BIO 09.01.01 ISO A.8.2

SharePoint Online: Samenwerkingsarchitectuur Ontwerpen Met Hub Sites En Governance

πŸ“… 2025-10-30
β€’
⏱️ 16 minuten lezen
β€’
πŸ”΄ Must-Have

πŸ’Ό Management Samenvatting

Een volwassen samenwerkingsarchitectuur in SharePoint Online vormt de kern van duurzaam documentbeheer binnen Microsoft 365. Door hubsites, logisch opgebouwde navigatie, consistente metadata en strak governancebeleid te combineren ontstaat een betrouwbaar landschap waarin medewerkers intuitief informatie terugvinden, teams veilig samenwerken en compliance-eisen aantoonbaar worden geborgd. Deze maatregel schetst de ontwerpprincipes waarmee organisaties een schaalbare en toekomstbestendige structuur realiseren die zowel dagelijkse samenwerking als strategische besluitvorming ondersteunt.

Aanbeveling
IMPLEMENTEER SHAREPOINT ARCHITECTURE
Risico zonder
Medium
Risk Score
5/10
Implementatie
140u (tech: 60u)
Van toepassing op:
βœ“ SharePoint Online
βœ“ M365

Zonder doordachte opzet verandert SharePoint Online al snel in een versnipperde verzamelplaats van tijdelijke sites, verouderde bibliotheken en ontoegankelijke documenten. Medewerkers weten niet langer welk teamdossier de actuele versie bevat, projectleiders verliezen tijd aan het consolideren van statusinformatie en security officers kunnen nauwelijks nog verantwoorden welke gevoelige gegevens extern zijn gedeeld. De zoekmachine levert daarbij een overvloed aan irrelevante resultaten op omdat metadata ontbreekt of inconsistent is toegepast, waardoor gebruikers alsnog terugvallen op e-mailbijlagen en lokale schijven. De Nederlandse publieke sector heeft bovendien te maken met strenge wet- en regelgeving rond archivering, privacy en informatiebeveiliging. Wanneer sites ongepland ontstaan en permissies niet centraal worden beheerd, ontstaat er een groot risico op overtreding van de Archiefwet, de AVG en de BIO. Denk aan dossiers die langer blijven staan dan toegestaan, of aan vertrouwelijke rapportages die zonder toezicht met externe partners worden gedeeld. Een heldere architectuur maakt het mogelijk om retentiebeleid, gevoeligheidslabels en auditing consequent af te dwingen en geeft bestuurders het vertrouwen dat het platform onder controle is. Een weloverwogen ontwerp levert daarnaast directe productiviteitswinst op. Teams kunnen nieuwe sites sneller aanvragen via gestandaardiseerde sjablonen, de navigatie sluit aan op de organisatiestructuur en koppelingen met Teams, Viva Connections en het intranet worden voorspelbaar. Door eigenaarschap en governanceprocessen vooraf te definieren neemt de adoptie toe en voorkomen organisaties kostbare remediatieprojecten achteraf.

Implementatie

Deze maatregel beschrijft hoe je een geintegreerde SharePoint Online-architectuur ontwerpt waarin hubsites, Teams-verbindingen, metadata, navigatie en lifecycle governance elkaar versterken. De focus ligt op de combinatie van ruimtelijke ordening (welke sites horen bij welke hubs), semantische ordening (welke metadata en contenttypes worden verplicht gesteld) en organisatorische afspraken (wie mag aanmaken, goedkeuren en archiveren). Het ontwerpproces omvat het bepalen van strategische hubsites, het ontwikkelen van herbruikbare teamsites en communicatiesites, het uitwerken van enterprise termensets, het configureren van zoekervaringen en het automatiseren van goedkeuringsstromen. Daarnaast worden koppelingen met Power Platform, Purview en Defender beschreven zodat governance-regels niet alleen op papier bestaan, maar daadwerkelijk worden ondersteund door tooling. Het resultaat is een beheersbaar platform waarop medewerkers dezelfde ervaring krijgen, ongeacht het team of project waarin zij werken. Documenten worden eenduidig geclassificeerd, beheerteams kunnen gebruiksgegevens monitoren en audits kunnen aantonen dat beleidsregels worden nageleefd. Daarmee vormt deze architectuur de basis voor betrouwbare samenwerking binnen de Nederlandse overheid en daaraan gelieerde instellingen.

Vereisten

Een solide SharePoint-architectuur begint bij duidelijke randvoorwaarden waar bestuurders, architecten en informatiemanagers gezamenlijk achter staan. Een organisatie moet beschikken over een vastgelegd informatiebeheerbeleid waarin doelen voor classificatie, bewaartermijnen en eigenaarschap zijn beschreven, inclusief verwijzingen naar Nederlandse normen zoals de BIO, de AVG en de Archiefwet. Zonder deze afspraken kan geen enkele technische inrichting duurzaam zijn, omdat discussies over begrippen, rollen en verantwoordelijkheden blijven terugkeren zodra nieuwe sites worden aangevraagd of gevoelige dossiers worden gedeeld. Randvoorwaardelijke besluitvorming zorgt ervoor dat elke latere ontwerpkeuze kan worden herleid naar een bestuurlijk kader en voorkomt dat SharePointnieuwbouw afhankelijk wordt van individuele voorkeuren. Vervolgens is een volwassen tenantconfiguratie noodzakelijk. Entra ID-groepen moeten zijn opgeschoond en van heldere beschrijvingen voorzien, zodat ze betrouwbaar kunnen worden hergebruikt als autorisatiebron voor SharePoint en Teams. Exchange Online en OneDrive dienen dezelfde data loss prevention- en labelstructuur te hanteren, anders ontstaan inconsistenties in het gedrag van documenten zodra ze tussen workloads bewegen. Daarnaast hoort er een goedgekeurd schema te zijn voor sitebenamingen, URL-paden en hubrelaties, inclusief afspraken over hoe tijdelijke initiatieven, regionale teams of vertrouwelijke projecten worden benoemd en wanneer zij weer worden gearchiveerd. Alleen met zo'n consistente basis kunnen gebruikers patronen herkennen en vertrouwen op de geboden navigatie. Een essentieel onderdeel van de randvoorwaarden is de enterprise taxonomie. In samenwerking met informatiebeheerders en vakafdelingen moeten termensets worden uitgewerkt voor zaken als organisatieonderdelen, producten, beleidsdomeinen en gevoeligheidsniveaus. Deze taxonomie moet in de Managed Metadata Service worden gepubliceerd en getest in een sandbox, zodat performance en gebruikersgemak bekend zijn vooraleer termen breed worden uitgerold. Ook moeten contenttypes en documentsets worden opgesteld en afgestemd op de metadata die in ERP-, HR- en zaaksystemen wordt gebruikt, zodat koppelingen later niet stranden op semantische verschillen. Wanneer metadata vooraf eenduidig is gedefinieerd, kunnen zoekervaringen en compliance-regels meteen meeliften. De technische randvoorwaarden reiken verder dan SharePoint zelf. Power Platform-omgevingen moeten zijn voorzien van DLP-policies die de toekomstige automatiseringen rondom siteaanvragen, goedkeuringsstromen of archiveringsacties legitimeren. Defender for Cloud Apps en Purview moeten zijn ingericht om afwijkende downloads, massale permissiewijzigingen en externe delingen te detecteren. Zonder deze ondersteunende controles is het onmogelijk om het gedrag van duizenden teams en sites inzichtelijk te houden, laat staan te bewaken of afspraken daadwerkelijk worden nageleefd. Telemetrie en alerting moeten daarom al klaarstaan voordat de nieuwe architectuur in productie gaat. Tot slot hoort elk implementatietraject te starten met draagvlak en vaardigheden. Er moeten trainingsmaterialen klaarstaan voor site-eigenaren, archivarissen en servicedeskmedewerkers, inclusief scenario's voor regionale diensten en gemeenten die vaak met beperkte bezetting werken. Communicatieplannen beschrijven hoe nieuwe structuren worden gelanceerd, welke kanalen beschikbaar zijn voor feedback en hoe verbeteringen worden ingepland. Ook tooling voor adoptie, zoals ingebedde handleidingen of Viva Learning-modules, moet beschikbaar zijn. Pas wanneer deze organisatorische en technische fundamenten aantoonbaar aanwezig zijn, kan de daadwerkelijke architectuurontwikkeling beginnen zonder telkens opnieuw te moeten onderhandelen over basisafspraken.

Implementatie

De implementatie start met een grondige discoveryfase waarin bestaande sites, Teams-omgevingen en legacy fileshares worden geinventariseerd. Interviews met business- en informatie-eigenaren leggen bloot welke processen afhankelijk zijn van welke documenten, welke compliance-eisen gelden en waar knelpunten zitten in vindbaarheid of beveiliging. De resultaten worden vastgelegd in een informatiearchitectuurkaart die de gewenste doelstructuur tegenover de huidige situatie zet. Deze analyse vormt het kompas voor alle vervolgstappen en voorkomt dat ontwerpers zich verliezen in technische mogelijkheden zonder zicht te houden op de feitelijke gebruiksscenario's. Na de analyse volgt het modelleren van hubsites en bijbehorende navigatie. Architecten vertalen de organisatiestrategie naar een hierarchie van hubs op basis van functies, regio's of diensten. Per hub wordt beschreven welke sites erbij horen, welke metadata verplicht is en welke contentstromen onderlinge relaties hebben. Navigatiestructuren worden uitgewerkt in wireframes en gevalideerd met sleutelgebruikers, zodat men zeker weet dat de gekozen indeling intuitief aanvoelt. Daarbij worden ook kleur- en brandingrichtlijnen vastgelegd om herkenning te creeren wanneer medewerkers tussen hubs wisselen. Parallel daaraan worden sjablonen voor teamsites en communicatiesites ontwikkeld. Elk sjabloon bevat vooraf ingestelde bibliotheken, inhoudstypen, gevoeligheidslabels en standaardwebonderdelen, aangevuld met voorbeeldpagina's die de gewenste schrijf- en beeldtaal demonstreren. In PowerShell of het Provisioning Service worden deze sjablonen opgeslagen, zodat nieuwe sites automatisch conform ontwerp worden uitgerold. Ook worden documentsets, lijsten en integraties met Planner of Lists opgenomen, zodat projectteams direct kunnen starten zonder alles handmatig te configureren. Het testen van deze sjablonen in meerdere tenants voorkomt dat latere updates onverwacht gedrag veroorzaken. Wanneer de bouwblokken gereed zijn, komt governance-automatisering aan de beurt. Power Automate- of Logic Apps-flows begeleiden het aanmeldproces voor nieuwe sites, zorgen dat goedkeuring door informatie-eigenaren wordt vastgelegd en registreren metadata in het configuratieregister. Lifecycle-scripts controleren periodiek of sites nog worden gebruikt, of er voldoende eigenaars zijn en of gevoelige bibliotheken juist zijn geclassificeerd. Integraties met Purview en Defender implementeren beleidsregels voor gegevensverliespreventie, terwijl Entra ID access reviews worden ingericht om permissies up-to-date te houden. Alles wordt gedocumenteerd in een beheerhandboek en gekoppeld aan change- en releaseprocedures. Een succesvolle implementatie eindigt met een adoptie- en evaluatiefase. Site-eigenaren krijgen workshops waarin zij leren hoe navigatie, metadata en Teams-integraties samenwerken. Gebruikers ontvangen scenario-gedreven trainingen die laten zien hoe projectstartpakketten, archiveringsverzoeken en externe samenwerkingen verlopen. Feedback wordt opgehaald via pilots en vertaald naar iteraties op de architectuur, zodat verbeteringen snel kunnen worden doorgevoerd. Tegelijkertijd worden auditeisen getest door steekproefsgewijs dossiers te reconstrueren en te controleren of logging, retentie en classificatie werken zoals ontworpen. Pas na deze toetsing wordt de architectuur officieel in beheer genomen.

Compliance en Auditing

De naleving van de Nederlandse BIO vormt de ruggengraat van deze architectuur. De structuur zorgt ervoor dat maatregelen uit hoofdstuk 9 over informatiebeheer aantoonbaar worden opgevolgd doordat ieder documenttype een eigenaar en bewaartermijn krijgt en doordat toegang slechts via geautoriseerde groepen loopt. Door hubs te koppelen aan organisatiedelen kunnen bestuurders eenvoudig rapporteren welke controls op welke onderdelen van toepassing zijn en welke bewijsstukken beschikbaar zijn tijdens audits. ISO 27001 stelt in Annex A.8 eisen aan classificatie en behandeling van informatie. In dit ontwerp worden gevoeligheidslabels en metadata niet gezien als optionele velden, maar als verplichte onderdelen van elk sjabloon. Door gebruik te maken van label policies en automatische detectie van persoonsgegevens wordt gegarandeerd dat vertrouwelijke informatie standaard versleuteld en gemonitord wordt. De combinatie van SharePoint, Purview en Defender levert zo de technische borging die auditors verwachten bij organisaties die met staats- en persoonsgegevens werken. De AVG vereist transparantie over de verwerking en opslag van persoonsgegevens. Binnen deze architectuur worden datastromen per hub gedocumenteerd inclusief verwijzingen naar verwerkersovereenkomsten, gegevensregisters en Data Protection Impact Assessments. Bovendien zorgen lifecycle-processen ervoor dat data niet langer wordt bewaard dan noodzakelijk en dat verwijderingsverzoeken snel kunnen worden uitgevoerd. Door logging te centraliseren kunnen privacy officers aantonen wie welke dossiers heeft ingezien en wanneer exports hebben plaatsgevonden. Compliance stopt niet bij privacy. Archiefwet-vereisten vragen om duurzame toegankelijkheid van informatie en het vermogen om dossiers ongewijzigd over te dragen aan een e-depot. Door gebruik te maken van documentsets, metadata en retentieregels kan elk dossier inclusief context worden geexporteerd. Daarnaast worden publicatie- en vernietigingsbeslissingen automatisch geregistreerd, zodat archivarissen de volledige chain of custody kunnen volgen. Dit voorkomt boetes en reputatieschade bij inspecties. Tot slot erkennen we dat beleidsregels alleen houdbaar zijn wanneer ze actief worden beheerd. Daarom voorziet de architectuur in periodieke compliance checks, rapportages voor CISO en FG, en duidelijke escalatieroutes wanneer afwijkingen worden gevonden. Lessons learned uit audits worden verwerkt in de sjablonen en governance-processen, zodat de organisatie aantoonbaar leert en verbetert. Op die manier vormt het platform niet alleen een technische oplossing, maar ook een bestuurlijk instrument waarmee leidinggevenden grip houden op hun informatiehuishouding.

Monitoring

Monitoring begint bij een helder inzicht in hoe sites worden gebruikt en of governance-afspraken worden nageleefd. Telemetrie moet daarom niet beperkt blijven tot storageoverzichten, maar ook gegevens bevatten over hubassociaties, metadata, gevoeligheidslabels en externe delingen. Door deze signalen te bundelen ontstaat een actueel beeld van welke teams goed presteren en waar risico's ontstaan, bijvoorbeeld wanneer veel documenten zonder classificatie worden opgeslagen of wanneer gasten toegang krijgen tot dossiers met hoge gevoeligheid. Voor deze architectuur worden meerdere bronnen samengebracht: SharePoint-auditlogs, Entra ID access reviews, Purview-alerts en Defender for Cloud Apps-rapporten. De gegevens worden opgeslagen in een centrale monitoringworkspace, bijvoorbeeld Microsoft Sentinel of een Log Analytics-omgeving. Daar kunnen dashboards worden gebouwd die per hub laten zien hoeveel sites actief zijn, welke retentie-eisen van toepassing zijn en welke uitzonderingen zijn toegekend. Door historische data te bewaren kunnen trends worden herkend, zoals stijgende opslagkosten of afnemende activiteit binnen een dienst. Op basis van deze data worden prestatie- en risicodrempels vastgelegd. Denk aan normen voor het percentage documenten met verplichte metadata, het aantal sites zonder benoemde eigenaar of het aantal openstaande access reviews. Wanneer een drempel wordt overschreden, genereert de monitoringomgeving automatisch taken voor het beheerteam of stuurt zij een notificatie naar de verantwoordelijke eigenaar. Dit maakt het mogelijk om vroegtijdig bij te sturen voordat problemen de gebruikerservaring of compliance aantasten. Naast geautomatiseerde signalering zijn periodieke rapportages cruciaal. Maandelijkse governance-rapporten vatten de belangrijkste trends samen voor CISO, CIO en informatie-eigenaren. Zij tonen onder meer welke hubs nieuwe sites hebben gekregen, welke archiveringsacties zijn uitgevoerd en welke externe delingen zijn beeindigd. Kwartaalrapportages gaan dieper in op thema's zoals privacy, retentie en adoptie, inclusief concrete verbetervoorstellen. Door rapportages te koppelen aan beleidsdoelen worden metrics betekenisvol gemaakt voor het management. Het script sharepoint-collaboration-design.ps1 kan worden ingezet om deze monitoring te automatiseren. De functie Invoke-Monitoring haalt configuratiegegevens op, controleert of hubs aan de ontwerprichtlijnen voldoen en schrijft resultaten weg naar dashboards of ticketingsystemen. De uitvoer vormt input voor evaluatiesessies met site-eigenaren, waarbij acties direct worden geprioriteerd. Zo ontstaat een continue verbeterlus waarin technische signalen, menselijke beoordeling en bestuurlijke besluiten elkaar versterken.

Gebruik PowerShell-script sharepoint-collaboration-design.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Wanneer monitoring afwijkingen detecteert, start het remediatieproces met een snelle triage. Beheerders analyseren welke hubs, sites of documentsets betrokken zijn en toetsen of er sprake is van een direct risico voor beschikbaarheid, integriteit of vertrouwelijkheid. Daarbij wordt gebruikgemaakt van dezelfde metadata en logging die in het ontwerp is voorzien, zodat feiten direct beschikbaar zijn. Indien nodig worden tijdelijke maatregelen genomen, zoals het opschorten van externe toegang of het blokkeren van downloads totdat de oorzaak bekend is. Na triage volgt een diepgaande analyse van de onderliggende oorzaak. Soms ligt het probleem in technische configuratie, bijvoorbeeld een sjabloon dat niet het juiste contenttype toepast, maar het kan ook gaan om ontbrekende opleiding of onduidelijke procedures. Het remediatieteam documenteert de root cause, bepaalt welke architectuurelementen moeten worden aangepast en werkt een herstelplan uit met duidelijke verantwoordelijken. Door de architectuurdocumentatie actueel te houden kan elk besluit worden teruggekoppeld naar de oorspronkelijke ontwerpkeuzes. Vervolgens worden structurele correcties doorgevoerd. Dit kan varieren van het herconfigureren van hubnavigatie en metadata tot het migreren van documenten naar een andere site of het opnieuw uitvoeren van lifecycle-acties. Waar mogelijk wordt gebruikgemaakt van geautomatiseerde scripts zodat herstelacties reproduceerbaar zijn en auditeerbaar blijven. Alle wijzigingen worden vastgelegd in change- en releaseprocessen, inclusief verwijzing naar incidentnummers en risicoanalyses. Parallel aan de technische werkzaamheden ontvangen betrokken teams begeleiding. Site-eigenaren krijgen uitleg over wat er is gebeurd, welke correcties plaatsvinden en hoe zij in de toekomst dezelfde situatie kunnen voorkomen. Indien het incident voortvloeit uit onvoldoende kennis, worden aanvullende trainingen of microlearnings uitgerold. Communicatie met bestuurders en toezichthouders verloopt via standaardrapportages, zodat duidelijk is welke impact het incident had en welke restrisico's nog bestaan. Het remediatieproces sluit af met een evaluatie waarin lessons learned worden vertaald naar updates van sjablonen, governancebeleid of monitoringdrempels. De functie Invoke-Remediation in het script automatiseert hierbij terugkerende stappen, zoals het opschonen van verouderde sites, het herstellen van groepslidmaatschappen of het opnieuw toepassen van labels. Door elke afsluiting te koppelen aan meetbare KPI's kan het bestuur zien dat incidenten daadwerkelijk leiden tot structurele verbetering in plaats van het blussen van brandjes.

Gebruik PowerShell-script sharepoint-collaboration-design.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS SharePoint Online Collaboration & Sharing Design .DESCRIPTION Implementation for SharePoint Online Collaboration & Sharing Design .NOTES Filename: sharepoint-collaboration-design.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/design/collaboration/sharepoint-collaboration-design.json #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "SharePoint Online Collaboration & Sharing Design" $CISControl = "CIS M365 7.x (SharePoint controls)" $BIOControl = "13.02" function Connect-RequiredServices { # Connection logic based on API } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "sharepoint-collaboration-design" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } # Compliance check implementation # Based on: Design Document $result.Details += "Compliance check - implementation required based on control" $result.NonCompliantCount = 1 return $result } function Invoke-Remediation { Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan # Remediation implementation Write-Host " Configuration applied" -ForegroundColor Green Write-Host "`n[OK] Remediation completed" -ForegroundColor Green } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total: $($result.TotalResources)" -ForegroundColor White Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green $color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" } Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color return $result } function Invoke-Revert { Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance if ($result.IsCompliant) { Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red } } } catch { Write-Error $_ }

Risico zonder implementatie

Risico zonder implementatie
Medium: SharePoint zonder architecture = site sprawl (100+ ungoverned sites), poor findability, duplicate content, compliance gaps, user confusion. Compliance: information governance. Het risico is medium-hoog voor organizations >100 users.

Management Samenvatting

SharePoint Collaboration Design: Hub sites (departmental hubs), Site templates (standardized structure), Information architecture (metadata, content types), Governance framework (lifecycle, permissions, retention). Activatie: Architecture design β†’ Hub deployment β†’ Templates β†’ Governance policies. Gratis (included M365). Implementatie: 60-140 uur. Foundation voor enterprise document management. Recommended >100 users.