💼 Management Samenvatting
Een zorgvuldig uitgewerkt delen-beleid voor OneDrive for Business vormt de beveiligingsgordel rond alle samenwerkingsprocessen binnen Nederlandse overheidsorganisaties. Door vooraf helder te bepalen wie bestanden mag delen, via welke kanalen en onder welke voorwaarden, blijft informatie-uitwisseling wendbaar zonder dat vertrouwelijke dossiers op straat belanden. Deze maatregel bevordert verantwoord samenwerken doordat linkinstellingen, authenticatie-eisen en toezichtmechanismen elkaar versterken en zo een sluitend geheel vormen.
Aanbeveling
Veranker streng gereguleerd delen in OneDrive
Risico zonder
High
Risk Score
7/10
Implementatie
6u (tech: 2u)
Van toepassing op:
✓ OneDrive
OneDrive is ontworpen voor frictieloze samenwerking, maar die kracht wordt een zwakte wanneer medewerkers onbewust te ruime rechten verstrekken of wanneer externe partners langer toegang behouden dan nodig. In de publieke sector zijn persoonsgegevens, aanbestedingsstukken en beleidsnotities geliefde doelwitten voor spionage en fraude. Een onbeveiligde "Anyone"-link kan via chat of privé-mail razendsnel buiten de organisatie belanden, waarna misbruik nauwelijks nog is tegen te houden. Daarnaast leidt nalatig beheer van gastaccounts tot situaties waarin voormalige leveranciers, oud-stagiairs of zelfs onbekende derden stilletjes toegang behouden. Het ontbreken van vervaldatums op gedeelde koppelingen vergroot deze risico's verder: bestanden blijven technisch bereikbaar, ook als de businessrelatie allang is beëindigd. Compliance-ramingen tonen bovendien dat bij een significant deel van de datalekken de bron niet een complexe hack is, maar een verkeerd ingestelde deling of het doorsturen van een link zonder aanvullende authenticatie. AVG-rapportages vereisen dat organisaties aantonen hoe zij de vertrouwelijkheid van gegevens garanderen; zonder strak beheer van OneDrive-delingsinstellingen kan die verantwoording niet worden geleverd. Daarom is het cruciaal om sharing policies te ontwerpen die menselijke fouten opvangen, logging beschikbaar maken voor audits en rechtstreeks aansluiten op Data Loss Prevention, zodat gevoelige inhoud nooit ongemerkt buiten de deur komt.
PowerShell Modules Vereist
Primary API: SharePoint Online
Connection:
Required Modules: Microsoft.Online.SharePoint.PowerShell
Connection:
Connect-SPOServiceRequired Modules: Microsoft.Online.SharePoint.PowerShell
Implementatie
Deze maatregel introduceert een gelaagd beleid dat begint met het beperken van het basisniveau van externe toegang in het SharePoint-beheercentrum, zodat alleen bestaande, gecontroleerde gasten documenten kunnen openen. Vervolgens wordt het standaard linktype vastgezet op "Specifieke personen" zodat gebruikers actief moeten kiezen voor ruimere toegang en daarbij worden herinnerd aan de implicaties. Het beleid dwingt daarnaast maximale geldigheidsduur af voor zowel anonieme als geauthenticeerde links en verplicht periodieke herauthenticatie voor gasten, waardoor langdurige sluiptoegang wordt voorkomen. Door Data Loss Prevention en gevoeligheidslabels te koppelen aan de delingsinstellingen worden documenten met persoonsgegevens of staatsgeheime classificaties automatisch geblokkeerd voor externe deling of krijgen zij aanvullende waarborgen zoals watermerken en beperkingen op downloaden. Ten slotte wordt een governance-proces ingericht waarin securityteams rapportages ontvangen over afwijkende delingspatronen, managers goedkeuring geven voor uitzonderingen en gebruikers getraind worden om risico's tijdig te signaleren. Het resultaat is een samenhangend geheel waarin techniek, processen en bewustwording samen zorgen voor veilige samenwerking.
Vereisten
- Een volwassen delingsbeleid begint met een volledig geïnventariseerd applicatielandschap: bepaal welke directies en ketens OneDrive gebruiken, welke gegevenscategorieën zij opslaan en welke externe partijen structureel meewerken. Leg de resultaten vast in een dataclassificatiematrix zodat voor iedere combinatie van gegevenssoort en samenwerkingsscenario duidelijk is welke beveiligingsmaatregelen minimaal vereist zijn. Een CISO of informatiebeveiligingsfunctionaris wijst voor iedere afdeling een proceseigenaar aan die verantwoordelijk is voor de juistheid van deze inventaris, zodat het beleid voortdurend aansluit op de realiteit. Deze organisatorische voorbereiding levert niet alleen een lijstje tools op, maar creëert draagvlak en maakt het eenvoudiger om latere restricties als noodzakelijk en proportioneel te verantwoorden.
- Technische randvoorwaarden omvatten een consistente configuratie van SharePoint Online en OneDrive, waaronder een tenant-brede restrictie op het aanmaken van anonieme links, het verplicht stellen van Azure AD B2B-gasten met multi-factor authenticatie en het inschakelen van auditing op bestandsniveau. Zorg dat de benodigde PowerShell-modules, zoals Microsoft.Online.SharePoint.PowerShell, zijn bijgewerkt in de deployment-scripts en controleer of beheeraccounts just-in-time worden verleend via Privileged Identity Management. Daarnaast vereist dit beleid dat Azure Information Protection of Purview compliance labels beschikbaar zijn, zodat documenten automatisch voorzien kunnen worden van classificaties die het delingsgedrag sturen. Alleen als deze technische fundamenten staan, kunnen de inhoudelijke maatregelen betrouwbaar functioneren. Denk ook aan een testtenant of gecontroleerde pilotomgeving waarin wijzigingen eerst worden beoordeeld op impact, inclusief een rollback-plan voor het geval zakelijke processen onverwacht worden geraakt.
- Governance en toezicht vormen de derde vereiste laag. Richt een wijzigingsprocedure in waarin elke afwijking van het standaardbeleid – bijvoorbeeld het tijdelijk toestaan van "Nieuwe gasten" voor een aanbestedingstraject – vooraf wordt beoordeeld door Security en Juridische Zaken. Stel KPI's vast, zoals het aantal verleende uitzonderingen, het volume aan gedeelde bestanden per gevoeligheidslabel en het aantal geblokkeerde DLP-events, en bespreek deze maandelijks in het security-overleg. Voor audittrail en bewijsvoering moet bovendien worden vastgelegd wie welk document met welke partij heeft gedeeld, welke authenticatie werd afgedwongen en wanneer toegang automatisch is ingetrokken. Zonder deze governance blijft een delingsbeleid een papieren tijger; met deze afspraken verandert het in een controleerbaar en aantoonbaar effectieve maatregel. Het governance-model beschrijft bovendien wie eindverantwoordelijk is voor gebruikerscommunicatie en hoe escalaties verlopen wanneer projectdeadlines botsen met beveiligingseisen.
- Tot slot is er een uitgesproken behoefte aan opleiding en bewustwording. Iedere medewerker die bestanden deelt, moet minimaal één keer per jaar een microlearning afronden waarin wordt gedemonstreerd wat het verschil is tussen een "Specifieke personen"-link en een openbare link, hoe gevoeligheidslabels automatisch worden toegepast en welke stappen men moet volgen als een foutieve deling wordt vermoed. Proceseigenaren ontvangen aanvullende trainingen waarin zij leren hoe ze rapportages interpreteren, uitzonderingsaanvragen motiveren en samenwerken met het SOC. Door de menselijke factor structureel mee te nemen, wordt het beleid gedragen door de hele organisatie en neemt de kans op incidenten drastisch af.
- Verbinding met bestaande processen is de vierde bouwsteen. Zorg dat het delingsbeleid expliciet wordt opgenomen in het informatiebeveiligingsbeleid, het privacybeleid en het changemanagementproces. Nieuwe systemen of datasets mogen pas live wanneer de verantwoordelijke projectmanager heeft aangetoond dat OneDrive-instellingen aansluiten op de gedefinieerde dataclassificatie. Contractmanagers borgen dat leveranciers contractueel verplicht zijn dezelfde beveiligingsmaatregelen te hanteren, inclusief meldplichten bij incidenten. Door dit beleid te verankeren in de brede governance worden losse maatregelen onderdeel van een volwassen kwaliteitscyclus.
Implementatie
Gebruik PowerShell-script onedrive-sharing.ps1 (functie Invoke-Remediation) – OneDrive sharing configuratie.
De implementatie start met het uitvoeren van het PowerShell-script `onedrive-sharing.ps1` vanuit een beheerderswerkstation dat met lokale debug-instellingen is voorzien van de meest recente versie van Microsoft.Online.SharePoint.PowerShell. Het script controleert eerst of de beheerder via `Connect-SPOService` verbonden is met de juiste tenant en valideert vervolgens of het globale deleniveau is ingesteld op "Bestaande gasten". Daarna worden tenant policies aangemaakt die het standaard linktype wijzigen naar "Specifieke personen", de maximale geldigheidsduur van anonieme koppelingen beperken tot zeven dagen en geauthenticeerde gastlinks automatisch na negentig dagen laten vervallen. Per sitecollectie wordt gecontroleerd of afwijkende instellingen aanwezig zijn; wanneer dat zo is, schrijft het script de centrale beleidswaarden terug en registreert het de aanpassing in het logbestand zodat latere audits precies kunnen nagaan welke correcties zijn aangebracht. Na de globale configuratie activeert de implementatie fase de koppeling met Data Loss Prevention door bestaande beleidsregels te verrijken met OneDrive-specifieke acties. Daarbij wordt voor documenten met IBAN's, burgerservicenummers of staatsgeheim label "Departementaal Vertrouwelijk" onmiddellijk externe deling geblokkeerd. Het script maakt gebruik van het SharePoint REST-eindpunt om notificaties te configureren, zodat de oorspronkelijke eigenaar automatisch een waarschuwing ontvangt wanneer een bestand wordt gedeeld. Tot slot bevat het draaiboek een handmatige stap waarin de beheerder samen met de informatie-eigenaar een steekproef uitvoert: een gastgebruiker probeert een document te openen, moet MFA doorlopen en verliest toegang zodra de vervaldatum verstrijkt. Deze test bevestigt dat zowel de technische configuratie als de organisatorische afspraken daadwerkelijk functioneren.
De implementatiefase eindigt niet bij techniek. Iedere wijziging wordt vastgelegd in een wijzigingsdossier inclusief reden, impactanalyse en terugvalscenario. Communicatie naar gebruikers volgt een vaste sjabloon: eerst ontvangen zij een heads-up via intranet, daarna verschijnt in OneDrive een korte pop-up over de nieuwe standaardinstelling en tot slot verzorgt het team een virtuele vragenuur waarin veelvoorkomende scenario's worden doorgenomen. Voor externe partners wordt een compacte instructie opgesteld die uitlegt hoe zij zich aanmelden met een bestaand Microsoft-account, hoe vaak herauthenticatie nodig is en hoe zij een verlopen link opnieuw kunnen aanvragen zonder het supportteam te overbelasten. Nadat de maatregelen live staan, plant het projectteam na 30 dagen een evaluatie om gebruikerservaring, incidentcijfers en eventuele performance-impact te beoordelen. Bevindingen worden opgenomen in het werkpakket voor continuous improvement zodat het beleid zich blijft ontwikkelen in lijn met veranderende dreigingen.
Parallel aan de technische uitrol worden ondersteunende controls ingeregeld. ServiceDesk ontvangt nieuwe kennisartikelen inclusief beslisbomen zodat eerste-lijnsmedewerkers kunnen beoordelen welke meldingen naar security moeten worden opgeschaald. Testscenario's voor businesscontinuïteit beschrijven wat er gebeurt als een partner geen Microsoft-account heeft of wanneer een project tijdelijk toch anonieme toegang nodig heeft; deze scenario's krijgen vooraf goedgekeurde tijdelijke instellingen met een harde einddatum. Tot slot wordt de implementatie afgesloten met een formele acceptatie door de proceseigenaar en de Chief Information Security Officer. Zij toetsen of alle benodigde scripts in het deployment-dossier zijn opgenomen, of logging daadwerkelijk zichtbaar is in het SIEM en of de documentatie – inclusief Readme, architecture-overzicht en trainingmateriaal – is bijgewerkt. Pas na deze akkoordverklaring wordt het beleid als "operationeel" geregistreerd in het ISMS.
Monitoring
Gebruik PowerShell-script onedrive-sharing.ps1 (functie Invoke-Monitoring) – Controleren.
Monitoring combineert drie informatiebronnen: SharePoint auditlogs, Purview DLP-rapportages en Azure AD sign-in data. Dagelijkse geautomatiseerde queries zoeken naar pieken in het aantal aangemaakte gastaccounts, ongebruikelijke patronen in linkaanvragen (bijvoorbeeld een gebruiker die in korte tijd meer dan twintig externe links creëert) en downloads vanaf onbekende locaties. Voor iedere afwijking stuurt het SOC een ticket naar de proceseigenaar zodat direct kan worden bevestigd of de activiteit legitiem is. Daarnaast wordt maandelijks een trendrapport opgesteld waarin onder andere het aandeel verlopen links, het aantal automatisch ingetrokken gastrechten en de top vijf van meest gedeelde documenttypes wordt opgenomen. Deze rapportage wordt besproken met de Chief Information Security Officer en vormt input voor verbetermaatregelen zoals extra bewustwordingstraining of het aanscherpen van vervaldatums. Naast de geautomatiseerde controles vindt er een steekproefmatige review plaats van gedeelde documenten: een auditor controleert of het gevoeligheidslabel overeenkomt met de inhoud, of het gedeelde e-mailadres daadwerkelijk bij de bedoelde organisatie hoort en of de auditlog aantoont dat toegang na de deadline automatisch is ingetrokken. Ten slotte worden DLP-incidenten die verband houden met OneDrive binnen vijftien seconden door een playbook opgepakt; blijft een incident langer openstaan, dan escaleert het systeem naar het crisismanagementteam. Door deze combinatie van real-time signalering, periodieke analyses en handmatige verificatie ontstaat een volledig beeld van het delingsgedrag en kunnen afwijkingen vroegtijdig worden bijgestuurd.
Om monitoring schaalbaar te houden, wordt een Power BI-dashboard ingericht dat rechtstreeks voedingen ontvangt uit het Microsoft 365 Defender Data Lake. Hierin zijn heatmaps opgenomen die aangeven welke organisatieonderdelen het meest delen, welke externe domeinen terugkerende ontvangers zijn en welke labels het vaakst tot blokkades leiden. Via datzelfde dashboard kunnen managers drill-downs uitvoeren naar individuele casussen, waarbij direct zichtbaar is welke medewerker de deling heeft geïnitieerd en of aanvullende toelichting is vastgelegd. Periodiek voert het SOC een stresstest uit waarbij gesimuleerde aanvallen worden uitgevoerd: een red-team probeert een groot aantal gastaccounts te creëren, terwijl het monitoringssysteem moet aantonen dat deze poging binnen de afgesproken vijftien seconden wordt gesignaleerd. De uitkomsten worden gebruikt om alertdrempels te kalibreren en om automatiseringen – zoals automatische isolatie van verdachte gastaccounts – bij te werken. Zo blijft het monitoringsproces niet alleen reactief, maar ontwikkelt het zich tot een proactieve detectie- en responsketen.
Servicelevels voor monitoring zijn eveneens vastgelegd. Het SOC committeert zich aan het beoordelen van kritieke meldingen binnen een uur en het sluiten van reguliere meldingen binnen twee werkdagen. Wordt deze norm niet gehaald, dan volgt een capaciteitsanalyse of automatiseringstraject. De proceseigenaar ontvangt elk kwartaal een compliance-rapport dat aantoont in hoeveel gevallen monitoring leidde tot remediatie, hoeveel waarschuwingen onterecht bleken en welke verbeteracties zijn opgepakt. Deze transparantie maakt het mogelijk om het beleid te verantwoorden richting CIO, auditcomité en externe toezichthouders.
Monitoring sluit bovendien aan op het bredere incidentresponsproces. Zodra een alert de drempel voor een hoog risico overschrijdt, genereert het ticketingssysteem automatisch een melding voor het crisiscommunicatieteam en het privacyteam. Hierdoor kan binnen enkele minuten worden bepaald of aanvullende maatregelen nodig zijn, zoals het blokkeren van een volledig gastdomein of het informeren van een opdrachtgever. Elke afgesloten melding wordt voorzien van een korte evaluatie waarin staat welke controle het incident detecteerde, welke herstelacties zijn uitgevoerd en of beleidsaanpassingen wenselijk zijn. Door deze feedbacklus ontstaat continue verbetering en blijft de monitoringfunctie relevant, ook wanneer dreigingen veranderen.
Compliance en Auditing
- BIO 13.02 verplicht organisaties om gegevens overdrachten te beheersen. Dit beleid toont aan hoe OneDrive-sharing wordt ingeperkt door authenticatie, tijdslimieten en logging, zodat slechts gerechtigde partijen toegang krijgen en alle overdrachten herleidbaar blijven. Het beschrijft eveneens hoe uitzonderingen worden aangevraagd, hoe deze worden goedgekeurd en hoe bewijsstukken – zoals exporten van het SharePoint-beheercentrum en PowerShell-logs – zeven jaar beschikbaar blijven. Die documentatie is essentieel om bij audits te laten zien dat controles daadwerkelijk bestaan en consequent worden toegepast. Tijdens interne audits worden steekproeven getrokken uit de lijst met gedeelde documenten, waarbij de auditor controleert of het BIO-controleregister de juiste koppeling bevat tussen maatregel, eigenaar en bewijslast. Eventuele tekortkomingen leiden tot verbeteracties die in het ISMS worden opgevolgd.
- De AVG eist op basis van artikelen 5, 24 en 32 dat passende technische en organisatorische maatregelen worden genomen om persoonsgegevens te beschermen. In dit beleid is vastgelegd dat persoonsgegevens alleen met geauthenticeerde gasten mogen worden gedeeld, dat delingen automatisch vervallen en dat Data Loss Prevention de laatste verdedigingslinie vormt wanneer gebruikers toch gevoelige inhoud proberen te delen. Bovendien worden betrokkenen geïnformeerd via een privacyverklaring over hoe externe samenwerkingen worden beheerd, en wordt iedere deling vastgelegd zodat eventuele verzoeken tot inzage, rectificatie of verwijdering volledig kunnen worden beantwoord. Daarmee onderbouwt de organisatie aantoonbaar dat zij de beginselen van integriteit en vertrouwelijkheid waarborgt. Wanneer toch een incident optreedt, bevat het beleid een uitgewerkt draaiboek voor melding aan de Autoriteit Persoonsgegevens binnen 72 uur en voor communicatie naar betrokkenen.
- Voor organisaties die onder de NIS2-richtlijn of de Wet beveiliging netwerk- en informatiesystemen vallen, biedt dit delen-beleid bovendien een directe invulling van de eis tot passende beveiliging van netwerk- en informatiesystemen. Door technische maatregen te koppelen aan duidelijke processen rondom risicobeoordeling, incidentrespons en rapportage, kan de organisatie aantonen dat zij de beschikbaarheid en vertrouwelijkheid van digitale diensten serieus beschermt. De koppeling met contractbeheer waarborgt ten slotte dat verwerkersovereenkomsten expliciet verwijzen naar deze delingsmaatregelen, zodat ook ketenpartners verplicht zijn hetzelfde beveiligingsniveau te hanteren.
- ISO 27001 en 27701 stellen aanvullende eisen aan documentatie, rolverdeling en continue verbetering. Dit beleid voorziet in die behoefte door per maatregel het verantwoordelijke team, de toegepaste tooling, de evaluatiefrequentie en de prestatie-indicatoren vast te leggen. Tijdens managementreviews kan daardoor eenvoudig worden aangetoond dat controles effectief zijn, dat afwijkingen systematisch worden verwerkt in verbeterrapporten en dat lessons learned uit incidenten terugkeren in training en technische configuratie. De combinatie van deze internationale normen met nationale verplichtingen maakt het beleid breed inzetbaar en auditbestendig.
- ISO 27001 en 27701 stellen aanvullende eisen aan documentatie, rolverdeling en continue verbetering. Dit beleid voorziet in die behoefte door per maatregel het verantwoordelijke team, de toegepaste tooling, de evaluatiefrequentie en de prestatie-indicatoren vast te leggen. Tijdens managementreviews kan daardoor eenvoudig worden aangetoond dat controles effectief zijn, dat afwijkingen systematisch worden verwerkt in verbeterrapporten en dat lessons learned uit incidenten terugkeren in training en technische configuratie. De combinatie van deze internationale normen met nationale verplichtingen maakt het beleid breed inzetbaar en auditbestendig. Tevens wordt in de Statement of Applicability expliciet verwezen naar dit delen-beleid, zodat auditoren direct kunnen zien hoe controles A.8.2, A.9.4 en A.12.6 zijn ingevuld en onderhouden.
Remediatie
Gebruik PowerShell-script onedrive-sharing.ps1 (functie Invoke-Remediation) – Herstellen.
Remediatie bestaat uit een combinatie van geautomatiseerde correcties en begeleide stappen voor de proceseigenaar. Wanneer monitoring een te ruime instelling detecteert, voert het `onedrive-sharing.ps1`-script eerst een herstelactie uit die de tenantinstellingen terugzet naar de vastgestelde norm. Parallel wordt een csv-rapport gegenereerd met alle documenten die tijdens de afwijking extern deelbaar waren, inclusief hun gevoeligheidslabel, de betrokken gasten en de resterende geldigheidsduur van de links. De informatie-eigenaar moet dit rapport binnen één werkdag beoordelen en bevestigen of gegevens daadwerkelijk zijn ingezien; zo nodig wordt een formele datalekprocedure gestart met meldingen aan Functionaris Gegevensbescherming en eventueel de Autoriteit Persoonsgegevens. Bij structurele afwijkingen – bijvoorbeeld wanneer een projectteam consequent uitzonderingen nodig heeft – start het CISO-office een root-cause-analyse. Daarbij wordt nagegaan of de standaardinstellingen aansluiten op de bedrijfsbehoefte, of gebruikers voldoende zijn getraind en of aanvullende tooling nodig is, zoals automatische labeltoekenning of conditionele toegang op basis van locatie. Resultaten van de analyse worden vertaald naar verbeteracties, variërend van het aanscherpen van scripts tot het bijwerken van de handleiding voor gebruikers. Door remediatie als gecontroleerd proces in te richten blijft OneDrive-sharing niet alleen veilig op het moment van configuratie, maar gedurende de volledige levenscyclus van samenwerkingstrajecten.
Elke remediatiecase wordt afgesloten met een lessons-learned-sessie. Hierin worden patronen geïdentificeerd, zoals afdelingen waar veel uitzonderingen voorkomen of partners die structureel moeite hebben met MFA. Op basis daarvan kunnen gerichte interventies worden gepland, bijvoorbeeld een aparte onboarding voor leveranciers of het automatiseren van gastverwijdering via Lifecycle Policies. De resultaten worden gedeeld met het directieteam zodat zij inzicht houden in de rest-risico's. Tevens wordt nagegaan of verzekeringspolissen aanvullende eisen stellen aan toegang tot gevoelige data; wanneer dat zo is, wordt de uitkomst van de remediatie gebruikt om richting verzekeraar aan te tonen dat passende maatregelen zijn genomen. Deze terugkoppeling sluit de cirkel en zorgt ervoor dat elk incident de organisatie sterker maakt.
Voor complexe incidenten is een draaiboek beschikbaar dat samen met het crisismanagementteam wordt geoefend. Het beschrijft hoe communicatie richting management, perswoordvoering en ketenpartners verloopt, welke forensische data moet worden veiliggesteld en hoe toegang tijdelijk wordt ingeperkt totdat de oorzaak is weggenomen. Na afloop wordt gecontroleerd of alle uitzonderingen daadwerkelijk zijn beëindigd en of gebruikers opnieuw zijn geïnformeerd over het ontwikkelde beleid. Deze extra waarborgen zorgen ervoor dat remediatie verder gaat dan technische herstelacties en ook de organisatorische en reputatiecomponent adresseert.
Als laatste stap wordt voor elke remediatieactie gecontroleerd of documentatie en tooling zijn bijgewerkt. Denk aan het aanpassen van runbooks, het toevoegen van nieuwe detectieregels in het SIEM of het uitbreiden van het PowerShell-script met extra validaties. Het change-advisory board krijgt een rapportage waarin staat welke maatregelen zijn getroffen, welke tijdlijnen zijn gevolgd en hoe rest-risico's zijn geaccepteerd of gemitigeerd. Hierdoor blijft de governance sluitend en wordt voorkomen dat dezelfde fout in de toekomst terugkeert.
Om de effectiviteit van remediatie aantoonbaar te maken, worden prestatie-indicatoren bijgehouden. Denk aan het aantal dagen dat nodig is om een afwijking te sluiten, het percentage automations dat zonder handmatige ingreep slaagt en het aantal incidenten dat wordt opgevolgd met aanvullende training of communicatie. Deze KPI's worden elk kwartaal besproken met de directie en vormen input voor het actualiseren van beleid en tooling. Zo groeit het remediatieproces uit tot een lerend systeem dat steeds sneller en robuuster reageert.
Compliance & Frameworks
- BIO: 13.02.01 - External data transfer
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
OneDrive Sharing Design
.DESCRIPTION
OneDrive: Sharing (guests allowed with approval), default link (Specific people), link expiration (90 days), sync (unmanaged devices blocked), ransomware detection (mass changes = alert).
.NOTES
Filename: onedrive-sharing.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-10-15
Last Modified: 2025-10-15
Version: 1.0
Related JSON: content/design/collaboration/onedrive-sharing.json
Category: collaboration
Workload: design
.LINK
https://github.com/m365-tenant-best-practise
.EXAMPLE
.\onedrive-sharing.ps1 -Monitoring
Check compliance status
.EXAMPLE
.\onedrive-sharing.ps1 -Remediation
Apply configuration
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter()]
[switch]$Monitoring,
[Parameter()]
[switch]$Remediation,
[Parameter()]
[switch]$Revert,
[Parameter()]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
# ============================================================================
# HEADER
# ============================================================================
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "OneDrive Sharing Design" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================
" -ForegroundColor Cyan
# ============================================================================
# FUNCTIONS
# ============================================================================
function Test-Compliance {
<#
.SYNOPSIS
Tests if current configuration is compliant
#>
[CmdletBinding()]
param()
return Invoke-Monitoring
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Monitors current configuration status
#>
[CmdletBinding()]
param()
Write-Host "
Monitoring:" -ForegroundColor Yellow
# Design document - no API calls
$t = Get-PnPTenant
@{ isCompliant = ($t.PreventExternalUsersFromResharing -eq $true); preventExternalUsersFromResharing = $t.PreventExternalUsersFromResharing; message = if ($t.PreventExternalUsersFromResharing -eq $true) { "Guest resharing is prevented" } else { "Guest resharing is ALLOWED" } }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Applies recommended configuration
#>
[CmdletBinding()]
param()
Write-Host "
Remediation:" -ForegroundColor Yellow
# Design document - no API calls
Set-PnPTenant -PreventExternalUsersFromResharing $true
Write-Host "✓ Prevented external users from resharing" -ForegroundColor Green
}
function Invoke-Revert {
<#
.SYNOPSIS
Reverts configuration to previous state
#>
[CmdletBinding()]
param()
Write-Host "
Revert:" -ForegroundColor Yellow
Write-Host "Reverting configuration..." -ForegroundColor Yellow
Write-Host "Manual revert required - see JSON documentation" -ForegroundColor Gray
}
# ============================================================================
# MAIN EXECUTION
# ============================================================================
try {
if ($Revert) {
if ($WhatIf) {
Write-Host "WhatIf: Would revert configuration" -ForegroundColor Yellow
}
else {
Invoke-Revert
}
}
elseif ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
else {
Write-Host "Available parameters:" -ForegroundColor Yellow
Write-Host " -Monitoring : Check current status" -ForegroundColor Gray
Write-Host " -Remediation : Apply configuration" -ForegroundColor Gray
Write-Host " -Revert : Revert changes" -ForegroundColor Gray
Write-Host " -WhatIf : Show what would happen" -ForegroundColor Gray
}
}
catch {
Write-Error "Error: $_"
throw
}
finally {
Write-Host "
========================================
" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Wanneer anonieme koppelingen, onbeperkte gasttoegang en ontbrekende vervaldatums blijven bestaan, kunnen vertrouwelijke dossiers ongezien buiten de organisatie circuleren. Dat leidt tot datalekmeldingen bij de Autoriteit Persoonsgegevens, verlies van publiek vertrouwen en mogelijk contractuele boetes wegens schending van verwerkersafspraken.
Management Samenvatting
Beperk OneDrive tot gecontroleerde gasten, stel het standaard linktype in op "Specifieke personen", verplicht MFA, koppel DLP aan gedeelde documenten en laat alle links automatisch verlopen. Deze maatregelen sluiten aan op AVG en BIO 13.02 en kosten circa zes uur om technisch en organisatorisch te borgen.
- Implementatietijd: 6 uur
- FTE required: 0.05 FTE