💼 Management Samenvatting
Een robuuste SharePoint Online-sitearchitectuur vormt het hart van moderne digitale samenwerking binnen Nederlandse overheidsorganisaties. Door vooraf een heldere hiërarchie, passende templates, consistente navigatie en strakke governance-afspraken te definiëren, ontstaat een duurzaam platform waarop kennisdeling, dossierbeheer en besluitvorming elkaar versterken in plaats van tegenwerken.
Aanbeveling
Implementeer een gestandaardiseerde SharePoint-sitearchitectuur als fundament voor samenwerking en informatiebeheer.
Risico zonder
Medium
Risk Score
5/10
Implementatie
40u (tech: 16u)
Van toepassing op:
✓ SharePoint
SharePoint-sites zijn de primaire bouwstenen voor samenwerking in Microsoft 365. Zonder bewuste regie ontstaan binnen enkele maanden ongecontroleerde wildgroei, dubbele informatiebronnen en grote gaten in verantwoordelijkheidsverdeling. Teams maken dan zelfstandig sites aan om urgente problemen op te lossen, maar vergeten de lifecycle vast te leggen of duidelijke eigenaarschap toe te wijzen. Hierdoor blijven projectomgevingen bestaan nadat de resultaten al lang zijn overgedragen, draaien publicatieportalen zonder vaste beheerder en verdwijnen beslisdocumenten in persoonlijke bibliotheken. Ook informatiebeveiliging komt onder druk te staan. Wanneer permissies handmatig worden toegekend zonder centrale kaders, stapelen uitzonderingen zich op en verliezen beheerders het overzicht over wie welke dossiers mag openen. Externe gasten houden soms langer toegang dan contractueel is toegestaan en gevoelige stukken verlaten ongemerkt de organisatie. Door gebrek aan uniforme metadata verliezen zoekoplossingen hun waarde: zoekresultaten tonen verouderde content, verschillende versies van hetzelfde document en hele afdelingen weten niet meer waar de actuele beleidsinformatie staat. Daarnaast wordt de gebruikerservaring inconsistent wanneer iedere afdeling eigen kleuren, webonderdelen en menu-structuren hanteert. Medewerkers ervaren het intranet dan als onsamenhangend en vermijden het platform, waardoor e-mail en schaduw-IT opnieuw het primaire communicatiekanaal worden. Tot slot ontstaan financiële risico’s. Wanneer duizenden sites zonder archiefstrategie blijven bestaan, lopen opslagkosten op en wordt het vrijwel onmogelijk om te voldoen aan bewaartermijnen uit de Archiefwet of de BIO. Een doordachte architectuur met goedgekeurde templates, hubstructuren die de organisatiestructuur weerspiegelen, helder lifecycle-beleid en verplichte eigenaarschapstoetsen voorkomt deze problemen. Het biedt bestuurders aantoonbare grip op informatie, versnelt audits en maakt het eenvoudiger om nieuwe digitale diensten op een gecontroleerde manier te introduceren.
PowerShell Modules Vereist
Primary API: SharePoint Online
Connection:
Required Modules: Microsoft.Online.SharePoint.PowerShell
Connection:
Connect-SPOServiceRequired Modules: Microsoft.Online.SharePoint.PowerShell
Implementatie
De maatregel omvat een complete ontwerp- en governanceaanpak waarmee SharePoint-sites voorspelbaar, veilig en doelgericht worden ingericht. Allereerst worden standaardtemplates opgesteld voor Team Sites, Communicatiesites en gespecialiseerde scenario’s zoals projectdossiers, kennisbanken of beleidsportalen. Elk template bevat vooraf ingestelde bibliotheken, metadatavelden, webonderdelen, thema’s en permissiegroepen zodat iedere nieuwe site direct voldoet aan huisstijl- en compliance-eisen. Daarnaast wordt een hubsite-architectuur uitgewerkt waarin hoofdstructuren (bijvoorbeeld rijksbreed, departementaal of regionaal) logisch samenkomen en gebruikers via gedeelde navigatie eenvoudig kunnen doorklikken tussen verwante werkruimtes. Daarbovenop komt een uniform machtigingsmodel dat Microsoft 365-groepen inzet voor teamsgerichte sites en zorgvuldig beheerde SharePoint-groepen voor zelfstandige portalen. Selfservice-aanvragen worden verwerkt via een centraal formulier waarin business-doel, gegevensclassificatie, eigenaar, vervaldatum en afstemmingsbesluiten worden vastgelegd. Goedgekeurde aanvragen worden automatisch uitgerold met PowerShell of Power Automate, waardoor menselijke fouten worden geminimaliseerd. Lifecycle-beleid borgt dat elke site minimaal twee actieve eigenaars heeft, jaarlijks wordt beoordeeld op actualiteit en na afronding van het doel gecontroleerd wordt gearchiveerd of verwijderd. Monitoring dashboards leveren managementrapportages over aantallen sites, opslagtrend, gevoelige permissies, externe gedeelde dossiers en openstaande eigenaarschapscontroles. Tot slot wordt alle documentatie — van ontwerprichtlijnen tot beslislogboeken — centraal bewaard zodat auditors kunnen aantonen dat de Nederlandse Baseline voor Veilige Cloud consequent wordt toegepast.
Vereisten
- Een volwassen SharePoint Online-tenant met moderne sites en Microsoft 365-groepen vormt de technische basis. Dat betekent dat de tenant is geconfigureerd met betrouwbare identiteitssynchronisatie, consistente domeinnamen, gedefinieerde opslagquota en een duidelijk beleid voor gasttoegang. Bovendien moeten bestaande sites zijn geïnventariseerd zodat duidelijk is welke omgevingen worden gemigreerd naar de nieuwe architectuur en welke verouderde sites moeten worden afgebouwd. Zonder dit fundament is het onmogelijk om templates, hubassociaties en lifecycle-rapportages betrouwbaar te laten werken. Denk ook aan randvoorwaarden zoals ingestelde retentiebeleid op tenantniveau, centrale logging in Microsoft Purview en een vastgesteld noodprocedure voor het tijdelijk pauzeren van sitecreatie wanneer incidenten zich voordoen. Een stabiele tenant voorkomt dat technische beperkingen de governanceaanpak ondermijnen.
- Een gestroomlijnd siteprovisioning-proces is noodzakelijk om snelheid en controle te combineren. Dit proces begint met een aanvraagformulier waarin de businessdoelstelling, de gegevensclassificatie volgens de BIO, de relatie met bestaande hubsites en de beoogde eigenaars worden vastgelegd. Vervolgens is er een beoordelingsstap door informatie-architecten of security officers die toetsen of de aanvraag past binnen de vastgestelde kaders. Na goedkeuring wordt de site automatisch uitgerold met het juiste template, worden de governance-parameters vastgelegd in een register en ontvangen de eigenaars duidelijke instructies over beheer, communicatie en verwijderingscriteria. Het proces eindigt met een overdraagmoment aan de aanvrager inclusief documentatie en verwijzingen naar supportkanalen. Door het proces te koppelen aan Power Automate en ServiceNow of TOPdesk ontstaat bovendien een auditable workflow waarin iedere statuswijziging wordt vastgelegd, inclusief SLA’s voor reactietijden en escalatiepaden wanneer aanvragen aanvullende beveiligingsmaatregelen vereisen.
- Een gecontroleerd informatie-architectuurontwerp vormt het inhoudelijke kader. Hierin worden taxonomie, metadata, navigatiepatronen en branding vastgelegd zodat gebruikers overal dezelfde ervaring hebben. Het ontwerp beschrijft welke metadata verplicht zijn voor documenten, hoe nieuws en kennisartikelen worden gecategoriseerd, welke webonderdelen in welke scenario’s zijn toegestaan en hoe hubsites elkaar logisch opvolgen. Verder bevat het ontwerp afspraken over taalgebruik, toegankelijkheid, integratie met Teams en Viva Connections en verwijst het naar relevante wet- en regelgeving. Door dit ontwerp vooraf met stakeholders af te stemmen en periodiek te actualiseren blijft de architectuur toekomstvast en kan de organisatie nieuwe functionaliteit gecontroleerd toevoegen zonder de bestaande structuur te verstoren. Het ontwerp bevat tevens een beslisboom voor uitzonderingen, zodat duidelijk is wanneer maatwerk is toegestaan en welke compenserende maatregelen dan verplicht zijn.
Implementatie
Gebruik PowerShell-script sharepoint-sites.ps1 (functie Invoke-Remediation) – Het script `sharepoint-sites.ps1` automatiseert het volledige configuratietraject: het legt verbinding met de tenant, controleert of de vereiste PowerShell-modules aanwezig zijn, valideert inputparameters, maakt of actualiseert hubsites, koppelt sites aan de juiste hub, past thema’s toe, implementeert de goedgekeurde templates en registreert de configuratiestappen in een auditlog. Door deze automatisering wordt iedere provisioning-actie herhaalbaar, inzichtelijk en aantoonbaar compliant met de Nederlandse Baseline voor Veilige Cloud. De logging wordt opgeslagen in een gedeeld opslagaccount zodat zowel functioneel beheerders als auditors kunnen volgen welke wijzigingen zijn uitgevoerd, door wie en met welke uitkomst, inclusief foutmeldingen en uitgevoerde herstelacties..
De implementatie verloopt in vijf fasen die elkaar logisch opvolgen en in totaal ongeveer veertig uur vergen. Fase één bestaat uit analyse en besluitvorming: architecten brengen bestaande sites, businessprocessen en compliancerisico’s in kaart en definiëren meetbare doelstellingen. In fase twee worden templates en hubstructuren uitgewerkt in samenwerking met communicatieadviseurs, security officers en functioneel beheerders; ontwerpkeuzes worden vastgelegd in designsystemen en gedeelde thema’s. De derde fase richt zich op automatisering: het script wordt geconfigureerd met parameters voor naamgevingsconventies, permissiesteigers, retentieperioden en koppelingen met Teams. Fase vier is de gecontroleerde uitrol. Nieuwe sites worden via de provisioningworkflow aangevraagd en automatisch aangemaakt; bestaande sites worden gemigreerd waarbij inhoud, metadata en machtigingen worden opgeschoond. Elke stap wordt getest in een sandboxomgeving met lokale debuginstellingen zodat fouten binnen vijftien seconden kunnen worden opgespoord en gecorrigeerd. Tot slot volgt fase vijf, adoptie en borging: eigenaars krijgen trainingen, er worden beheercommunity’s opgezet en KPI’s worden ingesteld om naleving en gebruik te meten. Door deze aanpak staat er vanaf dag één een schaalbaar en auditproof SharePoint-landschap dat eenvoudig uit te breiden is. Regelmatige evaluaties met het CISO-office en enterprise-architectuurteam zorgen ervoor dat verbeterpunten direct worden opgenomen in de backlog en dat de oplossing meegroeit met nieuwe Microsoft 365-functionaliteit.
Monitoring
Gebruik PowerShell-script sharepoint-sites.ps1 (functie Invoke-Monitoring) – De monitoringsfunctie in hetzelfde script verzamelt periodiek gegevens over siteaantallen per hub, opslagtrends, gedeelde documenten met externe partijen, openstaande eigenaarschapsbeoordelingen en sites die geen recent bezoek hebben geregistreerd. De resultaten worden geëxporteerd naar CSV en JSON, waardoor ze eenvoudig zijn te integreren in Power BI-rapportages of toezichtsrapporten voor CISO’s..
Monitoring draait om continue zichtbaarheid. Iedere week wordt een inventarisatie gemaakt van alle actieve sites met informatie over hubassociatie, classificatie, primaire eigenaar, secundaire eigenaar, aantal unieke bezoekers, grootverbruikers van opslag en openstaande taken uit lifecycle-workflows. Deze inventaris wordt vergeleken met de normatieve architectuur zodat afwijkingen direct zichtbaar zijn. Maandelijks wordt gecontroleerd of de verplichte metadata nog correct worden ingevuld en of nieuwe sites daadwerkelijk via het goedgekeurde proces zijn aangemaakt. Daarnaast wordt ieder kwartaal een steekproef uitgevoerd op externe gedeelde documenten om te verifiëren of tijdelijke toegang daadwerkelijk is ingetrokken. De uitkomsten monden uit in drie concrete rapportages: een CISO-dashboard met risicotrends, een operationeel rapport voor functioneel beheer met concrete acties per site en een overzicht voor lijnmanagers waarin staat welke sites binnenkort een eigenaarschapsreview moeten doorlopen. Wanneer afwijkingen worden geconstateerd, genereert het script automatisch tickets of e-mailberichten richting verantwoordelijken. Hierdoor blijft de governance levend, worden auditbevindingen voorkomen en kan de organisatie aantonen dat de Nederlandse Baseline voor Veilige Cloud niet alleen op papier bestaat maar dagelijks wordt nageleefd. Bovendien worden monitoringresultaten gebruikt om trainingsbehoeften te bepalen: wanneer meerdere sites dezelfde fout maken (bijvoorbeeld ontbrekende metadata of verouderde nieuwsartikelen), volgt een gerichte kennisdeling-sessie zodat de oorzaak structureel verdwijnt.
Compliance en Auditing
- BIO 09.01 vereist dat informatiearchitectuur gecontroleerd, gedocumenteerd en herleidbaar is. Deze maatregel vertaalt dit naar de praktijk door voor iedere site een duidelijk doel, eigenaarschap, classificatie en bewaartermijn vast te leggen. De governanceworkflow bewaart beslisdocumenten, waardoor auditors kunnen aantonen welke afwegingen zijn gemaakt en welke controles zijn uitgevoerd voordat een site live ging. Daarnaast sluit de hubstructuur aan op organisatorische processen, waardoor de traceerbaarheid van informatieketens behouden blijft.
- ISO 27001 A.9.1.1 stelt dat toegang tot bedrijfsinformatie moet worden gebaseerd op zakelijke vereisten. Door Microsoft 365-groepen en SharePoint-groepen consequent te koppelen aan goedgekeurde templates, ontstaat een aantoonbare scheiding tussen eigenaars, leden en bezoekers. Het lifecycle-beleid zorgt ervoor dat overbodige rechten periodiek worden ingetrokken en dat gasten toegang verliezen zodra het contract of het project is afgerond. Daarmee ondersteunt de architectuur zowel least-privilege als het principe van need-to-know.
Remediatie
Gebruik PowerShell-script sharepoint-sites.ps1 (functie Invoke-Remediation) – Het herstelproces bestaat uit drie samenhangende stappen die via het script worden ondersteund. In de diagnosefase wordt een volledige inventaris gemaakt van bestaande sites, inclusief eigenaars, classificaties, externe koppelingen en technische instellingen zoals versiebeheer. Het script vergelijkt deze gegevens met de doelarchitectuur en markeert afwijkingen, bijvoorbeeld sites zonder eigenaar of met gedeactiveerde versiegeschiedenis. Tijdens de herstelfase worden configuraties aangepast: sites worden opnieuw gekoppeld aan de juiste hub, thema’s en policies worden toegepast, permissies worden opgeschoond en gevoelige bibliotheken krijgen uniforme retentie-instellingen. Waar nodig worden tijdelijke blokkades geactiveerd zodat data eerst kan worden veiliggesteld. In de borgingsfase wordt per site een rapportage gegenereerd waarin staat welke wijzigingen zijn doorgevoerd, welke resterende acties door de eigenaar moeten worden opgepakt en welke controles over drie of zes maanden opnieuw plaatsvinden. Door deze aanpak kan de organisatie stapsgewijs van een ongecontroleerde situatie naar een volledig beheerde SharePoint-omgeving bewegen zonder de dagelijkse samenwerking stil te leggen..
Compliance & Frameworks
- BIO: 09.01.01 - Information architecture en governance
- ISO 27001:2022: A.9.1.1 - Toegangsbeleid
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
SharePoint Sites Architecture Design
.DESCRIPTION
Implementation for SharePoint Sites Architecture Design
.NOTES
Filename: sharepoint-sites.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/collaboration/sharepoint-sites.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "SharePoint Sites Architecture Design"
$CISControl = "7.x"
$BIOControl = "13.02"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "sharepoint-sites"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Zonder centrale architectuur ontstaat ongeremde sitegroei, raken eigenaarschap en permissies zoek, wordt het onmogelijk om te voldoen aan de BIO en lopen opslag- en auditkosten snel op.
Management Samenvatting
Ontwikkel templates, hubstructuren, provisioning- en lifecycleprocessen, automatiseer de uitrol met `sharepoint-sites.ps1` en monitor actief op eigenaarschap, opslag en externe toegang; investeer 16–40 uur om structurele governance te waarborgen.
- Implementatietijd: 40 uur
- FTE required: 0.2 FTE