💼 Management Samenvatting
eDiscovery configuratie in Microsoft 365 vormt de technische basis voor juridische onderzoeken, bewaarplichten en compliance met wet- en regelgeving binnen Nederlandse overheidsorganisaties. Zonder correct geconfigureerde eDiscovery functionaliteit beschikken organisaties niet over de benodigde mogelijkheden om elektronisch bewijs veilig te stellen, juridische bewaarplichten na te komen en te voldoen aan wettelijke verplichtingen zoals rechterlijke bevelen, AVG-verzoeken en interne onderzoeken.
Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
20u (tech: 8u)
Van toepassing op:
✓ M365
eDiscovery configuratie is essentieel voor Nederlandse overheidsorganisaties die te maken krijgen met juridische verplichtingen, interne onderzoeken en compliance-vereisten. Wanneer juridische bewaarplichten, rechterlijke bevelen of AVG-verzoeken worden ontvangen, moeten organisaties onmiddellijk in staat zijn om relevante elektronische informatie te identificeren, te bewaren en te verzamelen zonder risico op vernietiging of wijziging van bewijs. Zonder correct geconfigureerde eDiscovery functionaliteit kunnen organisaties niet voldoen aan deze kritieke verplichtingen, wat kan leiden tot juridische sancties, boetes en reputatieschade. Microsoft 365 biedt twee niveaus van eDiscovery functionaliteit: Core eDiscovery en Advanced eDiscovery. Core eDiscovery is beschikbaar voor alle organisaties met Microsoft 365 E3 licenties en biedt basis functionaliteit voor het maken van cases, het instellen van legal holds, het uitvoeren van content searches en het exporteren van resultaten. Deze functionaliteit is voldoende voor de meeste juridische onderzoeken en compliance-verzoeken en vormt de fundamentele basis voor eDiscovery binnen Microsoft 365. Advanced eDiscovery is beschikbaar voor organisaties met Microsoft 365 E5 licenties en biedt geavanceerde functionaliteiten zoals machine learning-gebaseerde relevancy analyse, intelligente deduplicatie, predictive coding en geavanceerde exportformaten. Deze functionaliteit is essentieel voor complexe juridische zaken waarbij grote hoeveelheden data moeten worden geanalyseerd en waarbij snelheid en nauwkeurigheid cruciaal zijn. Zonder correct geconfigureerde eDiscovery functionaliteit kunnen organisaties niet snel reageren op juridische verplichtingen, wat kan leiden tot vertragingen in juridische procedures, verlies van bewijs en juridische aansprakelijkheid.
PowerShell Modules Vereist
Primary API: Security & Compliance PowerShell / Microsoft Graph
Connection:
Required Modules: ExchangeOnlineManagement, Microsoft.Graph.Compliance
Connection:
Connect-IPPSSession / Connect-MgGraphRequired Modules: ExchangeOnlineManagement, Microsoft.Graph.Compliance
Implementatie
eDiscovery configuratie in Microsoft 365 omvat het instellen en configureren van Microsoft Purview eDiscovery functionaliteit voor het uitvoeren van juridische onderzoeken, het instellen van legal holds en het verzamelen van elektronisch bewijs. De configuratie begint met het toewijzen van de juiste beheerdersrollen aan juridische medewerkers en compliance officers die toegang nodig hebben tot eDiscovery functionaliteit. De eDiscovery Manager rol biedt volledige toegang tot alle eDiscovery functionaliteiten, inclusief het maken van cases, het instellen van legal holds, het uitvoeren van content searches en het exporteren van resultaten. Deze rol moet worden toegewezen aan juridische medewerkers, compliance officers en andere autorized personen die verantwoordelijk zijn voor het uitvoeren van juridische onderzoeken. Daarnaast kan de eDiscovery Administrator rol worden toegewezen voor volledige beheerdersrechten binnen eDiscovery, inclusief het beheren van alle cases binnen de organisatie. Na roltoewijzing moeten organisaties eDiscovery cases aanmaken voor specifieke juridische onderzoeken of compliance-verzoeken. Elke case bevat metadata over het onderzoek, zoals de naam van de case, de status, de custodian of custodians die betrokken zijn bij het onderzoek, en de datums waarop het onderzoek is gestart en afgerond. Cases bieden organisatie en structuur binnen eDiscovery en maken het mogelijk om verschillende onderzoeken van elkaar te scheiden. Binnen elke case kunnen legal holds worden ingesteld om te voorkomen dat relevante content wordt verwijderd of gewijzigd. Legal holds kunnen worden toegepast op specifieke gebruikers, distributielijsten of content locaties zoals Exchange Online mailboxes, SharePoint sites, OneDrive accounts en Microsoft Teams. Wanneer een legal hold actief is, wordt alle content die relevant is voor het onderzoek automatisch bewaard, ongeacht retentie-instellingen of verwijderacties door gebruikers. Content searches vormen een ander kritiek onderdeel van eDiscovery configuratie. Binnen elke case kunnen content searches worden uitgevoerd om relevante elektronische informatie te identificeren op basis van zoekcriteria zoals trefwoorden, datumbereiken, afzenders, ontvangers en andere metadata. Deze searches kunnen worden uitgevoerd over alle Microsoft 365 services, inclusief Exchange Online, SharePoint Online, OneDrive for Business en Microsoft Teams, wat organisaties in staat stelt om een compleet beeld te krijgen van alle relevante informatie. Voor organisaties met Advanced eDiscovery kunnen search resultaten worden geanalyseerd met machine learning om relevante content te identificeren en te prioriteren. Export functionaliteit maakt het mogelijk om search resultaten te exporteren naar externe systemen voor review door juridische teams of externe advocaten. Geëxporteerde data wordt geleverd in forensisch verantwoorde formaten met metadata en hash-waarden om de integriteit te waarborgen.
Vereisten
Voor het effectief configureren en gebruiken van eDiscovery binnen Microsoft 365 zijn specifieke licentievereisten, beheerdersbevoegdheden en technische configuraties noodzakelijk. Deze vereisten vormen de fundamentele basis voor een succesvolle implementatie van eDiscovery functionaliteit en zijn essentieel om te kunnen voldoen aan juridische verplichtingen en compliance-vereisten. Organisaties die deze vereisten niet volledig begrijpen of implementeren, lopen het risico dat zij niet beschikken over de benodigde functionaliteit om juridische onderzoeken uit te voeren en juridische bewaarplichten na te komen.
De primaire licentievereiste voor Core eDiscovery is een Microsoft 365 E3 licentie voor alle gebruikers en beheerders die toegang nodig hebben tot eDiscovery functionaliteit. Core eDiscovery is inbegrepen in Microsoft 365 E3 licenties en biedt basis functionaliteit voor het maken van cases, het instellen van legal holds, het uitvoeren van content searches en het exporteren van resultaten. Deze functionaliteit is voldoende voor de meeste juridische onderzoeken en compliance-verzoeken en vormt de fundamentele basis voor eDiscovery binnen Microsoft 365. Voor organisaties die geavanceerde functionaliteiten nodig hebben, zoals machine learning-gebaseerde relevancy analyse, intelligente deduplicatie en predictive coding, is een Microsoft 365 E5 licentie vereist. Advanced eDiscovery is beschikbaar voor organisaties met E5 licenties en biedt geavanceerde functionaliteiten die essentieel zijn voor complexe juridische zaken waarbij grote hoeveelheden data moeten worden geanalyseerd. Het is belangrijk om te realiseren dat zowel Core als Advanced eDiscovery licenties nodig hebben voor alle custodian mailboxes en content locaties die betrokken zijn bij een onderzoek, niet alleen voor de personen die de eDiscovery tools gebruiken. Dit betekent dat wanneer een onderzoek wordt uitgevoerd voor tien gebruikers, alle tien gebruikers een E3 of E5 licentie moeten hebben om volledige toegang te hebben tot hun content voor eDiscovery doeleinden.
Naast licentievereisten zijn specifieke beheerdersrollen vereist om eDiscovery te kunnen gebruiken en beheren. De eDiscovery Manager rol is de primaire rol die nodig is voor het maken van cases, het instellen van legal holds, het uitvoeren van content searches en het exporteren van resultaten. Deze rol kan worden toegewezen via het Microsoft 365 admin center of het Microsoft Entra admin center, of via PowerShell met behulp van de Exchange Online Management module of Microsoft Graph PowerShell module. De eDiscovery Manager beschikt over de benodigde rechten om cases aan te maken en te beheren binnen de scope die is gedefinieerd door de eDiscovery Administrator. Daarnaast is de eDiscovery Administrator rol nodig voor volledige beheerdersrechten binnen eDiscovery, inclusief het beheren van alle cases binnen de organisatie en het configureren van eDiscovery-instellingen. Deze rol kan worden toegewezen aan senior juridische medewerkers of compliance officers die verantwoordelijk zijn voor het overall beheer van eDiscovery functionaliteit. Het is belangrijk te realiseren dat deze rollen zeer gevoelige bevoegdheden bevatten, omdat eDiscovery toegang geeft tot alle content binnen Microsoft 365, inclusief e-mails, documenten en andere gevoelige informatie. Daarom moeten de rollen alleen worden toegewezen aan vertrouwde personen die een security clearance hebben en die zijn getraind in het omgaan met gevoelige informatie en juridische procedures. Organisaties moeten een proces implementeren voor het toewijzen en beheren van deze rollen, inclusief regelmatige reviews om te verifiëren dat alleen geautoriseerde personen toegang hebben tot eDiscovery functionaliteit.
Voor organisaties die eDiscovery willen integreren met externe systemen zoals externe review platforms of juridische case management systemen, zijn aanvullende configuraties en machtigingen vereist. De export functionaliteit binnen eDiscovery maakt het mogelijk om search resultaten te exporteren naar externe systemen, maar dit vereist dat de organisatie beschikt over voldoende storage capaciteit voor exportbestanden en dat er processen zijn geïmplementeerd voor het veilig overdragen van exportbestanden naar externe partijen. Exportbestanden worden geleverd in forensisch verantwoorde formaten met metadata en hash-waarden om de integriteit te waarborgen, maar organisaties moeten ervoor zorgen dat exportbestanden op een veilige manier worden overgedragen, bijvoorbeeld via versleutelde verbindingen of via beveiligde file transfer protocollen. Daarnaast moeten organisaties processen implementeren voor het beheren van exportbestanden, inclusief het bijhouden van welke exportbestanden zijn gegenereerd, wanneer deze zijn overgedragen en aan wie deze zijn overgedragen, om compliance met juridische procedures te waarborgen.
Technische vereisten omvatten ook de beschikbaarheid van PowerShell-modules en de juiste netwerkconnectiviteit. Beheerders die eDiscovery willen beheren via PowerShell moeten beschikken over de Exchange Online Management module voor Core eDiscovery functionaliteit of de Microsoft Graph PowerShell module voor geavanceerde eDiscovery functionaliteit. Deze modules kunnen worden geïnstalleerd via de PowerShell Gallery. Daarnaast moeten beheerders beschikken over netwerkconnectiviteit naar Microsoft 365 services, wat meestal betekent dat zij toegang hebben tot internet of dat er een ExpressRoute-verbinding is geconfigureerd voor organisaties die privéconnectiviteit vereisen. Voor organisaties met strikte netwerkbeveiliging kunnen aanvullende firewallregels nodig zijn om toegang te verlenen tot de benodigde Microsoft 365 endpoints voor eDiscovery functionaliteit.
Het is cruciaal te realiseren dat zonder de juiste licentie en bevoegdheden de eDiscovery functionaliteit niet beschikbaar is en organisaties niet kunnen voldoen aan juridische verplichtingen zoals rechterlijke bevelen, AVG-verzoeken en interne onderzoeken. Het ontbreken van adequate eDiscovery functionaliteit kan leiden tot juridische aansprakelijkheid, boetes en reputatieschade wanneer organisaties niet kunnen voldoen aan juridische verplichtingen of wanneer bewijs verloren gaat. Daarom moeten organisaties ervoor zorgen dat alle vereisten volledig zijn geïmplementeerd voordat zij afhankelijk worden van eDiscovery voor juridische doeleinden.
Implementatie
De implementatie van eDiscovery configuratie binnen Microsoft 365 vereist een gestructureerde aanpak die begint met verificatie van licentievereisten, gevolgd door roltoewijzing, case configuratie en validatie van de eDiscovery functionaliteit. Hoewel Core eDiscovery beschikbaar is voor organisaties met E3 licenties, is het essentieel om te verifiëren dat de functionaliteit daadwerkelijk actief is en dat alle benodigde rollen correct zijn toegewezen. Het ontbreken van deze verificatie kan leiden tot situaties waarin organisaties ervan uitgaan dat eDiscovery beschikbaar is, terwijl in werkelijkheid bepaalde functionaliteiten niet toegankelijk zijn, wat kan resulteren in vertragingen bij juridische onderzoeken en niet-naleving van juridische verplichtingen.
De eerste stap in het implementatieproces is het verifiëren van licentievereisten via het Microsoft 365 admin center. Beheerders moeten controleren of alle personen die betrokken zijn bij eDiscovery onderzoeken, inclusief custodians en eDiscovery managers, beschikken over de juiste licenties. Voor Core eDiscovery zijn E3 licenties voldoende, maar voor Advanced eDiscovery zijn E5 licenties vereist. Het is belangrijk om te realiseren dat licenties nodig zijn voor alle custodian mailboxes en content locaties die betrokken zijn bij een onderzoek, niet alleen voor de personen die de eDiscovery tools gebruiken. Deze verificatie kan worden uitgevoerd via PowerShell met behulp van de Get-MgUser cmdlet uit de Microsoft Graph PowerShell module, waarbij licentie-informatie wordt gecontroleerd voor alle relevante gebruikers.
Na verificatie van licentievereisten moeten beheerdersrollen worden toegewezen aan juridische medewerkers en compliance officers die toegang nodig hebben tot eDiscovery functionaliteit. De eDiscovery Manager rol biedt volledige toegang tot alle eDiscovery functionaliteiten binnen de scope die is gedefinieerd door de eDiscovery Administrator. Deze rol kan worden toegewezen via het Microsoft 365 admin center door te navigeren naar Rollen en beheerders en de eDiscovery Manager rol te selecteren. Bij het toewijzen van de rol moeten organisaties ervoor zorgen dat alleen geautoriseerde personen toegang krijgen en dat de roltoewijzing wordt geregistreerd in auditlogs voor compliance-doeleinden. De eDiscovery Administrator rol moet worden toegewezen aan senior juridische medewerkers of compliance officers die verantwoordelijk zijn voor het overall beheer van eDiscovery functionaliteit. Deze rol biedt volledige beheerdersrechten binnen eDiscovery, inclusief het beheren van alle cases binnen de organisatie. Het is belangrijk om deze rol alleen toe te wijzen aan zeer vertrouwde personen, omdat deze rol toegang geeft tot alle content binnen Microsoft 365.
Na roltoewijzing kunnen organisaties beginnen met het aanmaken van eDiscovery cases voor specifieke juridische onderzoeken of compliance-verzoeken. Cases kunnen worden aangemaakt via het Microsoft Purview complianceportaal door te navigeren naar eDiscovery en op Nieuwe case te klikken. Elke case bevat metadata over het onderzoek, zoals de naam van de case, de status, en de datums waarop het onderzoek is gestart. Binnen elke case kunnen legal holds worden ingesteld om te voorkomen dat relevante content wordt verwijderd of gewijzigd. Legal holds kunnen worden toegepast op specifieke gebruikers, distributielijsten of content locaties zoals Exchange Online mailboxes, SharePoint sites, OneDrive accounts en Microsoft Teams. Wanneer een legal hold actief is, wordt alle content die relevant is voor het onderzoek automatisch bewaard, ongeacht retentie-instellingen of verwijderacties door gebruikers. Het is belangrijk om legal holds zorgvuldig te configureren, omdat het verwijderen van een legal hold kan leiden tot het permanent verwijderen van content als er geen andere retentie-instellingen actief zijn.
Content searches vormen een ander kritiek onderdeel van eDiscovery configuratie. Binnen elke case kunnen content searches worden uitgevoerd om relevante elektronische informatie te identificeren op basis van zoekcriteria zoals trefwoorden, datumbereiken, afzenders, ontvangers en andere metadata. Deze searches kunnen worden uitgevoerd over alle Microsoft 365 services, inclusief Exchange Online, SharePoint Online, OneDrive for Business en Microsoft Teams. Voor het uitvoeren van effectieve searches moeten organisaties zorgvuldig zoekquery's opstellen die alle relevante content identificeren zonder onnodig veel resultaten te genereren. Het gebruik van KQL (Keyword Query Language) maakt het mogelijk om complexe zoekquery's te formuleren met Boolean operatoren, proximity operators en andere geavanceerde zoekfuncties. Voor organisaties met Advanced eDiscovery kunnen search resultaten worden geanalyseerd met machine learning om relevante content te identificeren en te prioriteren, wat de efficiëntie van juridische reviews aanzienlijk verbetert.
Export functionaliteit maakt het mogelijk om search resultaten te exporteren naar externe systemen voor review door juridische teams of externe advocaten. Geëxporteerde data wordt geleverd in forensisch verantwoorde formaten met metadata en hash-waarden om de integriteit te waarborgen. Bij het exporteren van data moeten organisaties ervoor zorgen dat exportbestanden op een veilige manier worden overgedragen, bijvoorbeeld via versleutelde verbindingen of via beveiligde file transfer protocollen. Daarnaast moeten organisaties processen implementeren voor het beheren van exportbestanden, inclusief het bijhouden van welke exportbestanden zijn gegenereerd, wanneer deze zijn overgedragen en aan wie deze zijn overgedragen, om compliance met juridische procedures te waarborgen. Na het configureren van eDiscovery cases, legal holds en content searches, is het belangrijk om regelmatig te verifiëren dat de eDiscovery functionaliteit correct blijft functioneren en dat alle cases actief zijn.
Compliance en Auditing
eDiscovery configuratie is een fundamentele vereiste voor naleving van verschillende juridische en compliance frameworks die van toepassing zijn op Nederlandse overheidsorganisaties. Zonder correct geconfigureerde eDiscovery functionaliteit kunnen organisaties niet voldoen aan juridische verplichtingen zoals rechterlijke bevelen, AVG-verzoeken en interne onderzoeken, wat kan leiden tot juridische aansprakelijkheid, boetes en reputatieschade. Deze frameworks vereisen allemaal dat organisaties kunnen aantonen dat zij passende maatregelen hebben genomen om elektronisch bewijs veilig te stellen en juridische bewaarplichten na te komen, wat essentieel is voor het waarborgen van rechtszekerheid en transparantie.
De Algemene Verordening Gegevensbescherming (AVG), Artikel 15, verplicht organisaties om inzage te verlenen in persoonsgegevens wanneer daarom wordt verzocht door betrokkenen. Artikel 15 specificeert dat organisaties moeten kunnen aantonen welke persoonsgegevens zij verwerken, waarom deze gegevens worden verwerkt, en aan wie deze gegevens worden verstrekt. Voor Microsoft 365 omgevingen betekent dit dat eDiscovery functionaliteit moet zijn geconfigureerd en dat organisaties kunnen aantonen dat zij in staat zijn om snel en accuraat te voldoen aan AVG-verzoeken door relevante elektronische informatie te identificeren en te verzamelen. Het niet kunnen voldoen aan AVG-verzoeken kan leiden tot boetes tot 4 procent van de wereldwijde jaaromzet of 20 miljoen euro, afhankelijk van wat hoger is. eDiscovery biedt organisaties de mogelijkheid om snel en accuraat te voldoen aan AVG-verzoeken door content searches uit te voeren die alle relevante persoonsgegevens identificeren, ongeacht waar deze gegevens zijn opgeslagen binnen Microsoft 365.
De Baseline Informatiebeveiliging Overheid (BIO) norm 18.03 vereist dat organisaties procedures hebben voor het bewaren van bewijs van informatiebeveiligingsincidenten en juridische procedures. Deze norm is specifiek ontwikkeld voor de Nederlandse publieke sector en stelt eisen aan het beheren van elektronisch bewijs bij juridische onderzoeken en compliance-verzoeken. De BIO is een verplicht framework voor Nederlandse overheidsorganisaties en vormt de basis voor informatiebeveiliging binnen de publieke sector. Norm 18.03 specificeert dat organisaties moeten kunnen aantonen dat zij procedures hebben geïmplementeerd voor het bewaren van elektronisch bewijs, dat zij juridische bewaarplichten kunnen nakomen, en dat zij processen hebben voor het verzamelen en analyseren van elektronische informatie bij juridische onderzoeken. Voor Microsoft 365 omgevingen betekent dit dat eDiscovery functionaliteit moet zijn geconfigureerd en dat organisaties kunnen aantonen dat zij juridische bewaarplichten kunnen nakomen door legal holds in te stellen en dat zij elektronisch bewijs kunnen verzamelen door content searches uit te voeren.
De ISO 27001 standaard, controle A.18.1.3, vereist aantoonbare procedures voor het bewaren van bewijs van informatiebeveiligingsincidenten. Deze internationale standaard wordt veelvuldig gebruikt door Nederlandse organisaties die certificering nastreven en vormt een belangrijke basis voor informatiebeveiligingsmanagement. Controle A.18.1.3 specificeert dat organisaties moeten kunnen aantonen dat zij procedures hebben geïmplementeerd voor het bewaren van elektronisch bewijs, dat zij juridische bewaarplichten kunnen nakomen, en dat zij processen hebben voor het verzamelen en analyseren van elektronische informatie bij juridische onderzoeken. Voor Microsoft 365 omgevingen betekent dit dat eDiscovery functionaliteit moet zijn geconfigureerd en dat organisaties kunnen aantonen dat zij voldoen aan de vereisten van deze controle. Het niet implementeren van adequate eDiscovery functionaliteit kan leiden tot niet-naleving van ISO 27001, wat kan resulteren in het verlies van certificering en reputatieschade.
Juridische verplichtingen zoals rechterlijke bevelen en wettelijke verzoeken vereisen dat organisaties onmiddellijk kunnen reageren door relevante elektronische informatie te identificeren, te bewaren en te verzamelen. Zonder correct geconfigureerde eDiscovery functionaliteit kunnen organisaties niet voldoen aan deze kritieke verplichtingen, wat kan leiden tot juridische sancties, boetes en reputatieschade. eDiscovery biedt organisaties de mogelijkheid om snel en accuraat te reageren op juridische verplichtingen door legal holds in te stellen die automatisch alle relevante content bewaren en door content searches uit te voeren die alle relevante elektronische informatie identificeren. Het is daarom essentieel dat organisaties eDiscovery functionaliteit correct configureren en onderhouden om te kunnen voldoen aan juridische verplichtingen en compliance-vereisten.
Monitoring
Gebruik PowerShell-script ediscovery-configuration.ps1 (functie Invoke-Monitoring) – Automatiseert de verificatie van eDiscovery configuratie status en controleert of cases en legal holds actief zijn.
Effectieve monitoring van eDiscovery configuratie binnen Microsoft 365 is essentieel om te waarborgen dat de eDiscovery functionaliteit correct blijft functioneren en dat organisaties altijd beschikken over de mogelijkheid om juridische onderzoeken uit te voeren en juridische bewaarplichten na te komen. Zonder uitgebreide monitoring kunnen organisaties niet garanderen dat eDiscovery cases actief zijn, dat legal holds correct functioneren, en dat er geen problemen zijn met de eDiscovery configuratie die kunnen leiden tot verlies van bewijs of niet-naleving van juridische verplichtingen. Monitoring omvat het continu volgen van de status van eDiscovery cases, het verifiëren dat legal holds actief zijn, het controleren van de gezondheid van content searches, en het waarborgen dat export functionaliteit correct functioneert.
De basis van monitoring wordt gevormd door regelmatige verificatie van de status van eDiscovery cases via het Microsoft Purview complianceportaal of via PowerShell. Beheerders moeten wekelijks controleren of alle actieve eDiscovery cases correct functioneren, of legal holds actief zijn en correct worden toegepast, en of er waarschuwingen of foutmeldingen zijn die kunnen wijzen op problemen met de eDiscovery configuratie. Deze verificatie kan worden geautomatiseerd via PowerShell-scripts die de status van eDiscovery cases controleren en waarschuwingen genereren wanneer problemen worden gedetecteerd. Het is belangrijk om deze verificaties regelmatig uit te voeren, omdat configuratiewijzigingen of beheerdersfouten kunnen leiden tot het onbedoeld verwijderen van legal holds of het deactiveren van eDiscovery cases, wat kan resulteren in verlies van bewijs en niet-naleving van juridische verplichtingen.
Naast het controleren van de status van eDiscovery cases moeten organisaties regelmatig verifiëren dat legal holds actief zijn en correct worden toegepast op alle relevante content locaties. Dit kan worden gedaan door de status van legal holds te controleren via het Microsoft Purview complianceportaal of via PowerShell, waarbij wordt gecontroleerd of legal holds actief zijn voor alle custodians die betrokken zijn bij actieve onderzoeken. Als legal holds niet actief zijn of als bepaalde content locaties niet worden beschermd, kan dit wijzen op problemen met de eDiscovery configuratie die moeten worden opgelost. Organisaties moeten processen implementeren voor het regelmatig uitvoeren van deze verificaties, waarbij wekelijks wordt gecontroleerd of legal holds actief zijn en waarbij waarschuwingen worden gegenereerd wanneer problemen worden gedetecteerd.
Voor organisaties die content searches uitvoeren als onderdeel van juridische onderzoeken, is het essentieel om te monitoren of searches correct worden uitgevoerd en of resultaten accuraat zijn. Dit omvat het controleren of search query's correct worden uitgevoerd, of resultaten volledig zijn, en of er geen fouten zijn in het searchproces. Problemen met content searches kunnen leiden tot onvolledige resultaten, wat kan resulteren in verlies van bewijs en niet-naleving van juridische verplichtingen. Organisaties moeten processen implementeren voor het monitoren van content searches, waarbij wordt gecontroleerd of searches correct worden uitgevoerd en waarbij waarschuwingen worden gegenereerd wanneer problemen worden gedetecteerd.
Daarnaast moeten organisaties processen implementeren voor het monitoren van export functionaliteit, inclusief het controleren of exportbestanden correct worden gegenereerd, of exportbestanden integriteit behouden, en of exportbestanden op een veilige manier worden overgedragen naar externe partijen. Problemen met export functionaliteit kunnen leiden tot corrupte exportbestanden of verlies van data tijdens overdracht, wat kan resulteren in verlies van bewijs en niet-naleving van juridische procedures. Organisaties moeten waarschuwingen configureren die worden gegenereerd wanneer export functionaliteit problemen ondervindt, zodat proactieve maatregelen kunnen worden genomen om te voorkomen dat exportbestanden verloren gaan of corrupt raken.
Remediatie
Gebruik PowerShell-script ediscovery-configuration.ps1 (functie Invoke-Remediation) – Herstelt eDiscovery configuratie wanneer legal holds zijn verwijderd of wanneer cases zijn gedeactiveerd.
Remediatie van eDiscovery configuratie binnen Microsoft 365 omvat het herstellen van legal holds wanneer deze zijn verwijderd, het reactiveren van eDiscovery cases wanneer deze zijn gedeactiveerd, en het corrigeren van configuratiefouten. Het is belangrijk om te realiseren dat wanneer legal holds zijn verwijderd, content die alleen werd bewaard door de legal hold permanent kan worden verwijderd als er geen andere retentie-instellingen actief zijn, wat kan resulteren in verlies van bewijs en niet-naleving van juridische verplichtingen. Daarom moeten organisaties processen implementeren voor het snel detecteren en oplossen van problemen met eDiscovery configuratie, zodat de impact op juridische onderzoeken wordt geminimaliseerd.
Wanneer legal holds zijn verwijderd of gedeactiveerd, moeten deze onmiddellijk worden hersteld om te voorkomen dat relevante content wordt verwijderd. Legal holds kunnen worden hersteld via het Microsoft Purview complianceportaal door te navigeren naar de betreffende eDiscovery case en de legal hold opnieuw te activeren. Na het herstellen van een legal hold is het essentieel om te verifiëren dat de legal hold correct wordt toegepast op alle relevante content locaties en dat alle relevante content wordt bewaard. Dit kan worden gedaan door de status van de legal hold te controleren en door test searches uit te voeren om te verifiëren dat content nog steeds toegankelijk is. Organisaties moeten processen implementeren voor het snel herstellen van legal holds wanneer problemen worden gedetecteerd, zodat de impact op juridische onderzoeken wordt geminimaliseerd.
Na het herstellen van legal holds is het essentieel om te verifiëren dat eDiscovery cases correct functioneren en dat alle functionaliteiten beschikbaar zijn. Dit kan worden gedaan door de status van cases te controleren via het Microsoft Purview complianceportaal en door test searches uit te voeren om te verifiëren dat content searches correct werken. Als cases niet correct functioneren of als bepaalde functionaliteiten niet beschikbaar zijn, kan dit wijzen op problemen met de eDiscovery configuratie die moeten worden opgelost. Organisaties moeten processen implementeren voor het uitvoeren van deze verificaties na het herstellen van eDiscovery configuratie, zodat kan worden bevestigd dat eDiscovery correct werkt voordat de organisatie weer afhankelijk wordt van eDiscovery voor juridische doeleinden.
Voor organisaties die export functionaliteit gebruiken, is het belangrijk om te verifiëren dat export functionaliteit correct functioneert na het herstellen van eDiscovery configuratie. Dit omvat het controleren of exportbestanden correct worden gegenereerd, of exportbestanden integriteit behouden, en of exportbestanden op een veilige manier kunnen worden overgedragen naar externe partijen. Als er problemen zijn met export functionaliteit, moeten deze worden opgelost voordat de organisatie weer afhankelijk wordt van eDiscovery voor juridische doeleinden. Organisaties moeten processen implementeren voor het verifiëren van export functionaliteit na het herstellen van eDiscovery configuratie, zodat kan worden bevestigd dat export correct werkt.
Daarnaast moeten organisaties processen implementeren voor het onderzoeken van de oorzaak van problemen met eDiscovery configuratie, zodat preventieve maatregelen kunnen worden genomen om te voorkomen dat het probleem opnieuw optreedt. Dit kan bijvoorbeeld betekenen dat beheerders moeten worden getraind in het belang van eDiscovery, dat configuratiewijzigingen moeten worden gereviewd voordat zij worden doorgevoerd, of dat aanvullende controles moeten worden geïmplementeerd om te voorkomen dat legal holds onbedoeld worden verwijderd. Door deze preventieve maatregelen te implementeren kunnen organisaties ervoor zorgen dat eDiscovery configuratie continu actief blijft en dat er geen gaten ontstaan in juridische onderzoeken die kunnen leiden tot verlies van bewijs en niet-naleving van juridische verplichtingen.
Compliance & Frameworks
- BIO: 18.03 - Procedures voor bewaren van bewijs en juridische procedures
- ISO 27001:2022: A.18.1.3 - Procedures voor bewaren van bewijs van informatiebeveiligingsincidenten
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
eDiscovery configuratie voor juridische onderzoeken
.DESCRIPTION
Zorgt ervoor dat Microsoft Purview eDiscovery is geconfigureerd en actief.
Kritiek voor juridische onderzoeken, legal holds en compliance met juridische verplichtingen.
.NOTES
Filename: ediscovery-configuration.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Category: audit-compliance
.EXAMPLE
.\ediscovery-configuration.ps1 -Monitoring
Controleer of eDiscovery is geconfigureerd
.EXAMPLE
.\ediscovery-configuration.ps1 -Remediation
Configureer eDiscovery basis instellingen
#>
#Requires -Version 5.1
#Requires -Modules ExchangeOnlineManagement
[CmdletBinding()]
param(
[Parameter(Mandatory = $false)]
[switch]$Monitoring,
[Parameter(Mandatory = $false)]
[switch]$Remediation,
[Parameter(Mandatory = $false)]
[switch]$Revert,
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "eDiscovery configuratie voor juridische onderzoeken" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert of eDiscovery is geconfigureerd en actief
#>
try {
Write-Host "Verbinden met Security & Compliance Center..." -ForegroundColor Gray
Connect-IPPSSession -ShowBanner:$false -ErrorAction Stop | Out-Null
Write-Host "Controleren van eDiscovery configuratie..." -ForegroundColor Gray
# Controleer of eDiscovery beschikbaar is
try {
# Probeer eDiscovery cases op te halen
$cases = Get-ComplianceCase -ErrorAction SilentlyContinue
if ($null -eq $cases) {
Write-Host " [WAARSCHUWING] eDiscovery cases kunnen niet worden opgehaald" -ForegroundColor Yellow
Write-Host " Dit kan betekenen dat eDiscovery niet is geconfigureerd" -ForegroundColor Yellow
Write-Host " of dat er geen cases zijn aangemaakt" -ForegroundColor Yellow
Write-Host "`n[WAARSCHUWING] STATUS ONBEKEND" -ForegroundColor Yellow
Write-Host "`nAanbeveling:" -ForegroundColor Cyan
Write-Host " • Verifieer dat Microsoft 365 E3 of E5 licenties zijn toegewezen" -ForegroundColor Gray
Write-Host " • Controleer of eDiscovery Manager rollen zijn toegewezen" -ForegroundColor Gray
Write-Host " • Maak een eDiscovery case aan via compliance.microsoft.com" -ForegroundColor Gray
exit 1
}
$activeCases = $cases | Where-Object { $_.Status -eq 'Active' }
$inactiveCases = $cases | Where-Object { $_.Status -ne 'Active' }
Write-Host " [OK] eDiscovery: BESCHIKBAAR" -ForegroundColor Green
Write-Host " Totaal aantal cases: $($cases.Count)" -ForegroundColor Cyan
Write-Host " Actieve cases: $($activeCases.Count)" -ForegroundColor Cyan
Write-Host " Inactieve cases: $($inactiveCases.Count)" -ForegroundColor Cyan
# Controleer op actieve legal holds
try {
$holds = Get-ComplianceCase -IncludeDetails | ForEach-Object {
Get-CaseHoldPolicy -Case $_.Name -ErrorAction SilentlyContinue
} | Where-Object { $_.Enabled -eq $true }
if ($holds) {
Write-Host " Actieve legal holds: $($holds.Count)" -ForegroundColor Cyan
}
else {
Write-Host " Actieve legal holds: 0" -ForegroundColor Yellow
}
}
catch {
Write-Host " Legal holds status: Kan niet worden opgehaald" -ForegroundColor Yellow
}
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
Write-Host "`nAanbeveling:" -ForegroundColor Cyan
Write-Host " • Controleer compliance.microsoft.com voor gedetailleerde case informatie" -ForegroundColor Gray
Write-Host " • Verifieer dat eDiscovery Manager rollen zijn toegewezen aan geautoriseerde personen" -ForegroundColor Gray
Write-Host " • Review actieve legal holds regelmatig om te verifiëren dat deze nog nodig zijn" -ForegroundColor Gray
exit 0
}
catch {
Write-Host " [WAARSCHUWING] eDiscovery API niet beschikbaar" -ForegroundColor Yellow
Write-Host " Fout: $($_.Exception.Message)" -ForegroundColor Yellow
Write-Host "`n[WAARSCHUWING] STATUS ONBEKEND" -ForegroundColor Yellow
Write-Host "`nAanbeveling:" -ForegroundColor Cyan
Write-Host " • Verifieer dat Microsoft 365 E3 of E5 licenties zijn toegewezen" -ForegroundColor Gray
Write-Host " • Controleer of eDiscovery Manager rollen zijn toegewezen" -ForegroundColor Gray
Write-Host " • Maak een eDiscovery case aan via compliance.microsoft.com" -ForegroundColor Gray
exit 1
}
}
catch {
Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red
Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red
Write-Host "`nControleer:" -ForegroundColor Yellow
Write-Host " • Exchange Online Management module is geïnstalleerd" -ForegroundColor Gray
Write-Host " • U bent aangemeld met een account met eDiscovery Manager of eDiscovery Administrator rechten" -ForegroundColor Gray
Write-Host " • U heeft toegang tot het Security & Compliance Center" -ForegroundColor Gray
exit 2
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Configureert eDiscovery basis instellingen (handmatige stappen)
#>
try {
Write-Host "Verbinden met Security & Compliance Center..." -ForegroundColor Gray
Connect-IPPSSession -ShowBanner:$false -ErrorAction Stop | Out-Null
Write-Host "`nBELANGRIJK: eDiscovery configuratie vereist handmatige stappen" -ForegroundColor Yellow
Write-Host "`nVolg deze stappen om eDiscovery te configureren:" -ForegroundColor Cyan
Write-Host "`n1. Controleer licentievereisten:" -ForegroundColor White
Write-Host " • Microsoft 365 E3 voor Core eDiscovery" -ForegroundColor Gray
Write-Host " • Microsoft 365 E5 voor Advanced eDiscovery" -ForegroundColor Gray
Write-Host " • Licenties nodig voor alle custodian mailboxes en content locaties" -ForegroundColor Gray
Write-Host "`n2. Wijs eDiscovery rollen toe:" -ForegroundColor White
Write-Host " • Navigeer naar Microsoft 365 admin center > Rollen en beheerders" -ForegroundColor Gray
Write-Host " • Wijs 'eDiscovery Manager' rol toe aan juridische medewerkers" -ForegroundColor Gray
Write-Host " • Wijs 'eDiscovery Administrator' rol toe aan senior compliance officers" -ForegroundColor Gray
Write-Host "`n3. Maak een eDiscovery case aan:" -ForegroundColor White
Write-Host " • Navigeer naar compliance.microsoft.com" -ForegroundColor Gray
Write-Host " • Open eDiscovery > Core of Advanced eDiscovery" -ForegroundColor Gray
Write-Host " • Klik op 'Nieuwe case' en vul case details in" -ForegroundColor Gray
Write-Host "`n4. Stel legal holds in binnen cases:" -ForegroundColor White
Write-Host " • Open een case en ga naar 'Holds'" -ForegroundColor Gray
Write-Host " • Klik op 'Nieuwe hold' en selecteer custodians en content locaties" -ForegroundColor Gray
Write-Host " • Configureer hold instellingen en activeer de hold" -ForegroundColor Gray
Write-Host "`n5. Voer content searches uit:" -ForegroundColor White
Write-Host " • Open een case en ga naar 'Searches'" -ForegroundColor Gray
Write-Host " • Klik op 'Nieuwe search' en stel zoekcriteria in" -ForegroundColor Gray
Write-Host " • Voer de search uit en review resultaten" -ForegroundColor Gray
Write-Host "`nNa configuratie controleert dit script de status..." -ForegroundColor Gray
# Wacht even en controleer dan de status
Start-Sleep -Seconds 2
Write-Host "`nControleren van eDiscovery status..." -ForegroundColor Gray
try {
$cases = Get-ComplianceCase -ErrorAction SilentlyContinue
if ($null -ne $cases) {
Write-Host " [OK] eDiscovery API beschikbaar" -ForegroundColor Green
Write-Host " Aantal cases gevonden: $($cases.Count)" -ForegroundColor Cyan
Write-Host "`n[OK] Basisconfiguratie voltooid" -ForegroundColor Green
Write-Host "`nVolgende stappen:" -ForegroundColor Cyan
Write-Host " • Wijs eDiscovery rollen toe via Microsoft 365 admin center" -ForegroundColor Gray
Write-Host " • Maak eDiscovery cases aan via compliance.microsoft.com" -ForegroundColor Gray
Write-Host " • Stel legal holds in voor actieve onderzoeken" -ForegroundColor Gray
Write-Host " • Voer content searches uit binnen cases" -ForegroundColor Gray
exit 0
}
else {
Write-Host " [INFO] eDiscovery API beschikbaar maar geen cases gevonden" -ForegroundColor Yellow
Write-Host " Dit is normaal wanneer eDiscovery net is geconfigureerd" -ForegroundColor Gray
Write-Host "`n[INFO] Handmatige configuratie vereist" -ForegroundColor Yellow
Write-Host "`nVolg de stappen hierboven om eDiscovery volledig te configureren" -ForegroundColor Cyan
exit 0
}
}
catch {
Write-Host " [INFO] eDiscovery API nog niet beschikbaar" -ForegroundColor Yellow
Write-Host " Volg de handmatige stappen hierboven" -ForegroundColor Gray
Write-Host "`n[INFO] Handmatige configuratie vereist" -ForegroundColor Yellow
exit 0
}
}
catch {
Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red
Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red
exit 2
}
}
function Invoke-Revert {
<#
.SYNOPSIS
Verwijdert eDiscovery configuratie (NIET AANBEVOLEN!)
#>
try {
Write-Host "WARNING: Verwijderen van eDiscovery configuratie is een JURIDISCH RISICO!" -ForegroundColor Red
Write-Host "Dit voorkomt juridische onderzoeken en compliance met juridische verplichtingen`n" -ForegroundColor Red
Write-Host "BELANGRIJK: eDiscovery deactiveren vereist handmatige stappen" -ForegroundColor Yellow
Write-Host "`nVolg deze stappen (NIET AANBEVOLEN):" -ForegroundColor Cyan
Write-Host "1. Navigeer naar compliance.microsoft.com" -ForegroundColor White
Write-Host "2. Open eDiscovery > Core of Advanced eDiscovery" -ForegroundColor White
Write-Host "3. Verwijder of deactiveer cases (NIET AANBEVOLEN!)" -ForegroundColor Red
Write-Host "4. Verwijder legal holds (ALLEEN na juridische goedkeuring!)" -ForegroundColor Red
Write-Host "5. Verwijder eDiscovery Manager rollen (NIET AANBEVOLEN!)" -ForegroundColor Red
Write-Host "`n[WAARSCHUWING] Deze actie wordt NIET aanbevolen" -ForegroundColor Red
Write-Host "Verwijderen van legal holds kan leiden tot verlies van bewijs!" -ForegroundColor Red
exit 0
}
catch {
Write-Host "ERROR: $_" -ForegroundColor Red
exit 2
}
}
try {
if ($Revert) {
Invoke-Revert
}
elseif ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
Write-Host "Usage:" -ForegroundColor Yellow
Write-Host " -Monitoring Controleer of eDiscovery is geconfigureerd" -ForegroundColor Gray
Write-Host " -Remediation Configureer eDiscovery basis instellingen" -ForegroundColor Gray
Write-Host " -Revert Verwijder eDiscovery configuratie (NIET AANBEVOLEN!)" -ForegroundColor Red
}
}
catch {
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
try {
Disconnect-ExchangeOnline -Confirm:$false -ErrorAction SilentlyContinue | Out-Null
}
catch {
# Negeer disconnect fouten
}
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Kritiek - Zonder eDiscovery kunnen organisaties niet voldoen aan rechterlijke bevelen, AVG-verzoeken of juridische bewaarplichten. Dit leidt tot juridische aansprakelijkheid, boetes en verlies van bewijs.
Management Samenvatting
Configureer eDiscovery (Core voor E3, Advanced voor E5). Essentieel voor juridische onderzoeken en compliance. Voldoet aan BIO 18.03, ISO 27001 A.18.1.3, AVG Artikel 15. Implementatie: 20 uur.
- Implementatietijd: 20 uur
- FTE required: 0.1 FTE