💼 Management Samenvatting
Het deelbeleid voor SharePoint Online binnen de Nederlandse Baseline voor Veilige Cloud beschrijft hoe organisaties veilig samenwerken met externe partijen zonder de controle over vertrouwelijke informatie te verliezen. Door tenantbrede regels, projectspecifieke uitzonderingen en een zorgvuldig proces voor gastgebruikers te combineren ontstaat een kader waarin medewerkers snel kunnen delen wat nodig is, terwijl security- en compliance-eisen onverkort blijven gelden. Het ontwerp behandelt zowel OneDrive als SharePoint-sites en zorgt dat elke nieuwe samenwerking automatisch dezelfde beveiligingsmaatregelen meekrijgt, van standaard linktypes tot maximale geldigheidsduur en verplichte herauthenticatie. Daarmee vormt het beleid een fundament voor moderne ketensamenwerking binnen de overheid en semipublieke sector, waar informatie-intensieve projecten continu wisselen van samenstelling en waar aantoonbare governance een harde eis is. Het document geeft duidelijke richtlijnen voor standaarddelingsprofielen, benoemt verantwoordelijken per fase en maakt zichtbaar wanneer uitzonderingen zijn toegestaan, zodat delen geen individuele actie is maar een gecontroleerd proces.
Aanbeveling
VOER GESTANDAARDISEERDE DEELBELEIDEN IN
Risico zonder
High
Risk Score
8/10
Implementatie
12u (tech: 4u)
Van toepassing op:
✓ SharePoint Online
✓ OneDrive
✓ OneDrive
Extern delen is een van de krachtigste functies van Microsoft 365 omdat projectteams daarmee rechtstreeks bestanden kunnen uitwisselen met leveranciers, zorginstellingen of uitvoeringspartners. Tegelijkertijd vormt dezelfde functie een groot risico: een verkeerd gekozen linktype kan een compleet dossier permanent openbaar maken en een vergeten gastaccount kan maandenlang toegang houden tot gevoelige rapportages. Cyberaanvallen maken daar misbruik van door publieke links te scrapen of door gekaapte accounts te gebruiken om massa-downloads uit te voeren. Zonder helder beleid ontstaat er bovendien chaos: elke afdeling verzint eigen spelregels, supportafdelingen verliezen het overzicht en bestuurders kunnen niet uitleggen welke beveiligingsmaatregelen gelden. De Nederlandse publieke sector staat daarbij onder toezicht van onder meer de Autoriteit Persoonsgegevens, de Algemene Rekenkamer en de eigen gemeenteraad of provinciale staten. Zij verwachten dat organisaties aantoonbaar kunnen laten zien wie wanneer welke informatie heeft gedeeld, onder welke voorwaarden en hoe dat is gecontroleerd. Onvoldoende regie leidt snel tot overtredingen van de AVG, BIO-domeinen 12 en 13 en de archiefwet. Daarnaast vragen nieuwe kaders zoals NIS2 om directe meldingsplicht bij incidenten; zonder volledig beeld van delingen kun je niet bepalen welke documenten mogelijk zijn uitgelekt. Een strak deelbeleid geeft daarom rust in de organisatie. Medewerkers weten welke linktypes zij mogen gebruiken, welke stappen gelden voor projecten met persoonsgegevens en welke uitzonderingen via het changeproces lopen. Securityteams krijgen duidelijke parameters voor monitoring en incidentrespons, terwijl bestuurders sneller kunnen besluiten of een samenwerking doorgang kan vinden. De waarom-sectie laat zien dat beleidsvorming geen theoretische exercitie is maar een noodzakelijke basis om digitale samenwerking beheersbaar, auditbaar en schaalbaar te houden.
Implementatie
Deze maatregel beschrijft hoe je tenant-, site- en gebruikersinstellingen op elkaar afstemt. Eerst definiëren we delingsniveaus – variërend van intern-only tot bestaande gasten – en koppelen we die aan sjablonen zodat gevoelige sites standaard strengere regels krijgen. Daarna stellen we standaard linktypes, vervaltermijnen, herauthenticatie en domeinrestricties in. Het ontwerp dekt ook gastbeheer via Azure AD B2B, DLP-integratie, sensitivity labels en processen voor periodieke opschoning van gastaccounts. Tot slot besteden we aandacht aan communicatie, rapportages en escalaties, zodat elke wijziging traceerbaar is en aansluit op het reguliere governanceoverleg. Het resultaat is een beleid dat zowel de behoefte aan flexibiliteit als de eisen van informatiebeveiliging verenigt.
Vereisten
Een veilig deelbeleid begint met duidelijke governance en mandaat. Organisaties benoemen een product owner Digitale Samenwerking die namens de bestuurder keuzes maakt over delingsniveaus, uitzonderingen en escalaties. Deze eigenaar werkt samen met CISO, privacy officer, informatiearchitecten en vertegenwoordigers van de primaire processen. Samen leggen zij vast wanneer externe samenwerking is toegestaan, wie een aanvraag mag goedkeuren en hoe incidenten worden gemeld. Zonder dit besluitvormingskader blijft elke beheerder zelf interpreteren wat veilig betekent en verschilt de aanpak per afdeling, wat tot inconsistentie en auditbevindingen leidt.
Daarnaast zijn moderne identiteits- en beheerplatformen noodzakelijk. Azure AD B2B moet zijn ingericht met multi-factor authenticatie voor alle gasten, automatische uitnodigingsmails met disclaimers en beleid voor automatische verwijdering van inactieve accounts. SharePoint Admin Center of Advanced Management moet beschikbaar zijn voor beheerders met rolgescheiden rechten zodat zij tenantinstellingen, siteklassificaties en rapportages kunnen beheren zonder volledige globale rechten. Netwerk- en firewallteams moeten Microsoft 365-eindpunten whitelisten zodat revisies van gastinstellingen direct worden doorgegeven. Zonder stabiele identiteit en connectiviteit kunnen policies niet worden afgedwongen.
Data-classificatie vormt het inhoudelijke fundament. De organisatie definieert minimaal de categorieën openbaar, intern, vertrouwelijk en zeer vertrouwelijk, gekoppeld aan voorbeelden uit de eigen processen zoals jeugdzorgdossiers, subsidiebeschikkingen of aanbestedingsdocumenten. Voor elke klasse staat beschreven of extern delen is toegestaan, welke labels of encryptie verplicht zijn en welke aanvullende voorwaarden gelden, zoals het gebruik van verwerkersovereenkomsten of specifieke portalen. DLP-beleid en sensitivity labels moeten deze afspraken automatisch afdwingen door delen te blokkeren of aanvullende goedkeuring te eisen, zodat beleid niet alleen op papier bestaat.
Ook adoptie en ondersteuning zijn harde voorwaarden. Er is een communicatieplan dat uitlegt welke linktypes beschikbaar zijn, hoe medewerkers een gastaccount aanvragen en hoe verlopen toegang opnieuw kan worden geactiveerd. Trainingen voor projectleiders en sleutelgebruikers leggen nadruk op het herkennen van vertrouwelijke informatie, het kiezen van het juiste samenwerkingskanaal en het melden van incidenten. De servicedesk beschikt over runbooks, FAQ’s en lokale debug-scripts zodat zij snel kunnen vaststellen of een melding voortkomt uit beleid of uit een technisch probleem. Zonder deze voorbereiding ontstaat frustratie bij gebruikers en nemen zij hun toevlucht tot onveilige alternatieven.
Tot slot zijn tooling en rapportagevereisten cruciaal. Power BI- of Excel-rapporten verzamelen dagelijks gegevens uit Purview Audit, het SharePoint Admin Center en het ondersteunende script `code/design/collaboration/sharepoint-sharing-policies.ps1`. Deze tools worden eerst in een acceptatieomgeving getest met lokale debug-instellingen zodat duidelijk is hoe lang een controle duurt en welke drempelwaarden worden gebruikt. Resultaten worden opgeslagen in een centraal deploymentdossier dat voldoet aan de archiefwet. Alleen met deze infrastructuur kunnen organisaties aantonen dat monitoring betrouwbaar is en dat maatregelen binnen 15 seconden kunnen worden geverifieerd wanneer auditors of toezichthouders daarom vragen.
Implementatie
De implementatie start met een inventarisatie van de bestaande samenwerkingen. Het beheerteam gebruikt Purview Audit logs en het SharePoint Admin Center om inzicht te krijgen in huidige linktypes, openstaande gastaccounts en sites met gevoelige data. Deze gegevens worden vergeleken met het data-classificatiemodel en gebruikt om sites in te delen in profielen, bijvoorbeeld publiek, regulier, vertrouwelijk en zeer vertrouwelijk. De indeling wordt afgestemd met proceseigenaren en vastgelegd in het change register zodat iedere aanpassing traceerbaar is.
Vervolgens wordt het tenantniveau ingericht. In het SharePoint Admin Center wordt external sharing standaard ingesteld op "Existing guests" of, indien noodzakelijk, "New and existing guests" met aanvullende restricties. Het standaard linktype wordt gewijzigd naar "Specifieke personen" zodat gebruikers actief moeten kiezen voor bredere zichtbaarheid. Linkvervaldata, herauthenticatie en downloadbeperkingen worden geconfigureerd, en functies zoals beperkte toegang vanaf niet-beheerde apparaten worden ingeschakeld. Elke wijziging wordt eerst getest in een aparte tenant of via het lokale debugprofiel van het PowerShell-script zodat regressies direct zichtbaar zijn.
Daarna volgen site- en teamspecifieke instellingen. Voor gevoelige domeinen zoals HR, financiën en juridische afdelingen wordt extern delen volledig uitgeschakeld of beperkt tot vooraf goedgekeurde gastdomeinen. Projectsites krijgen aangepaste policies met kortere linkvervaldatums en verplichte goedkeuring door een site-eigenaar voordat nieuwe gasten worden uitgenodigd. Deze instellingen worden vastgelegd in site scripts of Microsoft 365-groepstemplates zodat nieuwe sites automatisch de juiste beveiliging meekrijgen. Bestaande sites worden via het script gecontroleerd en, waar nodig, automatisch hersteld.
Parallel hieraan wordt Azure AD B2B geconfigureerd. Gasten moeten multi-factor authenticatie gebruiken, krijgen beperkte leesrechten in het tenantprofiel en worden automatisch verwijderd na 30 of 60 dagen inactiviteit. DLP-beleid, sensitivity labels en Defender for Cloud Apps-waarschuwingen worden gekoppeld zodat het blokkeren van gevoelige inhoud, het melden van massale downloads en het intrekken van sessies volledig geautomatiseerd kan plaatsvinden. Ook wordt het proces ingericht om uitzonderingen tijdelijk toe te staan via change management, inclusief een automatische controle drie maanden later.
De implementatie sluit af met een pilot en gefaseerde uitrol. Een representatieve groep projecten test de nieuwe policies, voert scenario’s uit voor delen met leveranciers en beoordeelt de gebruikerservaring. Feedback wordt verwerkt in communicatie, ondersteuningsscripts en dashboards. Daarna volgt de organisatiewijde uitrol waarbij beheerders dagelijks rapportages reviewen en afwijkingen binnen één werkdag corrigeren. Documentatie, FAQ’s en instructievideo’s worden gepubliceerd op het intranet zodat medewerkers zelfstandig antwoorden vinden. De uitrol wordt pas afgerond wanneer monitoring bevestigt dat alle sites onder het nieuwe beleid vallen en uitzonderingen zijn vastgelegd.
Compliance en Auditing
Het deelbeleid ondersteunt rechtstreeks de BIO, specifiek hoofdstuk 13 (informatie-uitwisseling) en 11 (toegangsbeheer). Door standaard linktypes, verplichte authenticatie en periodieke expiratie te hanteren, voldoet de organisatie aan eis 13.02.04 waarin staat dat externe overdrachten gecontroleerd en herleidbaar moeten zijn. Daarnaast sluit het beleid aan op 11.02 doordat iedere gast via Azure AD B2B een individuele identiteit krijgt die onderworpen is aan dezelfde multi-factorregels als interne gebruikers. Voor ISO 27001 wordt vooral bijlage A.13.2.1 ingevuld: beleid en procedures voor informatieoverdracht. Het ontwerp beschrijft wie het beleid beheert, hoe uitzonderingen worden goedgekeurd en hoe logging plaatsvindt. Ook A.12.4 (logging) en A.18 (naleving) komen aan bod omdat alle delingsacties worden vastgelegd in Purview Audit en minimaal zeven jaar worden bewaard. Beheerders kunnen zo aantonen dat ieder document traceerbaar is en dat controles niet incidenteel maar continu plaatsvinden. De AVG vereist dat persoonsgegevens alleen met passende waarborgen worden gedeeld. Door standaard linktypes op "Specifieke personen" te zetten en door DLP-beleid te laten controleren op bijzondere categorieën gegevens, kan de organisatie aantonen dat dataminimalisatie en doelbinding zijn geborgd. In verwerkersovereenkomsten wordt verwezen naar dit beleid zodat ketenpartners dezelfde eisen hanteren. Wanneer toch een datalek optreedt, helpen de gedetailleerde logs om binnen 72 uur een melding te doen met exacte feiten. NIS2 en de Wet open overheid vragen bovendien om transparantie over digitale beveiliging. Het beleid beschrijft welke kritieke processen afhankelijk zijn van externe samenwerking en hoe continuïteit wordt gewaarborgd als er beperkingen moeten worden ingesteld tijdens een incident. Auditrapportages tonen dat monitoringresultaten worden besproken in het securityoverleg en dat verbeteracties worden opgevolgd. Hierdoor kan de organisatie aantonen dat delen van informatie geen ongecontroleerde handeling is maar onderdeel van het risicomanagementsysteem. Alle compliance-eisen worden ondersteund door concrete bewijslast: exporten uit het SharePoint Admin Center, rapportages van het PowerShell-script, CAB-besluiten over uitzonderingen en communicatie naar gebruikers. Deze documenten worden centraal opgeslagen met een bewaartermijn van minimaal zeven jaar zodat inspecties en Woo-verzoeken kunnen worden beantwoord zonder hectiek. Jaarlijks wordt het beleid herzien op basis van wijzigingen in wetgeving of Microsoft-functionaliteit, waarmee de organisatie laat zien dat naleving een doorlopend proces is.
Monitoring
Monitoring start bij het in kaart brengen van delen op tenantniveau. Het script `code/design/collaboration/sharepoint-sharing-policies.ps1` verzamelt dagelijks gegevens over nieuwe links, verlopen links en gastuitnodigingen en vergelijkt deze met de toegestane profielen. De resultaten worden geëxporteerd naar Log Analytics of een Power BI-dataset zodat beheer- en securityteams dezelfde bron gebruiken. Aanvullend worden dashboards opgebouwd met data uit het SharePoint Admin Center, Purview Audit en Defender for Cloud Apps. Deze geven inzicht in welke linktypes populair zijn, welke domeinen het meest worden uitgenodigd en waar afwijkingen optreden. Securitymonitoring richt zich op misbruikscenario’s zoals massale downloads of aanmeldingen vanaf ongebruikelijke locaties; alerts worden gekoppeld aan het beleid zodat incidentresponders binnen minuten kunnen ingrijpen. Alle monitoringscripts worden vóór productiegebruik getest met lokale debug-instellingen en moeten binnen 15 seconden resultaat geven. Logbestanden worden bewaard in het deploymentdossier en de uitkomsten worden maandelijks besproken in een multidisciplinair overleg zodat monitoring leidt tot concrete verbeteracties.
Naast technische signalen worden KPI’s gedefinieerd zoals het percentage sites met een gevoelig label, het aantal gasten dat ouder is dan zestig dagen en het aantal links zonder vervaldatum. Deze KPI’s worden automatisch berekend door het script en opgenomen in een rapport dat wekelijks naar proceseigenaren gaat. Wanneer drempels worden overschreden, creëert het systeem automatisch een ticket in het ITSM-platform zodat opvolging traceerbaar is. Door deze werkwijze te combineren met Power Automate of Logic Apps kunnen organisaties binnen enkele minuten reageren in plaats van dagen te wachten op handmatige analyses.
Monitoringgegevens worden bewaard conform de archiefwet en gekoppeld aan wijzigingen in beleid. Elke verandering in tenant- of site-instellingen wordt vastgelegd met datum, verantwoordelijke en verwijzing naar besluitvorming. Tijdens kwartaalreviews bespreken security-, privacy- en businessrepresentanten de trends om te bepalen of aanvullende maatregelen nodig zijn, bijvoorbeeld strengere domeinrestricties of extra instructies voor projectleiders. Door deze governancecyclus blijft monitoring niet beperkt tot technische dashboards maar vormt het een stuurinstrument voor de gehele organisatie.
Gebruik PowerShell-script sharepoint-sharing-policies.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Remediatie begint zodra monitoring een afwijking signaleert. De servicedesk opent een ticket waarin duidelijk staat welke site, welk linktype en welke gebruikers betrokken zijn. Eerst wordt gevalideerd of het een goedgekeurde uitzondering betreft; zo niet, dan worden links ingetrokken of accounts geblokkeerd. Gebruikers worden begeleid via een stappenplan om bestaande links om te zetten naar "Specifieke personen" en om vervaldata toe te passen. Bij zware incidenten, zoals het ongewenst delen van vertrouwelijke dossiers, wordt het account direct hersteld via wachtwoordreset en voorwaardelijke toegang, worden Purview Audit logs veiliggesteld en wordt een AVG-impactanalyse uitgevoerd. Het PowerShell-script biedt de functie `Invoke-Remediation` die automatisch site-instellingen herstelt, ongewenste linktypes verwijdert en gasten blokkeert die niet aan de domeinrestricties voldoen. Voordat de functie in productie draait, wordt deze met lokale debug-instellingen getest zodat exact duidelijk is welke acties worden uitgevoerd en welk resultaat mag worden verwacht. Na iedere remediatie volgt een evaluatie waarbij oorzaken, verbeteracties en communicatie worden vastgelegd in het CAB- en incidentdossier.
Wanneer remediatie plaatsvindt op gebruikerniveau, wordt de betrokkene begeleid via een duidelijk stappenplan op het intranet. Het plan beschrijft hoe bestaande links worden omgezet, hoe een gast opnieuw wordt uitgenodigd met de juiste verificatie en hoe bewijs van verwijdering wordt vastgelegd. De servicedesk controleert meteen of de gebruiker de verplichte awarenessmodules heeft afgerond; zo niet, dan volgt een gerichte e-learning zodat dezelfde fout niet opnieuw optreedt. Deze combinatie van technische en gedragsmatige opvolging voorkomt dat maatregelen als straf worden ervaren en verhoogt de kans op blijvende verandering.
Om transparantie te borgen wordt iedere remediatie-evaluatie toegevoegd aan het CAB-dashboard met de ondernomen acties, getroffen data en lessons learned. Waar nodig worden procedures aangepast, bijvoorbeeld door het standaardiseren van nieuwe waarschuwingen in het script of het toevoegen van aanvullende controles in het changeproces. Ook wordt vastgelegd of externen moeten worden geïnformeerd en of contractuele afspraken moeten worden herzien. Op deze manier ontstaat een sluitende cyclus van signaleren, herstellen en verbeteren.
Gebruik PowerShell-script sharepoint-sharing-policies.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- BIO: 13.02.04 - External information sharing controls
- ISO 27001:2022: A.13.2.1 - Information transfer policies
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
SharePoint Sharing Policies Design
.DESCRIPTION
Implementation for SharePoint Sharing Policies Design
.NOTES
Filename: sharepoint-sharing-policies.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/collaboration/sharepoint-sharing-policies.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "SharePoint Sharing Policies Design"
$CISControl = "7.2.x"
$BIOControl = "13.02"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "sharepoint-sharing-policies"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
High: Onbeperkt delen leidt tot ongecontroleerde "Anyone"-links, achterblijvende gastaccounts en datalekken die direct in strijd zijn met AVG en BIO 13.02. Het risico is hoog omdat vertrouwelijke documenten permanent buiten toezicht kunnen belanden.
Management Samenvatting
SharePoint-deelbeleid: tenantniveau beperken tot bestaande gasten, standaardlink "Specifieke personen", automatische vervaldata (30-60 dagen), domeinrestricties, DLP en sensitivity labels voor vertrouwelijke informatie. Configuratie via SharePoint Admin Center en Azure AD B2B, ondersteund door `code/design/collaboration/sharepoint-sharing-policies.ps1`. Investering 4-12 uur en essentieel voor AVG/BIO-compliance.
- Implementatietijd: 12 uur
- FTE required: 0.05 FTE