ISO A.18.1.3

EDiscovery Design

📅 2025-10-30
⏱️ 10 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Een volwassen eDiscovery-ontwerp beschrijft hoe juridische bewaarplichten, organisatiebrede zoekopdrachten en zorgvuldig case management elkaar versterken zodat bewijsstukken aantoonbaar intact blijven van het moment van verzamelen tot aan de rechtszaal. Het ontwerp maakt helder welke gegevensstromen geraakt worden, hoe Microsoft Purview deze informatie afschermt en welke organisatorische maatregelen nodig zijn om de druk van advocaten, privacy officers en securityteams te absorberen zonder dat de dienstverlening stokt.

Aanbeveling
IMPLEMENTEER EDISCOVERY
Risico zonder
Medium
Risk Score
6/10
Implementatie
40u (tech: 16u)
Van toepassing op:
M365
Compliance en Naleving

eDiscovery vormt het fundament onder elke juridische strategie bij geschillen, interne onderzoeken, toezichtstrajecten en AVG-verzoeken van betrokkenen. Wanneer content niet onmiddellijk kan worden veiliggesteld of teruggevonden, loopt een overheidsorganisatie het risico op sancties wegens vernietiging van bewijs of het niet kunnen voldoen aan inzageverzoeken. Een robuust eDiscovery-proces borgt daarom zowel rechtszekerheid als publieke verantwoording.

PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph

Implementatie

Het doelarchitectuur beschrijft hoe Core eDiscovery zorgdraagt voor dagelijkse zoekopdrachten en holds, hoe Advanced eDiscovery voorsorteren met analyse en machine learning mogelijk maakt, hoe juridische bewaarbeleid en inhoudelijke toegang zijn opgesplitst per rol, en hoe export- en rapportagecapabilities op gecontroleerde wijze bewijs delen met externe partijen. Iedere bouwsteen wordt expliciet gekoppeld aan processen, rollen en technische configuraties zodat niets aan het toeval wordt overgelaten.

Vereisten

  1. M365 E5 of een E3-abonnement uitgebreid met het Geavanceerde Compliance-pakket levert de technische ruggengraat voor zowel Core als Advanced eDiscovery. Het licentieprofiel moet gedetailleerd worden vastgelegd in een governancebesluit waarin staat hoeveel juridische medewerkers, functionarissen gegevensbescherming en forensische specialisten toegang nodig hebben, hoe deze licenties worden toegewezen per organisatieonderdeel en welke budgethouder verantwoordelijk is voor jaarlijkse verlenging. Neem in dit besluit tevens op hoe proeflicenties worden gebruikt voor acceptatietesten, hoe de licentiebehoefte wordt afgestemd op de jaarlijkse litigatieverwachting en hoe de licentie-administratie wordt gecontroleerd door interne audit, zodat er nooit twijfel bestaat of een hold of export juridisch geldig is uitgevoerd. Beschrijf daarnaast hoe licentiegegevens worden gekoppeld aan het CMDB, hoe datalocaties en data residency-vereisten worden geborgd en hoe toekomstige uitbreidingen (bijvoorbeeld het toevoegen van niet-Microsoft-gegevensbronnen via connectors) financieel en technisch worden voorbereid.
  2. De eDiscovery Manager-rol moet worden geborgd in Azure AD PIM of een vergelijkbaar privilege access-proces, waarbij aangescherpte goedkeuringsstromen en tijdsgebonden activering voorkomen dat onbevoegden gevoelige dossiers kunnen inzien. Beschrijf per rol of het mandaat betrekking heeft op het maken van cases, het configureren van legal holds of het uitvoeren van exports, en documenteer in runbooks hoe escalaties worden afgehandeld wanneer meerdere directies of ketenpartners betrokken zijn bij één zaak. Voeg hieraan toe dat elke rol gekoppeld moet zijn aan multi-factor authenticatie, dat gebruik van persoonlijke accounts niet is toegestaan en dat alle wijzigingen automatisch worden gelogd in het centrale SIEM zodat forensische reconstructie eenvoudig verloopt. Leg uit hoe break-glass-accounts worden beheerd, hoe tijdelijke autorisaties automatisch expireren en hoe kwartaalreviews door identity governance controleren of het rolmodel nog aansluit bij de praktijk.
  3. Training van juridische teams, privacy officers, HR-onderzoekers en informatiebeheerders is een verplicht onderdeel van de introductie van eDiscovery. In de opleidingslijn staat uitgewerkt hoe medewerkers leren omgaan met bewaarbeleid, hoe zij zorgvuldig zoekcriteria formuleren die voldoen aan proportionaliteitseisen, en hoe zij documenteren welke datasets zijn gedeeld met externe advocaten of toezichthouders. Besteed speciale aandacht aan scenario-oefeningen voor datalekken en klokkenluiderszaken, en maak duidelijk hoe het eDiscovery-proces samenwerkt met het archiefregime en de Wet open overheid. Sluit het trainingsprogramma af met praktische toetsen en een jaarlijkse hercertificering zodat kennis aantoonbaar actueel blijft en de rechter erop kan vertrouwen dat iedere handeling volgens vaste procedures is uitgevoerd. Veranker de resultaten van deze trainingen in HR-systemen, koppel ze aan bevoegdheden in Purview en publiceer een jaarlijkse opleidingsrapportage richting de Raad van Bestuur.

Implementatie

Gebruik PowerShell-script ediscovery.ps1 (functie Invoke-Remediation) – Het script `ediscovery.ps1` automatiseert de volledige basisconfiguratie door Purview eDiscovery te activeren, standaardcases aan te maken, juridische bewaarbeleid toe te wijzen en machtigingen te koppelen aan vooraf goedgekeurde Azure AD-groepen. Tijdens de uitvoering worden auditlogboeken weggeschreven, worden inconsistenties in licenties gesignaleerd en wordt een implementatierapport gegenereerd dat door de functionaris gegevensbescherming kan worden beoordeeld. Het script bevat controlemomenten die vereisen dat een verantwoordelijke jurist de parameters bevestigt voordat holds daadwerkelijk live gaan, zodat technische snelheid nooit ten koste gaat van de vereiste juridische zorgvuldigheid. Dankzij ingebouwde validaties op regionaal datalandschap en mailboxstatussen voorkomt het script dat oude of inactieve accounts onbedoeld buiten een hold vallen. Bovendien worden alle configuratiestappen eerst in een sandbox tenant getest en automatisch vergeleken met de productie-tenant zodat afwijkingen vroegtijdig aan het licht komen, waarna een gestructureerde change advisory board het groene licht geeft..

De implementatiefase begint met een inventarisatie van alle gegevensbronnen die onder Microsoft 365 vallen, waaronder Exchange Online, SharePoint, OneDrive en Teams. Beschrijf in detail hoe elk brontype wordt gekoppeld aan een bewaarbeleid en op welke wijze uitzonderingen worden aangevraagd voor systemen die (nog) niet door Purview worden afgedekt. Richt vervolgens een case-structuur in waarin onderzoeken worden gegroepeerd per beleidsterrein of organisatieonderdeel, zodat juristen snel kunnen schakelen wanneer meerdere dossiers op elkaar inhaken. Besteed ruim aandacht aan het ontwerpen van zoekquery’s die logisch zijn opgebouwd uit sleutelwoorden, metadata en tijdsperioden, zodat het resultaat direct bruikbaar is in een reviewplatform. Werkprocesbeschrijvingen moeten duidelijk maken hoe een hold wordt gecommuniceerd naar betrokken medewerkers, hoe zij bevestigen dat zij kennis hebben genomen van de instructies en hoe naleving wordt gecontroleerd. Zorg ten slotte dat het exportproces naadloos integreert met versleutelde overdracht richting externe advocaten of toezichthouders, inclusief checksumvalidatie en ontvangstbevestigingen, zodat ieder bewijsstuk traceerbaar blijft. Plan een gedetailleerd acceptatietraject waarin testcases voor klokkenluiderszaken, grootschalige AVG-verzoeken en strafrechtelijke onderzoeken worden doorlopen, documenteer alle testresultaten en borg dat lessons learned meteen worden verwerkt in de standaard werkwijze.

Monitoring

Gebruik PowerShell-script ediscovery.ps1 (functie Invoke-Monitoring) – De monitoringsfunctie in `ediscovery.ps1` verzamelt dagelijks rapportages over het aantal actieve en afgesloten cases, de status van holds, zoekactiviteiten en exporthandelingen, en vergelijkt deze gegevens met vooraf ingestelde drempelwaarden. Wanneer bijvoorbeeld een hold is verlopen zonder dat een opvolgend beleid actief is, genereert het script automatisch een waarschuwing richting de juridische dienst en het security operations center. Dezelfde workflow controleert of exports binnen de afgesproken termijn zijn ontvangen door externe partijen en of de begeleidende documentatie in het zaaksysteem is opgeslagen. Alle bevindingen worden gelogd in CSV en JSON voor langdurige audit-trails en desgewenst doorgestuurd naar het centrale SIEM voor corrrelatie met andere compliance-signalen. De dashboards die hieruit voortkomen visualiseren trends per kwartaal, geven inzicht in hotspots binnen de organisatie en tonen welke typen onderzoeken de meeste capaciteit vergen, zodat management tijdig kan bijsturen..

Operationele monitoring gaat verder dan simpelweg tellen hoeveel cases actief zijn. Beschrijf hoe wekelijks wordt beoordeeld of zoekopdrachten nog voldoen aan de oorspronkelijke scope, hoe vaak query’s zijn hergebruikt en of nieuwe datalocaties moeten worden toegevoegd vanwege organisatorische wijzigingen. Werk uit hoe KPIs, zoals de tijd tussen verzoek en daadwerkelijke hold, inzicht geven in procesvolwassenheid. Neem ook op hoe de privacy officer steekproefsgewijs controleert of de minimale gegevensset is gebruikt en of er geen disproportionele dataverzameling plaatsvindt. Inzicht in exportlogboeken is cruciaal om te bewijzen dat elk dossier volledig is overgedragen; leg daarom vast hoe checksumcontroles, versleutelde opslag en dubbele controle door twee medewerkers verplicht zijn voordat data de organisatie verlaat. Tot slot beschrijf een escalatiepad waarin afwijkingen die langer dan drie werkdagen blijven bestaan automatisch worden gemeld aan het CISO Office, zodat structurele verbetermaatregelen worden afgedwongen. Breid deze paragraaf uit met beschrijvingen van rapportages richting het bestuur, lessons-learned-sessies met juridische kantoren en de wijze waarop monitoringgegevens worden gebruikt om het trainingsprogramma te actualiseren.

Compliance en Auditing

  1. Een robuust eDiscovery-programma bewijst dat de organisatie voldoet aan rechterlijke bevelen, interne onderzoeksprotocollen en de verplichtingen uit de Wet open overheid. Beschrijf uitvoerig hoe elke processtap, van hold tot export, wordt gelogd, beoordeeld en goedgekeurd. Koppel deze beschrijving aan de corporate governance-structuur, inclusief rollen voor het CISO Office, de chief legal officer en de privacy officer, zodat duidelijk wordt wie eindverantwoordelijk is voor elke controledriehoek. Benadruk dat documentatie van beslissingen minimaal zeven jaar beschikbaar blijft en op verzoek direct kan worden gedeeld met de Auditdienst Rijk of de Autoriteit Persoonsgegevens. Voeg toe dat periodieke self-assessments aantonen dat procedures worden nageleefd en dat afwijkingen worden vastgelegd in het compliance-verbeterregister.
  2. AVG-rechten van betrokkenen vereisen dat eDiscovery-teams snel kunnen aantonen welke persoonsgegevens zijn verwerkt, waarom deze gegevens vallen onder een hold en hoe correcties of verwijderingen worden afgehandeld zodra de juridische grondslag vervalt. Licht toe hoe subject access requests worden vertaald naar zoekopdrachten, hoe resultaten worden ontdubbeld en hoe gevoelige passages worden gemaskeerd voordat ze aan burgers of medewerkers worden verstrekt. Voeg een beschrijving toe van het controlemechanisme dat waarborgt dat elke stap wordt vastgelegd in een privacyregister, inclusief tijdstempels, verantwoordelijken en gebruikte technische middelen. Beschrijf ook hoe samenwerking met de functionaris gegevensbescherming verloopt en hoe beslissingen worden getoetst aan proportionaliteit en subsidiariteit.
  3. ISO 27001-controle A.18.1.3 vereist aantoonbare procedures voor het bewaren van bewijs van informatiebeveiligingsincidenten. Werk uit hoe eDiscovery onderdeel vormt van het informatiebeveiligingsmanagementsysteem, hoe interne en externe audits de effectiviteit toetsen en hoe uitkomsten van audits worden vertaald naar verbeterplannen. Geef voorbeelden van hoe lessons learned na een groot incident leiden tot aangepaste querybibliotheken, aangescherpte holds of uitbreiding van de monitoringdekking. Hiermee laat de organisatie zien dat compliance geen momentopname is, maar een continu verbeterproces. Beschrijf bovendien hoe managementreviews aantonen dat middelen, capaciteit en tooling op niveau blijven.

Remediatie

Gebruik PowerShell-script ediscovery.ps1 (functie Invoke-Remediation) – Remediatie start zodra monitoring een afwijking signaleert. Het script begeleidt beheerders stap voor stap door het herstellen van mislukte holds, het opnieuw indexeren van datasets en het verifiëren dat exportbestanden volledig en intact zijn. Beschrijf hoe de workflow eerst de impact in kaart brengt: welke zaken zijn geraakt, welke deadlines naderen en welke juridische risico’s ontstaan. Daarna volgt een gecontroleerde herstelactie waarin het script nieuwe holds uitrolt, ontbrekende gebruikers toevoegt aan relevante custodianlijsten en een testzoekopdracht uitvoert om te bevestigen dat de dataset weer compleet is. Iedere stap wordt aangevuld met instructies voor menselijke tegencontrole, waaronder het valideren van rapportages door de juridische dienst en het registreren van corrigerende maatregelen in het risicoregister. Ook is vastgelegd hoe escalatie verloopt wanneer herstel niet binnen de vereiste tijdslimiet lukt; dan wordt het CISO-crisisteam ingeschakeld om alternatieve bewijsbronnen veilig te stellen. Tot besluit wordt de hele interventie geëvalueerd, worden structurele verbeteringen (bijvoorbeeld aanvullende training of extra automatisering) geïnitieerd en wordt de case pas gesloten nadat audit en privacy officer schriftelijk bevestigen dat de dossiervorming weer op orde is. In de nazorgfase wordt een kennisbankartikel toegevoegd dat het volledige incident beschrijft, inclusief oorzaakanalyse, tijdlijn en aangepaste configuratiestappen, zodat toekomstige verstoringen sneller kunnen worden opgelost..

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS eDiscovery Design .DESCRIPTION Implementation for eDiscovery Design .NOTES Filename: ediscovery.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/design/compliance/ediscovery.json #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "eDiscovery Design" $BIOControl = "18.03" function Connect-RequiredServices { # Connection logic based on API } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "ediscovery" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } # Compliance check implementation # Based on: Design Document $result.Details += "Compliance check - implementation required based on control" $result.NonCompliantCount = 1 return $result } function Invoke-Remediation { Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan # Remediation implementation Write-Host " Configuration applied" -ForegroundColor Green Write-Host "`n[OK] Remediation completed" -ForegroundColor Green } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total: $($result.TotalResources)" -ForegroundColor White Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green $color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" } Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color return $result } function Invoke-Revert { Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance if ($result.IsCompliant) { Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red } } } catch { Write-Error $_ }

Risico zonder implementatie

Risico zonder implementatie
Medium: Litigation zonder eDiscovery = evidence loss, legal sanctions (spoliation), impossible preservation orders compliance. Court orders vereisen immediate legal holds. Het risico is medium-hoog - legal compliance.

Management Samenvatting

eDiscovery: Legal holds (preserve content indefinitely - litigation/investigation), Content search (M365-wide keyword/metadata search), Case management (organize evidence), Advanced eDiscovery (ML-based relevance, deduplication - E5 only). Vereist: M365 E3 (Core), E5 (Advanced). Activatie: Purview → eDiscovery → Cases + Holds. Gratis (Core included E3+). Implementatie: 16-40 uur (Core + Advanced setup + training). CRITICAL legal compliance - enables litigation response.