, opslagbeperking, integriteit en vertrouwelijkheid – én op de transparantie- en verantwoordingsplichten. In de praktijk betekent dit dat elke nieuwe dienst of functionaliteit in Microsoft 365 of Azure wordt beoordeeld aan de hand van dezelfde vaste vragen: welke persoonsgegevens worden verwerkt, waarom is deze verwerking noodzakelijk, op welke grondslag steunt de organisatie, welke risico's ontstaan voor burgers en hoe worden die gemitigeerd.
Het framework is bij voorkeur opgebouwd in drie lagen. De eerste laag bestaat uit beleidsmatige uitgangspunten: een overkoepelend privacy- en informatiebeveiligingsbeleid, aangevuld met specifieke kaders voor gebruik van cloud- en AI-diensten. De tweede laag omvat de kernprocessen, zoals intake en beoordeling van nieuwe verwerkingen, het uitvoeren en actualiseren van Data Protection Impact Assessments (DPIA's), het bijhouden van het verwerkingsregister en het afhandelen van verzoeken van betrokkenen. De derde laag beschrijft de technische implementatie in Microsoft 365 en Azure: hoe configuraties, labels, toegangsmodellen, logging en monitoring zijn ingericht om de eerder vastgestelde principes daadwerkelijk af te dwingen. Door deze gelaagde structuur ontstaat een logisch verband tussen beleidsstukken, procesbeschrijvingen en concrete instellingen in de cloudomgeving.
Voor de Nederlandse publieke sector is het essentieel dat het AVG-complianceframework expliciet aansluit op bestaande governance- en kwaliteitskaders. Dat betekent dat het framework aansluit bij de BIO, sectorale normen (zoals NEN 7510 in de zorg of onderwijs-specifieke afspraken) en – waar van toepassing – de eisen uit de Wbni/NIS2. Door dezelfde risicoclassificaties, eigenaarsrollen en overlegstructuren te gebruiken voor zowel informatiebeveiliging als privacy ontstaat synergie: CISO, privacy officer, FG, architecten en proceseigenaren werken vanuit één geïntegreerd model. Het framework moet bovendien voldoende concreet zijn om als toetsingskader voor projecten te dienen, maar tegelijk generiek genoeg blijven om mee te kunnen groeien met nieuwe wetgeving, zoals de EU AI Act en aanvullende nationale regelgeving rond digitale overheid.
Governance, rollen en verantwoordelijkheden
Een effectief AVG-complianceframework staat of valt met duidelijke governance. Bestuur en directie moeten expliciet vastleggen wie waarvoor verantwoordelijk is, zowel op strategisch als operationeel niveau. In veel organisaties zijn al functies als CISO, privacy officer en Functionaris voor Gegevensbescherming (FG) belegd, maar ontbreekt een concreet overzicht van hun rol in relatie tot Microsoft 365 en Azure. Het framework beschrijft daarom per rol welke taken zij hebben in de verschillende fasen van de levenscyclus van een verwerking: van idee en ontwerp, via implementatie en exploitatie, tot afbouw en archivering. Ook wordt vastgelegd hoe deze rollen samenwerken met proceseigenaren, applicatiebeheerders, projectleiders en leveranciers.
In de praktijk werkt governance het beste wanneer organisaties vaste overlegstructuren en besluitvormingsmomenten inrichten. Denk aan een privacy- en securityboard waarin nieuwe initiatieven worden beoordeeld, een change advisory board (CAB) waarin wijzigingen met privacy-impact standaard aan de orde komen en periodieke afstemming tussen FG, CISO en CIO over de stand van zaken rond AVG-naleving. Voor Microsoft 365 en Azure is het zinvol om deze gremia te koppelen aan bestaande cloud governance-structuren: besluiten over nieuwe tenants, cross-tenant koppelingen, integraties met externe platforms of inzet van generatieve AI-functies worden standaard langs dezelfde privacy- en securitymeetlat gelegd. Het framework beschrijft welke documentatie minimaal aanwezig moet zijn voordat een besluit kan worden genomen en hoe deze documenten worden beheerd.
Een belangrijk onderdeel van governance is het vergroten van bewustzijn en eigenaarschap buiten de centrale stafafdelingen. Proceseigenaren moeten begrijpen dat zij eindverantwoordelijk zijn voor de rechtmatige en zorgvuldige verwerking van persoonsgegevens binnen hun processen, ook wanneer de onderliggende technologie door de IT-organisatie of een externe leverancier wordt beheerd. Het AVG-complianceframework ondersteunt dit door heldere, begrijpelijke richtlijnen aan te bieden, inclusief voorbeelden van goede en slechte praktijk, en door trainingen te koppelen aan concrete Microsoft 365- en Azure-scenario's. Zo wordt voorkomen dat privacy wordt gezien als een eenmalig vinkje in een project, in plaats van een doorlopend kwaliteitsaspect van digitale dienstverlening.
Processen en documentatie: van verwerkingsregister tot DPIA
Het hart van het AVG-complianceframework bestaat uit een set gestandaardiseerde processen en de bijbehorende documentatie. Allereerst is er het proces voor het registreren en beoordelen van nieuwe verwerkingen. Iedere nieuwe toepassing van Microsoft 365 of Azure die persoonsgegevens verwerkt – bijvoorbeeld het gebruik van Teams voor bestuurlijke vergaderingen, SharePoint voor dossiers, of Azure voor data-analyse – wordt via een intakeformulier aangemeld. In dit formulier worden doelen, gegevenscategorieën, betrokkenen, mogelijke ontvangers, bewaartermijnen en de voorgestelde rechtsgrond vastgelegd. Op basis daarvan wordt beoordeeld of een DPIA noodzakelijk is en welke aanvullende randvoorwaarden gelden, zoals gebruik van specifieke beveiligingsmaatregelen of aanvullende contractuele afspraken met verwerkers.
Vervolgens wordt de verwerking opgenomen in het verwerkingsregister. Het framework schrijft voor welke velden minimaal ingevuld moeten worden en hoe omgegaan wordt met generieke verwerkingen, zoals 'gebruik van Microsoft 365', ten opzichte van meer specifieke verwerkingen, zoals 'registratie en afhandeling van klachten via een online formulier'. Voor cloudverwerkingen is het verstandig om expliciet aan te geven in welke regio data wordt opgeslagen, welke subverwerkers betrokken zijn en welke aanvullende waarborgen zijn getroffen, bijvoorbeeld rond pseudonimisering, encryptie en logging. Door het verwerkingsregister te koppelen aan het changeproces – bijvoorbeeld via een verplichte stap in het wijzigingsformulier – wordt geborgd dat wijzigingen in configuratie of gebruikspatronen ook leiden tot actualisatie van de registraties.
DPIA's vormen een tweede pijler van de documentatie. Het AVG-complianceframework beschrijft wanneer een DPIA verplicht of in ieder geval sterk aan te raden is, bijvoorbeeld bij grootschalige monitoring, profilering, inzet van AI-functionaliteit of verwerking van bijzondere persoonsgegevens. Het framework biedt een sjabloon dat is afgestemd op Microsoft 365- en Azure-scenario's, met aandacht voor datastromen tussen workloads, koppelingen met andere systemen en afhankelijkheden van leveranciers. Naast het verwerkingsregister en DPIA's voorziet het framework in aanvullende documenten, zoals beleid voor logging en monitoring, procedures voor datalekken, draaiboeken voor het afhandelen van inzageverzoeken en richtlijnen voor het gebruik van testdata. Het gekoppelde PowerShell-script kan organisaties ondersteunen door automatisch te controleren of deze kernstukken aanwezig zijn op de afgesproken locatie en door hiaten inzichtelijk te maken.
Technische controls in Microsoft 365 en Azure
Een AVG-complianceframework is pas effectief wanneer de juridische en organisatorische keuzes worden vertaald naar concrete technische controls in Microsoft 365 en Azure. Dat begint bij een doordachte tenant- en abonnementstructuur, waarin wordt vastgelegd welke gegevens in welke tenants mogen worden verwerkt en hoe omgegaan wordt met ontwikkel-, test- en productieomgevingen. Voor Microsoft 365 speelt de inrichting van identity- en toegangsbeheer een sleutelrol: multi-factor authenticatie, rolgebaseerde toegang, least privilege en scheiding van beheertaken zijn randvoorwaarden om de vertrouwelijkheid en integriteit van persoonsgegevens te waarborgen. Daarnaast zijn labels en beleidsregels in Microsoft Purview cruciaal om classificatie, data loss prevention en bewaartermijnen af te dwingen.
In Azure vertaalt het AVG-complianceframework zich naar standaardarchitectuurpatronen voor opslag, compute en integratie. Denk aan het gebruik van versleutelde opslag met klantbeheerde sleutels waar nodig, strikte netwerksegmentatie, het beperken van publieke endpoints en het toepassen van managed identities voor toegang tot resources. Logs en metriek uit Microsoft 365 en Azure worden bij voorkeur gecentraliseerd in een SIEM-oplossing, zoals Microsoft Sentinel, zodat verdachte patronen tijdig worden gedetecteerd en geanalyseerd. Het framework beschrijft welke logbronnen minimaal ingeschakeld moeten zijn om aan de verantwoordingsplicht van de AVG en de eisen uit de BIO te voldoen en hoe lang deze gegevens worden bewaard, in lijn met het proportionaliteitsbeginsel.
Belangrijk is dat technische controls niet los staan van de processen rond wijzigingsbeheer en lifecyclemanagement. Het framework schrijft voor dat wijzigingen in beveiligingsinstellingen, dataclassificatie of integraties met andere systemen altijd worden vastgelegd, beoordeeld en – waar nodig – getoetst op privacy-impact. Bij de introductie van nieuwe functionaliteit, zoals generatieve AI in Microsoft 365 of nieuwe analysetools in Azure, wordt nagegaan of bestaande DPIA's en verwerkingsregisteritems nog toereikend zijn. Door technische configuraties, scripts en beleidsregels te beheren in versiebeheersystemen zoals Git, ontstaat een herleidbare audittrail die laat zien wanneer welke maatregelen zijn ingevoerd, aangepast of teruggedraaid. Dit maakt het eenvoudiger om bij incidenten of vragen van toezichthouders aan te tonen welke stappen zijn gezet om persoonsgegevens te beschermen.
Monitoring, audits en continue verbetering
Gebruik PowerShell-script avg-compliance-framework.ps1 (functie Invoke-AvgComplianceAssessment) – Voert een gestructureerde controle uit op de aanwezigheid en basiskwaliteit van kernstukken binnen het AVG-complianceframework, zoals beleid, verwerkingsregister, DPIA's en procedures..
AVG-naleving rond Microsoft 365 en Azure is geen statische eindtoestand, maar een doorlopend proces. Wet- en regelgeving ontwikkelen zich, Microsoft introduceert nieuwe functionaliteit en de organisatie zelf verandert van structuur, processen en datastromen. Daarom bevat het AVG-complianceframework een expliciete cyclus voor monitoring en continue verbetering. Deze cyclus bestaat uit periodieke zelfevaluaties, interne audits, onafhankelijke reviews door de FG en waar nodig externe toetsing. De uitkomsten hiervan worden vastgelegd in concrete verbeterplannen met eigenaars, deadlines en prioriteiten, zodat privacyrisico's niet op de plank blijven liggen maar daadwerkelijk worden opgepakt.
Gebruik PowerShell-script avg-compliance-framework.ps1 (functie Invoke-AvgComplianceReport) – Genereert een beknopt overzichtsrapport met sterktes, zwaktes en verbeteracties op basis van de uitgevoerde controles, geschikt voor managementrapportage..
Belangrijk is dat de monitoringcyclus niet alleen focust op het bestaan van documenten, maar ook op hun bruikbaarheid en actualiteit. Een privacybeleid dat jarenlang niet is herzien of een verwerkingsregister waarin nieuwe cloudverwerkingen ontbreken, biedt weinig bescherming. Het framework adviseert daarom om vaste momentums in te bouwen, bijvoorbeeld gekoppeld aan de planning- en controlcyclus, waarin expliciet wordt beoordeeld of beleid, DPIA's, verwerkersovereenkomsten en technische maatregelensets nog aansluiten bij de praktijk. Resultaten worden gedeeld met bestuur en directie, zodat zij weloverwogen keuzes kunnen maken over risicoacceptatie, prioritering van verbeteracties en benodigde middelen. Door monitoring, rapportage en besluitvorming te verbinden ontstaat een lerende organisatie die stap voor stap toewerkt naar aantoonbare AVG-compliance in de cloud.
Compliance & Frameworks
- BIO: 9.01, 9.02, 12.01, 12.04 - Borgt dat privacy- en beveiligingsmaatregelen voor verwerking van persoonsgegevens in Microsoft 365 en Azure zijn vastgelegd, geïmplementeerd en aantoonbaar worden beheerd binnen de bredere informatiebeveiligingsstructuur.
- ISO 27001:2022: A.5.1, A.5.7, A.8.2, A.12.4 - Ondersteunt governance, rollen en verantwoordelijkheden, classificatie en behandeling van informatie en logging- en monitoringmaatregelen in cloudomgevingen.
- NIS2: Artikel - Legt de basis voor risicogebaseerde technische en organisatorische maatregelen en continue evaluatie van de doeltreffendheid van beveiligings- en privacycontrols in essentiële en belangrijke entiteiten.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Controle en rapportage voor het AVG-complianceframework rond Microsoft 365 en Azure.
.DESCRIPTION
Ondersteunt Nederlandse overheidsorganisaties bij het aantoonbaar maken van AVG-compliance
door te controleren of kernonderdelen van het AVG-complianceframework aanwezig zijn,
zoals beleid, verwerkingsregister, DPIA's en verbeterplannen. Daarnaast kan het script
een samenvattend rapport genereren voor managementrapportage.
.NOTES
Filename: avg-compliance-framework.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-26
Last Modified: 2025-11-26
Version: 1.0
Related JSON: content/compliance/avg-compliance-framework.json
.EXAMPLE
.\avg-compliance-framework.ps1 -Assessment -DebugMode
Voert een lokale debug-run uit met voorbeeldresultaten zonder afhankelijk te zijn
van een specifieke mappenstructuur.
.EXAMPLE
.\avg-compliance-framework.ps1 -Assessment
Controleert in de repository of kernstukken van het AVG-complianceframework aanwezig zijn.
.EXAMPLE
.\avg-compliance-framework.ps1 -Report -OutputPath .\avg-compliance-rapport.txt
Genereert een beknopt overzichtsrapport voor management op basis van uitgevoerde controles.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Voer controles uit op aanwezigheid van kernstukken van het AVG-complianceframework")]
[switch]$Assessment,
[Parameter(HelpMessage = "Genereer een samenvattend rapport op basis van de controle-uitkomsten")]
[switch]$Report,
[Parameter(HelpMessage = "Pad naar het rapportbestand dat moet worden aangemaakt (alleen bij -Report)")]
[string]$OutputPath,
[Parameter(HelpMessage = "Voer een veilige lokale test uit met voorbeelddata, zonder bestanden te lezen of te schrijven")]
[switch]$DebugMode
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
function Get-RepositoryRoot {
<#
.SYNOPSIS
Bepaalt de rootmap van de repository op basis van de locatie van dit script.
#>
[CmdletBinding()]
param()
$root = Resolve-Path (Join-Path $PSScriptRoot "..\..") -ErrorAction SilentlyContinue
if (-not $root) {
throw "Kon de repository-root niet bepalen op basis van PSScriptRoot: $PSScriptRoot"
}
return $root.Path
}
function Get-AvgComplianceFrameworkPaths {
<#
.SYNOPSIS
Bepaalt de paden voor kernonderdelen van het AVG-complianceframework.
.OUTPUTS
PSCustomObject met padinformatie.
#>
[CmdletBinding()]
param()
$repoRoot = Get-RepositoryRoot
$docsRoot = Join-Path $repoRoot "documentatie\avg-compliance-framework"
$policyPath = Join-Path $docsRoot "beleid-avg-complianceframework.md"
$registerPath = Join-Path $docsRoot "verwerkingsregister-overzicht.xlsx"
$dpiaFolder = Join-Path $docsRoot "dpia"
$proceduresPath = Join-Path $docsRoot "procedures-betrokkenenrechten.md"
$improvementPlanPath = Join-Path $docsRoot "verbeterplan-avg-complianceframework.md"
[PSCustomObject]@{
RepositoryRoot = $repoRoot
DocsRoot = $docsRoot
PolicyPath = $policyPath
RegisterPath = $registerPath
DpiaFolder = $dpiaFolder
ProceduresPath = $proceduresPath
ImprovementPlanPath = $improvementPlanPath
}
}
function Invoke-AvgComplianceAssessment {
<#
.SYNOPSIS
Controleert de aanwezigheid van belangrijke onderdelen van het AVG-complianceframework.
.OUTPUTS
PSCustomObject met een samenvatting van de status.
#>
[CmdletBinding()]
param()
Write-Host ""
Write-Host "AVG-complianceframework – Controle kernstukken" -ForegroundColor Cyan
Write-Host "================================================" -ForegroundColor Cyan
if ($DebugMode) {
Write-Host "DebugMode ingeschakeld: er worden geen bestanden gelezen of geschreven." -ForegroundColor Yellow
$summary = [PSCustomObject]@{
DocsRootExists = $true
PolicyExists = $true
RegisterExists = $true
HasDpiaFolder = $true
HasAtLeastOneDpiaFile = $true
ProceduresExists = $false
ImprovementPlanExists = $false
Timestamp = Get-Date
}
Write-Host ""
Write-Host "Voorbeeldsamenvatting (debug):" -ForegroundColor Cyan
$summary
return $summary
}
$paths = Get-AvgComplianceFrameworkPaths
Write-Verbose "Repository root: $($paths.RepositoryRoot)"
Write-Verbose "Documentatiepad: $($paths.DocsRoot)"
$summary = [PSCustomObject]@{
DocsRootExists = $false
PolicyExists = $false
RegisterExists = $false
HasDpiaFolder = $false
HasAtLeastOneDpiaFile = $false
ProceduresExists = $false
ImprovementPlanExists = $false
Timestamp = Get-Date
}
if (Test-Path -Path $paths.DocsRoot) {
$summary.DocsRootExists = $true
}
else {
Write-Host "Documentatiemap voor het AVG-complianceframework bestaat nog niet: $($paths.DocsRoot)" -ForegroundColor Yellow
}
if (Test-Path -Path $paths.PolicyPath) {
$summary.PolicyExists = $true
}
if (Test-Path -Path $paths.RegisterPath) {
$summary.RegisterExists = $true
}
if (Test-Path -Path $paths.DpiaFolder) {
$summary.HasDpiaFolder = $true
$dpiaFiles = Get-ChildItem -Path $paths.DpiaFolder -File -ErrorAction SilentlyContinue
if ($dpiaFiles -and $dpiaFiles.Count -gt 0) {
$summary.HasAtLeastOneDpiaFile = $true
}
}
if (Test-Path -Path $paths.ProceduresPath) {
$summary.ProceduresExists = $true
}
if (Test-Path -Path $paths.ImprovementPlanPath) {
$summary.ImprovementPlanExists = $true
}
Write-Host ""
Write-Host "Samenvatting:" -ForegroundColor Cyan
Write-Host (" Documentatiemap aanwezig : {0}" -f ($summary.DocsRootExists)) -ForegroundColor Cyan
Write-Host (" Beleidsdocument aanwezig : {0}" -f ($summary.PolicyExists)) -ForegroundColor Cyan
Write-Host (" Verwerkingsregister-overzicht aanwezig: {0}" -f ($summary.RegisterExists)) -ForegroundColor Cyan
Write-Host (" DPIA-map aanwezig : {0}" -f ($summary.HasDpiaFolder)) -ForegroundColor Cyan
Write-Host (" Minimaal één DPIA-bestand aanwezig : {0}" -f ($summary.HasAtLeastOneDpiaFile)) -ForegroundColor Cyan
Write-Host (" Procedures rechten betrokkenen aanwezig: {0}" -f ($summary.ProceduresExists)) -ForegroundColor Cyan
Write-Host (" Verbeterplan aanwezig : {0}" -f ($summary.ImprovementPlanExists)) -ForegroundColor Cyan
return $summary
}
function Invoke-AvgComplianceReport {
<#
.SYNOPSIS
Genereert een beknopt managementrapport op basis van de assessment-resultaten.
.PARAMETER Result
Het resultaatobject dat is teruggegeven door Invoke-AvgComplianceAssessment.
.PARAMETER OutputPath
Pad naar het tekstbestand waarin het rapport wordt opgeslagen.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[pscustomobject]$Result,
[Parameter(Mandatory = $true)]
[string]$OutputPath
)
$folder = Split-Path -Path $OutputPath -Parent
if (-not [string]::IsNullOrWhiteSpace($folder) -and -not (Test-Path -Path $folder)) {
New-Item -Path $folder -ItemType Directory -Force | Out-Null
}
$lines = @()
$lines += "AVG-complianceframework – Managementrapport"
$lines += "Nederlandse Baseline voor Veilige Cloud"
$lines += ("Datum: {0}" -f (Get-Date -Format "yyyy-MM-dd HH:mm"))
$lines += ""
$lines += "1. Samenvatting van de controle"
$lines += (" Documentatiemap aanwezig : {0}" -f $Result.DocsRootExists)
$lines += (" Beleidsdocument aanwezig : {0}" -f $Result.PolicyExists)
$lines += (" Verwerkingsregister-overzicht aanwezig: {0}" -f $Result.RegisterExists)
$lines += (" DPIA-map aanwezig : {0}" -f $Result.HasDpiaFolder)
$lines += (" Minimaal één DPIA-bestand aanwezig : {0}" -f $Result.HasAtLeastOneDpiaFile)
$lines += (" Procedures rechten betrokkenen aanwezig: {0}" -f $Result.ProceduresExists)
$lines += (" Verbeterplan aanwezig : {0}" -f $Result.ImprovementPlanExists)
$lines += ""
$lines += "2. Interpretatie"
$lines += " Dit rapport geeft een eerste indicatie of de belangrijkste bouwstenen van het"
$lines += " AVG-complianceframework zoals beschreven in de Nederlandse Baseline voor Veilige Cloud"
$lines += " aanwezig zijn. Het vervangt geen volledige audit, maar kan worden gebruikt om"
$lines += " verbeteracties te prioriteren en voortgang richting bestuur en directie te rapporteren."
$lines | Out-File -FilePath $OutputPath -Encoding UTF8 -Force
Write-Host "Managementrapport aangemaakt: $OutputPath" -ForegroundColor Green
}
try {
Write-Host ""
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "AVG-complianceframework" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
if ($Assessment) {
$result = Invoke-AvgComplianceAssessment
if ($DebugMode) {
return $result
}
}
if ($Report) {
if (-not $result) {
# Indien Assessment nog niet is uitgevoerd in deze run, alsnog uitvoeren
$result = Invoke-AvgComplianceAssessment
}
if ([string]::IsNullOrWhiteSpace($OutputPath)) {
throw "Parameter -OutputPath is verplicht bij gebruik van -Report."
}
Invoke-AvgComplianceReport -Result $result -OutputPath $OutputPath
}
if (-not $Assessment -and -not $Report) {
Write-Host ""
Write-Host "Geen modus opgegeven. Gebruik een van de volgende opties:" -ForegroundColor Yellow
Write-Host " -Assessment Controleer de aanwezigheid van kernstukken van het AVG-complianceframework." -ForegroundColor Yellow
Write-Host " -Report Genereer een managementrapport op basis van de assessment-resultaten (vereist -OutputPath)." -ForegroundColor Yellow
Write-Host " -DebugMode Gebruik voorbeelddata voor een veilige lokale test (alleen in combinatie met -Assessment)." -ForegroundColor Yellow
}
}
catch {
Write-Error "Fout in avg-compliance-framework.ps1: $_"
throw
}
finally {
Write-Host ""
Write-Host "========================================" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder gestructureerd AVG-complianceframework voor Microsoft 365 en Azure blijft privacyborging afhankelijk van losse initiatieven en individuele medewerkers. Dit vergroot de kans op hiaten in documentatie, onduidelijke rolverdeling, onvoldoende beheer van cloudverwerkingen en daarmee op juridische en reputatierisico's.
Management Samenvatting
Introduceer een integraal AVG-complianceframework dat juridische eisen vertaalt naar concrete governance, processen en technische controls voor Microsoft 365 en Azure. Zorg voor heldere rollen en verantwoordelijkheden, een actueel verwerkingsregister en DPIA-landschap, en gebruik geautomatiseerde controles en rapportages om naleving aantoonbaar te maken en continu te verbeteren.
- Implementatietijd: 230 uur
- FTE required: 0.7 FTE