BIO 12.04.01 ISO A.18.1.3

Exchange Online: Litigation Hold Ontwerpen Voor Email Bewijsmateriaal Bewaring

📅 2025-10-30
⏱️ 9 minuten lezen
🟢 Nice-to-Have

💼 Management Samenvatting

Litigation Hold in Exchange Online creëert een onveranderlijke bewaarlaag over volledige mailboxen, waardoor e-mails, agenda-items, contacten en taken onaantastbaar blijven zodra de hold is geactiveerd. De functie lost het klassieke spanningsveld op tussen gebruikersautonomie en juridische bewaring: medewerkers kunnen hun mailbox blijven beheren, maar elk item wordt, inclusief eerdere versies en verwijderde onderdelen, automatisch veiliggesteld in de verborgen Recoverable Items-structuur. Deze methode voorkomt dat menselijk handelen of geautomatiseerde opschoning onbewust bewijs vernietigt en biedt juridische teams directe toegang tot authentieke records wanneer een onderzoek start. De oplossing is ontworpen voor situaties waarin tijd, volledigheid en herleidbaarheid cruciaal zijn. Zodra een hold actief is, bewaart het systeem de complete conversatiegeschiedenis inclusief metadata, zorgt het dat bewaartermijnen worden opgeschort en biedt het auditing van alle acties, zodat organisaties exact kunnen aantonen welk bewijs bestond ten tijde van een gebeurtenis of claim.

Aanbeveling
IMPLEMENTEER VOOR LEGAL CASES
Risico zonder
Medium
Risk Score
6/10
Implementatie
4u (tech: 2u)
Van toepassing op:
Exchange Online
M365

Bij juridische procedures, HR-onderzoeken naar mogelijke integriteitsschendingen of toezichtonderzoeken van bijvoorbeeld de Autoriteit Persoonsgegevens moet bewijs direct kunnen worden overlegd. Zonder een Litigation Hold kunnen twee scenario's optreden: gebruikers verwijderen bewust correspondentie om hun positie te beschermen of e-mailretentiebeleid archiveert berichten voordat een jurist beseft dat ze relevant zijn. Beide situaties leiden tot spoliation-risico's waarbij rechters zware sancties kunnen opleggen en toezichthouders kunnen stellen dat de organisatie onvoldoende zorgvuldigheid betrachtte. Bovendien vraagt de Nederlandse overheid dat bewaarde gegevens authentiek, integer en compleet zijn volgens de Archiefwet en de BIO. Een Litigation Hold geeft zekerheid dat de oorspronkelijke inhoud wordt bewaard, inclusief contextinformatie zoals verzendtijd, bijlagen en verzendketens. De maatregel ondersteunt ook transparantie richting betrokken medewerkers en ondernemingsraad: er ontstaat een aantoonbare juridische basis waaruit blijkt dat gegevens uitsluitend worden bewaard omdat er een concrete verplichting of aanwijzing is. Door holds centraal te registreren kan de organisatie aantonen dat alleen noodzakelijke mailboxen worden geraakt en dat de bewaartermijn regelmatig wordt herbeoordeeld. Dat voorkomt privacyklachten, verhoogt vertrouwen bij interne stakeholders en minimaliseert kosten doordat bewijs niet hoeft te worden gereconstrueerd uit back-ups. Daarnaast versnelt Litigation Hold de samenwerking tussen security-, compliance- en juridische teams. Zodra een incident wordt gemeld kan het SOC direct de relevante accounts laten bewaren zonder op het juridische team te wachten, waardoor beslissingen binnen uren worden genomen en automatische opschoning geen kans krijgt. De investering in governance verlaagt externe advieskosten en beperkt de kans op procesverlies.

Implementatie

Deze maatregel beschrijft hoe Litigation Hold op mailboxniveau wordt ontworpen, geactiveerd en beheerd zodat alle relevante communicatie onwijzigbaar beschikbaar blijft voor juridische of compliance-doeleinden. Er worden twee inzetmodellen onderscheiden: gerichte holds voor specifieke mailboxen die in een zaak of onderzoek voorkomen en organisatiebrede holds voor situaties waarin een brede preservation order geldt. In beide gevallen worden alle berichttypen inclusief concepten, agenda-uitnodigingen, taken, notities, Teams-vergaderverzoeken en bijlagen veiliggesteld, terwijl gebruikers gewoon kunnen blijven werken. De inhoud wordt opgeslagen in een verborgen opslag die niet meetelt voor het primaire mailboxquotum en automatisch onder Purview eDiscovery beschikbaar komt. Een hold kan onbeperkt actief blijven totdat de juridische afdeling bevestigt dat de zaak is afgerond, of tijdgebonden worden ingericht met een einddatum wanneer de bewaarplicht vooraf bekend is. Activatie verloopt via het Exchange Admin Center of via PowerShell met `Set-Mailbox -Identity -LitigationHoldEnabled $true -LitigationHoldDuration `, waarna optioneel een gebruikersmelding kan worden geconfigureerd. De maatregel beschrijft ook welke documentatie nodig is om de rechtmatigheid aan te tonen en hoe toegang uitsluitend via geautoriseerde eDiscovery-rollen wordt verleend. Zo ontstaat een sluitende keten van besluitvorming, techniek en auditing.

Vereisten

  1. Exchange Online Plan 2 of de M365 E3/E5 suite is noodzakelijk omdat alleen deze SKU's onbeperkte Recoverable Items-opslag en Litigation Hold-activering ondersteunen. Controleer vooraf of Purview eDiscovery (Standaard of Premium) is ingeschakeld, of de Unified Audit Log actief is en of de mailboxen niet zijn ondergebracht in legacy-archieven buiten Microsoft 365. Bevestig ook dat eventuele multi-geo tenants de juiste datalokatie gebruiken zodat bewijs binnen de Europese Economische Ruimte blijft en dat het netwerkconnectiviteitsmodel grote exporten naar juridische teams ondersteunt. Valideer tenslotte dat de tenant beschikt over voldoende Purview-capaciteit voor cases en dat het securityteam toegang heeft tot Exchange Online PowerShell V3 voor geautomatiseerde workflows.

    Controleer via `Get-OrganizationConfig` of de maximale Recoverable Items-quota zijn verhoogd en of er geen oude Litigation Holds bestaan die de storage onevenredig belasten. Documenteer deze technische randvoorwaarden in het serviceportfolio zodat audits snel kunnen vaststellen dat de basis onder beheer is.
  2. De eDiscovery Manager-, Compliance Administrator- en Security Operator-rollen moeten vooraf worden toegewezen en geborgd in een RACI-matrix. Elke Litigation Hold vereist een schriftelijke opdracht van het juridische team, vastgelegd in het case management-systeem, waarna de toegewezen beheerder de technische uitvoering verifieert volgens het vier-ogenprincipe. Documenteer wie de eigenaar van de mailbox is, welke datasets onder de hold vallen, welke bewaartermijn geldt en wanneer de volgende herbeoordeling plaatsvindt. In hybride omgevingen moeten ook on-premises Exchange-beheerders worden geïnformeerd, omdat zij mogelijk nog journaling of transport rules beheren. Neem procedures op voor het veilig overdragen van bevoegdheden tijdens vakantie of functiewisselingen zodat holds niet per ongeluk worden opgeheven.

    Plan periodieke tabletop-oefeningen waarin legal, compliance en beheer gezamenlijk een hold activeren en weer vrijgeven. Zo blijft de rolverdeling scherp en wordt aangetoond dat het proces ook bij personeelswisselingen blijft functioneren.
  3. Elke hold moet zijn gebaseerd op een aantoonbare juridische verplichting zoals een discovery request, een aanwijzing van een toezichthouder of een besluit van de interne onderzoekscommissie. Leg vast op welke wet- of regelgeving de maatregel is gebaseerd (bijvoorbeeld AVG artikel 17 lid 3, Archiefwet of contractuele bewaartermijnen) en welke proportionaliteitstoets is uitgevoerd. Bewaar ondersteunende documenten zoals correspondentie met de advocaat-generaal, interne memo's en het besluit van de Functionaris Gegevensbescherming in een beveiligde map die alleen voor compliance beschikbaar is. Voeg hieraan toe welk dataclassificatieniveau geldt, welke DPIA-conclusies van toepassing zijn en hoe lang de organisatie verwacht dat de hold actief blijft.

    Deze documentatie vormt de basis voor het hold-register en zorgt ervoor dat tijdens audits exact kan worden verklaard waarom een mailbox onder bewaring staat en welke criteria gelden voor vrijgave.
  4. Communicatie richting betrokken medewerkers en HR is cruciaal, ook al wordt vaak voor een stille hold gekozen. Stel een standaardbericht op waarin wordt uitgelegd dat gegevens tijdelijk worden bewaard, op basis van welke wettelijke grondslag en welke contactpersoon vragen kan beantwoorden. Beschrijf in het privacyregister dat Litigation Hold kan worden ingezet, inclusief bewaartermijnen en technische controles zoals rolgebaseerde toegang, logging en versleutelde opslag. Maak afspraken met de ondernemingsraad en het security awareness-team zodat medewerkers begrijpen dat holds geen disciplinair oordeel impliceren maar een beschermingsmaatregel zijn. Voorzie het helpdeskteam van een Q&A-document, registreer binnenkomende vragen en zorg dat opvolging van feedback leidt tot continue verbetering van het beleid.

    Leg bovendien vast hoe change- en incidentcommunicatie verloopt wanneer een hold moet worden aangepast, zodat elke wijziging traceerbaar blijft en het vertrouwen van medewerkers behouden blijft.

Implementatie

Een degelijk implementatieproces start met een triagefase waarin het juridische team de scope van de hold beschrijft en het securityteam beoordeelt welke mailboxen en gedelegeerde accounts onder de maatregel vallen. Verzamel identificerende informatie (UPN, alias, tenant-id) en leg vast welke gegevensstromen moeten worden meegenomen, zoals gedeelde postvakken, gekoppelde Teams-kanalen en mobiele archiefmailboxen. Maak een momentopname van bestaande retentiepolicy's en journaling rules zodat later kan worden aangetoond wat er is gewijzigd. Pas indien nodig Data Loss Prevention-beleid tijdelijk aan om false positives tijdens het onderzoek te vermijden. Na de voorbereiding wordt de hold geactiveerd via het Exchange Admin Center of via PowerShell. Gebruik in het portaal Purview → eDiscovery (Premium) → Cases om een nieuwe zaak te maken, voeg de relevante mailboxen toe en selecteer Litigation Hold met een duidelijke naam, case-nummer en, indien bekend, een einddatum. PowerShell-gestuurd verloopt dit via `Set-Mailbox -Identity -LitigationHoldEnabled $true -LitigationHoldDuration ` aangevuld met `-LitigationHoldOwner` en `-LitigationHoldComment` zodat later zichtbaar is wie de maatregel heeft opgelegd en waarom. Documenteer de gebruikte scripts in het change management-systeem en borg dat multi-factor authenticatie wordt toegepast op de beheerdersaccounts die de opdracht uitvoeren. Vervolgens moet de werking worden geverifieerd. Controleer via `Get-Mailbox -Identity | FL LitigationHold*` of de status `True` is, bekijk in de Purview-zaak of de mailbox als data source verschijnt en voer een proefzoekopdracht uit op recent verwijderde e-mails om te bevestigen dat de Recoverable Items-structuur de juiste items bevat. Leg de resultaten vast als auditbewijs, inclusief timestamp, command output en de identiteit van de uitvoerende beheerder. Bevestig daarnaast dat de mailboxquota niet worden beïnvloed en dat gebruikers geen foutmeldingen krijgen in Outlook of mobiele clients. Indien notificaties zijn ingeschakeld, controleer de Nederlandse formulering en of verwijzingen naar juridische contactpersonen correct zijn. Het proces wordt afgerond met governance maatregelen: update het Litigation Hold register, koppel het ticket aan de betreffende zaak, plan herbeoordelingen en definieer exitcriteria (bijvoorbeeld afronding van het onderzoek of ontvangst van een gerechtelijk bevel). Stel automatische herinneringen in binnen het case management-systeem zodat holds niet onnodig blijven bestaan. Integreer de hold in bestaande retentiebeleid door de betreffende mailboxen uit te sluiten van automatische opschoning en zorg dat back-up- of exportactiviteiten worden gecoördineerd met het juridische team. Organiseer aanvullend tests in een niet-productietenant zodat scripts, runbooks en toegangsrollen kunnen worden gevalideerd en leg alle stappen vast in het change record. Door deze aanpak ontstaat een reproduceerbare werkwijze die audits doorstaat en die tijdens crisisbeheersing nauwelijks extra overhead veroorzaakt. Documenteer lessons learned in het security knowledge base en zorg dat elk nieuw teamlid een praktische oefening afrondt waarin een hold wordt toegevoegd en verwijderd. Plan jaarlijks een onafhankelijke review door het interne auditteam dat een volledige activatie observeert en verbeterpunten vastlegt. Leg parallel het besluit en de technische uitvoer stap-voor-stap vast in het juridische dossier, inclusief screenshots van Purview en PowerShell-output, zodat externe auditors onafhankelijk kunnen herleiden hoe de hold tot stand kwam. Deze investering voorkomt fouten op het moment dat een echte rechtszaak speelt, wanneer snelheid en nauwkeurigheid essentieel zijn.

Compliance en Auditing

Litigation Hold ondersteunt meerdere compliancekaders doordat het waarborgt dat informatie die mogelijk bewijs vormt integraal wordt bewaard tot de juridische verplichting vervalt. Binnen de Nederlandse overheid vereist de Baseline Informatiebeveiliging Overheid (BIO) dat organisaties kunnen aantonen dat logging en bewaarplichten worden nageleefd; paragraaf 12.04 benadrukt het behouden van informatie die nodig is voor incidentonderzoek en juridische geschillen. Door holds centraal te registreren, te koppelen aan case-nummers en te voorzien van herbeoordelingsdata ontstaat een controleerbare keten die auditors kunnen toetsen. ISO/IEC 27001:2022, maatregel A.18.1.3, schrijft eveneens voor dat records beschermd moeten worden tegen verlies, wijziging of ongeautoriseerde vernietiging. Litigation Hold voorziet in die bescherming doordat gebruikers weliswaar items kunnen verplaatsen of verwijderen in hun client, maar de originele berichten technisch gezien onveranderd blijven bestaan. De maatregel sluit bovendien aan op de AVG. Artikel 17 geeft betrokkenen een recht op verwijdering, maar lid 3c en 3e bevatten uitzonderingen wanneer gegevens noodzakelijk zijn voor de vaststelling, uitoefening of onderbouwing van een rechtsvordering of wanneer er een wettelijke bewaarplicht geldt. Door per hold de grondslag te documenteren kan de privacy officer helder uitleggen waarom een verwijderingsverzoek tijdelijk wordt gepauzeerd en wanneer het alsnog wordt uitgevoerd. Tegelijkertijd zorgt het strikte autorisatiemodel van Purview ervoor dat alleen aangewezen eDiscovery-rollen toegang krijgen tot de bewaarde items, zodat het beginsel van minimale gegevensverwerking wordt gerespecteerd. Logging van zoekopdrachten, exportacties en goedkeuringen maakt het mogelijk om achteraf aan te tonen dat ieder gebruik van de data noodzakelijk en proportioneel was. Ook andere normen profiteren van een gestructureerde inzet van holds. Voor de Archiefwet en de selectielijsten in de rijkssector kan worden aangetoond dat records die onder een vernietigingsverbod vallen daadwerkelijk geblokkeerd zijn. Binnen sectorale kaders zoals de Wet politiegegevens of de NEN 7510 voor zorginstellingen wordt verwacht dat organisaties kunnen aantonen hoe zij bewijs veiligstellen bij klachten of calamiteiten. Door Litigation Hold te koppelen aan het bredere informatiebeheerprogramma ontstaat één uniforme aanpak voor digitale post, waardoor de auditlast afneemt: auditors hoeven niet langer per afdeling te controleren hoe e-mail wordt gearchiveerd, maar toetsen het generieke hold-proces. Belangrijk is dat compliance niet stopt na activatie. Iedere hold moet een eigenaar hebben, er moet worden vastgelegd welke criteria gelden voor verlenging of beëindiging en welke communicatie richting betrokkenen heeft plaatsgevonden. Voeg het hold-register toe aan het periodieke compliance-rapport aan de CISO en de FG, zodat zij kunnen beoordelen of de proportionaliteit intact blijft. Documenteer tevens of gegevens zijn geëxporteerd naar externe juristen en welke beveiligingsmaatregelen bij transport en opslag zijn getroffen (versleuteling, secure file transfer, logging). Op die manier vormt Litigation Hold niet alleen een technische configuratie, maar een integraal onderdeel van het governance-, risk- en compliance-raamwerk van de organisatie. Voor ketenpartners en leveranciers geldt dat zij in verwerkersovereenkomsten moeten bevestigen dat zij preserves respecteren wanneer Microsoft 365-data wordt geëxporteerd naar externe systemen, zodat de bewijslast intact blijft vanaf bron tot en met archief. Door deze afspraken en periodieke controles te combineren, ontstaat een sluitende bewijsvoering richting toezichthouders en rechtbanken.

Monitoring

Gebruik PowerShell-script exchange-litigation-hold.ps1 (functie Invoke-Monitoring) – Het script `code/design/collaboration/exchange-litigation-hold.ps1` met de functie `Invoke-Monitoring` controleert geautomatiseerd of Litigation Holds nog actief zijn, of de configuratie overeenkomt met het hold-register en of er afwijkingen zijn die een compliance-risico vormen. Bij iedere run haalt het script via de Exchange Online PowerShell-module de volledige lijst met mailboxen op waarvoor `LitigationHoldEnabled` is ingesteld en vergelijkt het deze met een referentiebestand waarin het juridische team de scope en einddata per case bijhoudt. Daarnaast verzamelt het script de waarden voor `LitigationHoldDuration`, `LitigationHoldOwner` en de meest recente `WhenChanged`-timestamp zodat zichtbaar wordt of er onbedoelde wijzigingen zijn aangebracht. Na de inventarisatie schrijft het script een rapport naar JSON en CSV, inclusief een duidelijke status per mailbox: conform, ontbrekende hold, verlopen einddatum of onbekende eigenaar. Het rapport kan direct worden ingelezen door Microsoft Sentinel of een Power BI-dashboard, waardoor compliance- en securityteams realtime inzicht houden. Wanneer het script een inconsistentie detecteert wordt een waarschuwing gelogd met prioriteit en worden optioneel adaptive cards gepost naar Microsoft Teams zodat de case-eigenaar onmiddellijk actie kan ondernemen. Dankzij parameterondersteuning kan men filters meegeven (bijvoorbeeld `-CaseId HR-2025-014`) om alleen de relevante mailboxen opnieuw te controleren. Voor betrouwbare resultaten draait het script via een automation-account of Azure Functions met een Managed Identity die uitsluitend de rol `Exchange Administrator` en `eDiscovery Manager` heeft. In de lokale debugmodus, die maximaal vijftien seconden duurt, kan een beheerder de functie testen voordat wijzigingen naar productie worden gepusht. De logging bevat run-id, uitvoerder, tenant-id en de gebruikte moduleversies, zodat bij auditvragen exact kan worden aangetoond met welke tooling de controle heeft plaatsgevonden. Het script ondersteunt tevens trendanalyse doordat het eerdere runs bewaart en verschillen visueel maakt. Zo wordt zichtbaar of het aantal actieve holds stijgt, of mailboxen te lang onder een hold blijven staan en of notificaties tijdig zijn verstuurd. Door de output te koppelen aan het case management-systeem ontstaat een volledige keten: juridische opdracht → technische uitvoering → continue monitoring. `Invoke-Monitoring` is daarmee niet alleen een healthcheck, maar een documenteerbaar bewijsstuk dat de organisatie permanent toezicht houdt op de effectiviteit van Litigation Hold. Zorg dat het script maandelijks wordt gevalideerd tegen nieuwe Microsoft-API's en dat geheimen (service-principal certificaten of app-registratie) veilig in Azure Key Vault worden opgeslagen. Neem de runbooks op in het security operations playbook zodat analisten exact weten hoe zij bij een waarschuwing de onderliggende case moeten opzoeken. Wanneer een afwijking is opgelost kan het script opnieuw worden uitgevoerd met de parameter `-Recheck` om de status op groen te zetten, waarna het resultaat automatisch wordt doorgestuurd naar het compliance-team. Voeg tot slot een automatische export naar het hold-register toe zodat gedetecteerde afwijkingen direct zichtbaar zijn voor de juridische dossiervorming..

Remediatie

Gebruik PowerShell-script exchange-litigation-hold.ps1 (functie Invoke-Remediation) – De functie `Invoke-Remediation` binnen hetzelfde script automatiseert het herstellen van ontbrekende of foutieve Litigation Holds zodra monitoring een afwijking meldt. De beheerder levert minimaal het case-id en de lijst met betrokken mailboxen aan; het script leest aanvullende metadata uit het hold-register, controleert of de juridische opdracht nog geldig is en voert vervolgens gecontroleerde acties uit. Eerst wordt via `Get-Mailbox` vastgesteld of de mailbox bereikbaar is en of er geen conflicterende behoudsmaatregelen actief zijn, zoals In-Place Hold of Retention Lock. Daarna wordt met `Set-Mailbox` de juiste holdstatus toegepast, inclusief duur, eigenaar en commentaar. Het script logt elke actie met tijdstip, uitvoerder en PowerShell-transcript zodat later exact kan worden bewezen welke wijzigingen zijn aangebracht. Bij complexere situaties waarin meerdere mailboxen tegelijk moeten worden aangepast werkt `Invoke-Remediation` batchgewijs met throttling om Exchange Online API-limieten te respecteren. Na elke batch valideert het script automatisch of de hold correct is geactiveerd en of de Recoverable Items-structuur de verwachte quota hanteert. Als een mailbox niet kan worden bijgewerkt, bijvoorbeeld doordat een account is geblokkeerd of is gemigreerd naar een ander tenant, genereert het script een uitzonderingsrapport waarin vervolgstappen en verantwoordelijke teams staan beschreven. Hierdoor blijft het overzicht behouden en worden incomplete herstelacties voorkomen. De remedieprocedure bevat bovendien veiligheidsmaatregelen. Voor iedere wijziging moet een change- of incidentnummer worden meegegeven, waarna het script dit nummer vastlegt in de `LitigationHoldComment`. Zo kan tijdens audits eenvoudig worden herleid welke processtap is uitgevoerd. Multi-factor authenticatie is verplicht en geheimen worden niet in het script opgeslagen; in plaats daarvan leest het script tokens uit een secure credential store. Er is ook een dry-run modus die exact laat zien welke mailboxen zouden worden aangepast, zodat het juridische team de selectie kan accorderen voordat de echte wijziging loopt. Na een succesvolle run verstuurt het script een samenvattend rapport naar het compliance-team, inclusief bewijs dat testzoekopdrachten recent verwijderde items terughalen. Wanneer een hold juist moet worden beëindigd, vraagt het script bevestiging van de case-eigenaar en exporteert het eerst de relevante datasets naar een beveiligde opslaglocatie, zodat bewijs beschikbaar blijft voor archivering. Vervolgens verwijdert het script de hold, past het retentiebeleid weer toe en registreert het de vrijgave in het hold-register. Door `Invoke-Remediation` te gebruiken ontstaat een herhaalbaar en aantoonbaar proces dat menselijke fouten minimaliseert en tegelijk voldoet aan de maximale testduur van vijftien seconden in de debugmodus. Het juridische team weet zeker dat herstelacties volledig sporen met de oorspronkelijke opdracht, terwijl het securityteam profiteert van snelle, gedocumenteerde uitvoer. Hierdoor blijft de Nederlandse Baseline voor Veilige Cloud gewaarborgd, zelfs wanneer drukte of personeelswisselingen de continuïteit van handmatige procedures zouden bedreigen. Maak onderdeel van elke run een post-mortemgesprek waarin legal, compliance en operations gezamenlijk de root cause analyseren en direct borgen in verbeterplannen, zodat de organisatie aantoonbaar leert van iedere afwijking..

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Litigation Hold Design .DESCRIPTION Implementation for Litigation Hold Design .NOTES Filename: exchange-litigation-hold.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/design/collaboration/exchange-litigation-hold.json #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Litigation Hold Design" $BIOControl = "18.03" function Connect-RequiredServices { # Connection logic based on API } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "exchange-litigation-hold" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } # Compliance check implementation # Based on: Design Document $result.Details += "Compliance check - implementation required based on control" $result.NonCompliantCount = 1 return $result } function Invoke-Remediation { Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan # Remediation implementation Write-Host " Configuration applied" -ForegroundColor Green Write-Host "`n[OK] Remediation completed" -ForegroundColor Green } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total: $($result.TotalResources)" -ForegroundColor White Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green $color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" } Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color return $result } function Invoke-Revert { Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance if ($result.IsCompliant) { Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red } } } catch { Write-Error $_ }

Risico zonder implementatie

Risico zonder implementatie
Medium: Evidence destruction tijdens litigation = obstruction of justice, sanctions, adverse inference rulings. Emails deleted before/during legal cases = legal liability. Het risico is KRITIEK tijdens active litigation.

Management Samenvatting

Exchange Litigation Hold: Preserve ALL mailbox content indefinitely (emails, calendar, tasks cannot be deleted - zelfs door user/admin). Per-mailbox basis voor legal cases, investigations, compliance audits. Vereist: Exchange Online Plan 2/M365 E3+. Activatie: Purview → Data Lifecycle Management → Holds → Litigation Hold per user. Gratis (included). Implementatie: 2-4 uur. MANDATORY tijdens active legal cases.