BIO 12.04.01 ISO A.5.33

Records Management Design

📅 2025-10-30
⏱️ 9 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Een doordacht ontwerp voor records management zorgt ervoor dat elke digitale en fysieke archiefvorm automatisch de juiste bewaartermijn, juridische status en vernietigingsprocedure krijgt en houdt zo de informatiehuishouding van Nederlandse overheden controleerbaar, betrouwbaar en toetsbaar.

Aanbeveling
IMPLEMENTEER RECORDS MANAGEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
48u (tech: 24u)
Van toepassing op:
M365
SharePoint
Exchange
Compliance en Naleving

Overheidsorganisaties opereren onder de Archiefwet, de AVG, de BIO en sectorspecifieke normen die allemaal aantoonbare bewaarbeleid vereisen; zonder geautomatiseerd records management ontstaan conflicten tussen wettelijke bewaartermijnen, privacyvereisten en operationele kosten, wat leidt tot ontoelaatbare improvisatie bij audits, hoge opslagfacturen en een groot risico op bewijsverlies tijdens gerechtelijke procedures.

PowerShell Modules Vereist
Primary API: Microsoft Graph / Compliance
Connection: Connect-MgGraph / Connect-IPPSSession
Required Modules: Microsoft.Graph, ExchangeOnlineManagement

Implementatie

Records management binnen Microsoft 365 betekent het samenbrengen van Purview-labels, retentiebeleid, dossierplannen en juridische bewaring in één integraal ontwerp waarin beleid, technologie en organisatieafspraken elkaar versterken zodat bewaartermijnen automatisch starten, uitzonderingen gecontroleerd worden afgehandeld en elke record zijn volledige levenscyclus aantoonbaar doorloopt.

Vereisten

Een volwassen invoering van records management kan alleen slagen wanneer de organisatie precies begrijpt waarom informatie moet worden bewaard, wie eigenaar is van de gegevens en hoe lang bewijswaarde noodzakelijk blijft. Dat begint met een gezamenlijke analyse tussen juridisch adviseurs, informatiebeheerders, privacy officers, securityspecialisten en proceseigenaren. Zij brengen alle wet- en regelgeving in kaart, inclusief de Archiefwet, sectorale bewaarplichten voor financiële dossiers, subsidies of medische gegevens, en aanvullende eisen uit de BIO en ISO 15489. Deze dialoog levert het mandaat op om strak te sturen op bewaartermijnen en voorkomt het klassieke patroon waarin alleen de IT-afdeling verantwoordelijk wordt gehouden voor beleidskeuzes die eigenlijk bestuurlijk geborgd moeten zijn.

Wanneer de juridische kaders duidelijk zijn volgt een inhoudelijke inventarisatie van alle informatiecategorieën, variërend van bestuursbesluiten en e-mailjournals tot Teams-chats, SharePoint-dossiers en gescande brieven. Voor elke categorie wordt de classificatie (openbaar, intern, vertrouwelijk, departementaal geheim), de processtap waarin de informatie ontstaat en het event dat de retentieperiode start gedocumenteerd. Dit kan bijvoorbeeld de afgifte van een vergunning zijn, de beëindiging van een contract of de afronding van een bezwaarprocedure. Door deze analyse gestructureerd vast te leggen in een fileplan ontstaat een basis waarmee Purview-labels later automatisch kunnen worden beheerd.

Vervolgens worden de technische randvoorwaarden vastgesteld. Microsoft 365 E3 biedt de basisfunctionaliteit om retentielabels te publiceren, maar voor geavanceerde scenario's zoals event-based retention, adaptieve scopes en gedetailleerde disposition-workflows is een E5-licentie of het Compliance Add-on pakket noodzakelijk. Ook moeten de juiste rollen, zoals Records Management Administrator, Compliance Data Administrator en eDiscovery Manager, binnen Entra ID worden toegewezen volgens het least-privilege-principe. Het change- en releaseproces moet ondersteunen dat instellingen in Purview gecontroleerd worden uitgerold via Infrastructure-as-Code of gescripte deployment zodat elke wijziging herleidbaar is.

Een andere cruciale randvoorwaarde is een betrouwbaar gegevenslandschap. Bronregisters voor medewerkers, klanten of dossiers moeten de events genereren die een retentieperiode starten of stoppen. Zonder koppeling tussen HR-systemen, zaakregistratie of contractmanagement en Purview kunnen labels niet automatisch worden toegepast en blijft handmatige verwerking nodig, met alle fouten van dien. Data-architecten moeten daarom definiëren welke metadata in SharePoint, Teams en Exchange verplicht wordt en hoe deze velden gevuld worden via workflows of forms.

Tot slot vraagt het ontwerp om voldoende middelen voor adoptie en governance. Communicatie- en trainingsplannen leggen uit hoe gebruikers content correct labelen, hoe uitzonderingen aangevraagd kunnen worden en wat de escalatielijnen zijn bij juridische onderzoeken. Functioneel beheer moet beschikken over monitoringdashboards, draaiboeken voor audits en een change-kalender waarin retentieaanpassingen tijdig worden afgestemd met privacy en security. Pas wanneer deze organisatorische, juridische en technische vereisten aantoonbaar geregeld zijn, kan de daadwerkelijke implementatie veilig van start gaan.

Daarbovenop moeten privacyprincipes zoals dataminimalisatie en doelbinding verankerd worden in het ontwerp. Dit betekent dat elk retentionlabel expliciet beschrijft welke persoonsgegevens het raakt en welke juridische grondslag deze verwerking legitimeert. Ook moet vooraf duidelijk zijn hoe internationale gegevensstromen worden beschermd en of specifieke datacenters of soevereine clouds nodig zijn om de beleidsafspraken van het ministerie of de gemeente na te leven. Leveranciers, inclusief externe archiefdiensten of scanstraten, worden in contracten verplicht dezelfde bewaartermijnen en beveiligingsmaatregelen te hanteren.

Ten slotte wordt succes bepaald door de mate waarin de organisatie deze vereisten kan toetsen. Acceptatiecriteria leggen vast hoe pilots worden beoordeeld, welke meetwaarden worden verzameld en hoe een stuurgroep beslist over doorgang. Budgetten voor licenties, training, beheer en periodieke legal reviews worden vastgelegd in de meerjarenbegroting, zodat records management niet stilvalt zodra het projectbudget is opgebruikt. Met deze brede set vereisten ontstaat een stevig fundament waarop de techniek probleemloos landt en waarop auditors vertrouwen.

Implementatie

Gebruik PowerShell-script records-management.ps1 (functie Invoke-Remediation) – Implementeert het volledige recordsmanagementbeleid via gecontroleerde PowerShell-taken..

Het implementatietraject start met het modelleren van een fileplan in Microsoft Purview Records Management, waarin elke recordcategorie wordt vastgelegd met bewaartermijn, start- en stoptrigger, bewaardoel en verantwoordelijk functioneel beheerder. Deze informatie wordt vanuit het juridische dossierplan overgenomen en aangevuld met concrete Microsoft 365-locaties zoals specifieke SharePoint-sites, Microsoft Teams of Exchange-mailboxen. Op basis van dit plan worden retentielabels aangemaakt, waarbij telkens vastligt of een record na afloop automatisch wordt verwijderd, een disposition review nodig heeft of permanent gearchiveerd moet blijven. Wanneer voor bepaalde processen onwijzigbare dossiers nodig zijn worden dezelfde labels uitgebreid met record declaration zodat wijzigingen en verwijderingen onmogelijk worden.

Na het aanmaken van de labels volgt het publiceren via labelbeleid. Hierbij wordt zorgvuldig gekozen tussen statische en adaptieve scopes. Statische scopes lenen zich voor locaties die nauwelijks wijzigen, zoals een archiefsite voor vergunningen, terwijl adaptieve scopes beter passen bij dynamische groepen of afdelingen. Indien metadata of specifieke inhoudspatronen beschikbaar zijn, wordt een auto-labeling policy ingericht die met KQL of trainable classifiers de juiste dossiers detecteert. Event-based retention wordt gekoppeld aan Power Automate flows of externe triggers die via de Purview Records Management API de startdatum van een label voeden zodra een gebeurtenis heeft plaatsgevonden, bijvoorbeeld wanneer een medewerker uit dienst treedt of een contract is gesloten.

Parallel aan de technische inrichting wordt een gecontroleerde uitrol uitgevoerd. Dit begint met een pilot in een beperkt aantal teams zodat het gedrag van labels, de impact op eindgebruikers en de rapportages voor disposition reviews beoordeeld kunnen worden. Feedback uit deze pilot wordt vertaald naar bijgestuurde termijnen, aanvullende metadata of aanpassingen in de communicatie. Nadat de pilot is gevalideerd volgt een gefaseerde uitrol per organisatieonderdeel, ondersteund door adoptietrainingen en duidelijke instructies in het Nederlands. Elke fase eindigt met een go/no-go overleg waarin wordt vastgesteld dat de labels correct zijn toegepast, dat er geen onverwachte verwijderingen hebben plaatsgevonden en dat juridische en privacyteams akkoord zijn met de resultaten.

De implementatie eindigt niet bij de technische oplevering. Documentatie van het labelontwerp, de mapping naar wet- en regelgeving, de gebruikte scripts en de operationele draaiboeken wordt vastgelegd in een centraal kwaliteitsmanagementsysteem zodat audits altijd dezelfde broninformatie gebruiken. Bovendien wordt een onderhoudsproces opgezet waarin wijzigingen in wetgeving (bijvoorbeeld een verlengde bewaartermijn voor subsidiedossiers) worden geanalyseerd, vertaald naar een impact op bestaande labels en via change management ingepland. Door deze iteratieve aanpak blijft het recordsmanagementontwerp toekomstvast en sluit het blijvend aan op de Nederlandse compliancecontext.

Een belangrijk differentiatiepunt is de mate van automatisering in het deploymentproces. Door het script records-management.ps1 te integreren in Azure DevOps of GitHub Actions wordt elke wijziging in labels of beleid eerst getest in een sandboxtenant, waarna dezelfde configuratie geautomatiseerd naar productie wordt gepromoveerd. Configuratiebestanden en parameter-sets worden versiebeheerd, zodat reconstructie van een historische situatie mogelijk blijft en auditors precies kunnen zien wie welke wijziging heeft aangevraagd. Integraties met Sensitivity Labels, DLP-policy's en Microsoft Defender voor Cloud Apps worden tegelijk opgepakt zodat gegevensbescherming niet versnipperd raakt.

Tot slot borgt de implementatie dat mensen daadwerkelijk met het systeem kunnen werken. Opleidingsmodules voor recordsbeheerders, zaakbehandelaars en IT-operations omvatten scenario's zoals het plaatsen van dossiers onder hold, het beoordelen van disposition-aanvragen of het escaleren van uitzonderingen. Service Management-processen krijgen nieuwe categorieën zodat incidenten en wijzigingen rond retentie apart worden geregistreerd en KPIs kunnen worden gevolgd. Door het ontwerp, de automatisering en de adoptie integraal op te leveren ontstaat een implementatie die zowel technisch solide als organisatorisch gedragen is.

monitoring

Gebruik PowerShell-script records-management.ps1 (functie Invoke-Monitoring) – Voert geautomatiseerde controles uit op labeltoepassingen en disposition-resultaten..

Een duurzaam recordsmanagementprogramma kan alleen standhouden wanneer monitoring meer is dan het incidenteel openen van een rapport. Binnen Microsoft Purview betekent dit dat compliance- en informatiebeheerteams dagelijkse inzichten krijgen in hoe vaak labels zijn toegepast, waar uitzonderingen optreden en welke dossiers de vernietigingsdrempel naderen. Daarom wordt een set vaste dashboards ingericht in het Compliance-portal en in Microsoft Fabric of Power BI, waarin labeltoepassing, fouten en wachtrijen voor disposition reviews realtime zichtbaar zijn. Deze dashboards worden aangevuld met waarschuwingen die via Defender for Cloud Apps of Entra ID Access Reviews worden verstuurd zodra iemand probeert een recordstatus te verwijderen of wanneer een retentiebeleid langdurig niet wordt toegepast op een kritieke locatie.

Naast technische statistieken is aandacht nodig voor opslag- en prestatie-indicatoren. Door retentie consequent toe te passen groeit data minder hard, maar verouderde dossiers blijven soms alsnog bestaan doordat vernietiging geblokkeerd wordt door juridische holds of lopende onderzoeken. Het monitoringproces legt daarom wekelijks vast welk volume onder hold staat, hoeveel dossiers wachten op goedkeuring door een informatiebeheerder en welke teams structureel uitzonderingen aanvragen. Deze informatie wordt besproken in een multidisciplinair overleg waarin juridische, privacy en IT vertegenwoordigd zijn, zodat trends direct worden gekoppeld aan beleidskeuzes en niet alleen aan technische maatregelen.

Voor juridische procedures is het essentieel dat holds transparant worden beheerd. Elk nieuw onderzoek krijgt een eigen case in Microsoft Purview eDiscovery (Premium), waarin precies is gekoppeld welke bronnen zijn bevroren en hoe lang de blokkade van kracht blijft. Monitoring bewaakt dat holds op tijd worden opgeheven wanneer een zaak eindigt en dat betrokken proceseigenaren hierover schriftelijke bevestiging ontvangen. Daarnaast wordt gecontroleerd of nieuwe teams of kanalen die na afloop alsnog worden aangemaakt, automatisch in bestaande holds worden opgenomen. Hiermee wordt voorkomen dat inhoud per ongeluk toch wordt verwijderd en dat bewijswaarde verloren gaat.

Tenslotte hoort bij monitoring een cyclus van periodieke toetsen. Minimaal elk kwartaal wordt een steekproef uitgevoerd waarbij dossiers uit verschillende processen worden gevolgd van creatie tot vernietiging. Hierbij controleert men of metadata correct is ingevuld, of labels blijven kleven tijdens migraties en of dispositionbeslissingen volledig worden onderbouwd in het Nederlands. De resultaten worden vastgelegd als auditbewijs, besproken met het bestuur en gebruikt om het beleid bij te sturen. Zo ontstaat een lerende organisatie waarin recordsmanagement niet slechts een complianceverplichting is, maar een continue kwaliteitsverbetering van de informatiehuishouding.

Om proactief te kunnen sturen worden Key Performance Indicators vastgelegd, zoals het percentage automatisch gelabelde documenten, het aantal dossiers dat langer dan dertig dagen in review staat en het aandeel teams dat zonder menselijke tussenkomst compliant blijft. Deze KPI's worden vergeleken met streefwaarden en gekoppeld aan vroegtijdige waarschuwingen. Wanneer een KPI onder druk komt te staan, initieert het monitoringteam een verbeteractie waarbij root-causeanalyse, procesoptimalisatie en extra training worden gecombineerd.

Daarnaast wordt monitoring verbonden met strategische risicosturing. Door de uitkomsten van de controles naast het risicoregister te leggen ontstaat inzicht in kwetsbare processen en in de mate waarin archief-, privacy- en beveiligingsdoelen elkaar versterken. Scenario-analyses, bijvoorbeeld rondom reorganisaties of een plotselinge toename van Woo-verzoeken, worden vooraf gesimuleerd zodat men weet welke extra monitoring nodig is. Op die manier groeit monitoring uit tot een strategisch instrument dat bestuurders in staat stelt om tijdig bij te sturen.

Compliance en Auditing

De Nederlandse Baseline voor Veilige Cloud koppelt recordsmanagement expliciet aan de BIO en de Archiefwet, waardoor naleving geen losse activiteit maar een integraal onderdeel van het informatiebeveiligingsbeleid wordt. BIO thema 12.04 verplicht organisaties om bewaartermijnen vast te leggen en vernietiging aantoonbaar uit te voeren; het beschreven ontwerp levert daarvoor het bewijs doordat elke labelconfiguratie herleidbaar is tot een dossiercategorie en elk vernietigingsbesluit digitaal wordt geautoriseerd. ISO/IEC 27001:2022, control A.5.33, benadrukt bovendien de bescherming van records gedurende de volledige levenscyclus, inclusief toegang, wijzigingsbeheer en logging. Door records via Purview als onwijzigbaar te markeren en audit trails in Microsoft 365 te bewaren, wordt aan deze norm voldaan.

De AVG brengt een extra spanningsveld in omdat zij zowel bewaarbeperkingen als rechten van betrokkenen afdwingt. Artikel 5 schrijft voor dat persoonsgegevens niet langer worden bewaard dan noodzakelijk. Het hier beschreven recordsmanagementontwerp ondersteunt dat principe doordat persoonsgegevens na het bereiken van de bewaartermijn automatisch worden verwijderd tenzij een wettelijke uitzondering geldt. Tegelijkertijd worden verzoeken op basis van de rechten van betrokkenen verwerkt via procedures die registreren hoe dossiers tijdelijk van vernietiging worden uitgezonderd wanneer een inzage- of verwijderingsverzoek loopt. Door deze stappen te documenteren in het register van verwerkingsactiviteiten kan een organisatie bij een audit direct aantonen dat privacy en archiveren hand in hand gaan.

Sectorale verplichtingen vragen om aanvullende beheersmaatregelen. Financiële instellingen moeten voldoen aan Wft-bewaartermijnen voor transactiedata, onderwijsinstellingen aan DUO-richtlijnen en zorgorganisaties aan WGBO-eisen. In het recordsmanagementontwerp wordt daarom een veld opgenomen waarin per recordcategorie de sectorale bron van de bewaarplicht wordt vermeld. Tijdens audits kan zo direct worden aangetoond waarom een dossier zeven, tien of dertig jaar wordt bewaard en wie verantwoordelijk is voor afwijkingen. Bovendien wordt vastgelegd hoe buitenlandse regelgeving, zoals de Amerikaanse Sarbanes-Oxley Act voor internationale concerns, zich verhoudt tot Nederlandse eisen om conflicten te voorkomen.

Ten slotte vereist goede auditability dat bewijs permanent beschikbaar is. Daarom worden rapportages over labelpublicatie, dispositiondecisies, legal holds en uitzonderingsverzoeken periodiek geëxporteerd naar een beveiligde SharePoint-site of een on-premises eDepot. Deze exports worden voorzien van digitale handtekeningen of hashwaarden zodat integriteit achteraf kan worden bewezen. Door auditors toegang te geven tot deze omgeving hoeven zij geen live toegang te krijgen tot productieomgevingen, wat de kans op privacy-incidenten minimaliseert. Het resultaat is een compliance- en auditstrategie waarin technologie, proces en documentatie volledig op elkaar aansluiten.

Een belangrijk onderdeel van compliance is de samenwerking met externe toezichthouders zoals de Algemene Rekenkamer, de Autoriteit Persoonsgegevens of sectorale inspecties. Het recordsmanagementontwerp voorziet in gestandaardiseerde rapporten die exact aansluiten op informatieverzoeken van deze instanties, inclusief context over de betrokken processen en de juridische grondslag. Door vooraf scripts te ontwikkelen die de gevraagde datasets exporteren, worden foutgevoelige handmatige selecties vermeden en kan sneller worden voldaan aan auditdeadlines.

Tot slot stimuleert het programma continue verbetering. Het maturity-niveau van recordsmanagement wordt jaarlijks beoordeeld met behulp van een Nederlandse volwassenheidsmatrix waarin beleid, processen, systemen en cultuur afzonderlijk worden gescoord. De verbeterpunten uit deze beoordeling worden opgenomen in de roadmap van de baseline en krijgen bestuurlijke aandacht. Zo blijft compliance geen momentopname maar een doorlopende beweging richting hogere kwaliteit en transparantie.

Remediatie

Gebruik PowerShell-script records-management.ps1 (functie Invoke-Remediation) – Herstelt afwijkingen in labels, policies en holds op basis van vastgelegde playbooks..

Remediatie is meer dan het corrigeren van een verkeerd ingesteld label; het is een gestructureerd proces waarmee je de betrouwbaarheid van het gehele recordsmanagementstelsel bewaakt. Zodra monitoring een afwijking signaleert, bijvoorbeeld omdat dossiers in een sociaal domein-team ten onrechte geen label hebben of omdat een legal hold niet is toegepast op nieuwe kanalen, start een playbook waarin zowel technische als organisatorische stappen staan beschreven. De eerste fase bestaat uit triage: vaststellen welke impact de afwijking heeft op wettelijke verplichtingen, hoeveel data ermee gemoeid is en of er sprake is van potentiële vernietiging van bewijs. Deze analyse wordt gedocumenteerd en gedeeld met de functionaris gegevensbescherming en de Chief Information Security Officer zodat de juiste prioriteit kan worden toegekend.

Vervolgens grijpt het beheerteam in via gescripte acties, zoals opgenomen in het PowerShell-script dat bij deze sectie hoort. Denk aan het opnieuw publiceren van labels, het corrigeren van adaptieve scopes of het massaal toepassen van een label op content die eerder is gemist. Wanneer data mogelijk onterecht is vernietigd, worden herstelpunten van SharePoint, OneDrive of Exchange geraadpleegd zodat bewijs kan worden teruggezet. In alle gevallen wordt het herstel uitgevoerd binnen maximaal vijftien werkdagen, tenzij juridische of forensische onderzoeken een andere tijdslijn afdwingen.

Na de technische correctie volgt een root-causeanalyse. Deze onderzoekt of procedures, training of tooling tekortschoten. Misschien bleek een proceseigenaar niet op de hoogte van nieuwe bewaartermijnen, was een workflow in Power Automate mislukt of heeft een wijziging in Entra ID-groepen ervoor gezorgd dat adaptieve scopes niet langer de juiste gebruikers bevatten. De conclusies worden vertaald naar verbetermaatregelen: aanvullende training, aangepast beleid, extra controles in CI/CD-pijplijnen of uitbreiding van monitoring. Pas wanneer deze maatregelen zijn ingevoerd en getest wordt de remediatie als afgerond beschouwd.

Elke remediatiecase eindigt met een formele terugkoppeling aan de audit- en privacyteams, inclusief bewijsmateriaal van de uitgevoerde correcties, timestamps, betrokken accounts en de nieuwe controles die herhaling moeten voorkomen. Dit dossier wordt opgeslagen in hetzelfde eDepot als reguliere auditrapporten, zodat interne en externe toezichthouders direct inzicht hebben in hoe incidenten zijn opgelost. Door deze systematische aanpak ontstaat vertrouwen dat recordsmanagement niet alleen tijdens de ontwerp- en implementatiefase op niveau is, maar dat afwijkingen gedurende de gehele levenscyclus snel worden opgespoord, hersteld en gebruikt om het programma verder te professionaliseren.

Remediatie wordt bovendien gekoppeld aan het risicoregister van de organisatie. Elke afwijking krijgt een risicoscore en een eigenaar, zodat bestuurders kunnen zien welke processen de grootste kans op non-compliance vormen. Tijdens crisisoefeningen, bijvoorbeeld een Woo-verzoek met korte doorlooptijd of een parlementaire enquête, worden de remediatieplaybooks getest alsof het een echte calamiteit betreft. Hierdoor blijkt of het team onder tijdsdruk dezelfde kwaliteit kan leveren en of afhankelijkheden van leveranciers of partners voldoende zijn afgedekt.

Tot slot wordt gestuurd op leervermogen. Belangrijkste lessen uit remediaties worden gedeeld in communities of practice binnen de overheid, zodat andere organisaties profiteren van opgedane inzichten. KPIs zoals het aantal incidenten per kwartaal, gemiddelde doorlooptijd en percentage structurele verbeteringen worden opgenomen in de rapportage aan de stuurgroep. Daarmee wordt remediatie een zichtbaar onderdeel van de kwaliteitscyclus en niet slechts een noodgreep bij incidenten.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Records Management Design .DESCRIPTION Implementation for Records Management Design .NOTES Filename: records-management.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/design/compliance/records-management.json #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Records Management Design" $BIOControl = "18.03" function Connect-RequiredServices { # Connection logic based on API } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "records-management" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } # Compliance check implementation # Based on: Design Document $result.Details += "Compliance check - implementation required based on control" $result.NonCompliantCount = 1 return $result } function Invoke-Remediation { Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan # Remediation implementation Write-Host " Configuration applied" -ForegroundColor Green Write-Host "`n[OK] Remediation completed" -ForegroundColor Green } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total: $($result.TotalResources)" -ForegroundColor White Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green $color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" } Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color return $result } function Invoke-Revert { Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance if ($result.IsCompliant) { Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red } } } catch { Write-Error $_ }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder records management = BIO 7-jaar violations (automatic compliance failure), legal hold failures (spoliation sanctions - adverse inference, fines), over-retention (AVG violations), under-retention (cannot defend claims). Regulatory audits = non-compliance findings. Het risico is HOOG - compliance mandatory.

Management Samenvatting

Records Management: Retention labels 7 jaar (BIO), Auto-apply policies (metadata-based classification), Record declaration (locks content - cannot delete/modify), Disposition reviews, Legal hold integration, File plan (retention schedule documentation). Vereist: M365 E3+ (included). Activatie: Purview → Records Management → File plan + Labels. Gratis. Verplicht BIO 12.04 (7 jaar), ISO 27001, AVG. Implementatie: 24-48 uur. CRITICAL compliance - retention violations = severe consequences.