BIO 9.01 ISO A.5.1

AVG-complianceframework Voor Microsoft 365

📅 2025-11-26
⏱️ 20 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Microsoft 365 vormt voor Nederlandse overheidsorganisaties de kern van digitale dienstverlening, samenwerking en informatiebeheer. Binnen deze omgeving worden dagelijks grote hoeveelheden persoonsgegevens verwerkt: van e-mailcommunicatie en documentopslag tot Teams-vergaderingen en gedeelde dossiers. De Algemene Verordening Gegevensbescherming (AVG) stelt strenge eisen aan hoe organisaties met deze gegevens omgaan. Een specifiek AVG-complianceframework voor Microsoft 365 vertaalt deze juridische verplichtingen naar concrete governance, processen en technische maatregelen die aantoonbaar werken binnen de Microsoft 365-omgeving.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
260u (tech: 100u)
Van toepassing op:
M365
Exchange Online
SharePoint Online
OneDrive
Teams
Publieke Sector
Overheidsorganisaties

Zonder een gestructureerd AVG-complianceframework voor Microsoft 365 ontstaan risico's op verschillende fronten. Juridisch gezien kunnen organisaties niet overtuigend aantonen dat zij voldoen aan de verantwoordingsplicht uit artikel 5 en 24 van de AVG, wat kan leiden tot boetes van de Autoriteit Persoonsgegevens. Organisatorisch ontstaat onduidelijkheid over wie verantwoordelijk is voor welke aspecten van privacybescherming in Microsoft 365, waardoor belangrijke stappen zoals DPIA's, verwerkingsregisterupdates of het afhandelen van inzageverzoeken worden vergeten of te laat worden opgepakt. Technisch gezien worden privacy-by-design principes niet systematisch toegepast, waardoor gevoelige persoonsgegevens onnodig lang worden bewaard, te breed toegankelijk zijn of niet adequaat worden beschermd tegen datalekken. Bovendien maakt de snelle ontwikkeling van Microsoft 365, met nieuwe functionaliteit zoals Copilot, AI-analyse en geavanceerde samenwerkingsfeatures, het noodzakelijk om continu te beoordelen of bestaande privacy-maatregelen nog toereikend zijn. Een specifiek framework voor Microsoft 365 voorkomt deze risico's door expliciet te beschrijven hoe AVG-beginselen worden toegepast binnen de context van Exchange Online, SharePoint, Teams, OneDrive en andere workloads.

PowerShell Modules Vereist
Primary API: Microsoft Purview (Security & Compliance PowerShell), Microsoft Graph API
Connection: Connect-IPPSSession, Connect-MgGraph
Required Modules: ExchangeOnlineManagement, Microsoft.Graph

Implementatie

Dit artikel beschrijft een praktisch AVG-complianceframework dat specifiek is toegesneden op Microsoft 365 binnen Nederlandse overheidsorganisaties. Het framework bestaat uit drie samenhangende lagen: governance en rollen, processen en documentatie, en technische implementatie. De governance-laag beschrijft hoe CISO, Functionaris Gegevensbescherming, Microsoft 365-beheerders en proceseigenaren samenwerken om AVG-naleving te borgen. De proceslaag omvat concrete stappen voor het beoordelen van nieuwe Microsoft 365-functionaliteit, het uitvoeren van DPIA's voor cloudverwerkingen, het bijhouden van het verwerkingsregister en het afhandelen van rechten van betrokkenen. De technische laag vertaalt deze processen naar concrete configuraties in Microsoft 365, zoals sensitivity labels voor dataclassificatie, retention policies voor bewaartermijnen, DLP-regels voor dataminimalisatie, toegangscontroles voor vertrouwelijkheid en logging voor verantwoording. Het bijbehorende PowerShell-script ondersteunt organisaties bij het monitoren van de aanwezigheid en actualiteit van kernonderdelen van het framework, zodat compliance niet afhankelijk blijft van losse initiatieven maar structureel wordt geborgd.

Governance, rollen en verantwoordelijkheden voor AVG in Microsoft 365

Effectieve AVG-compliance in Microsoft 365 begint bij duidelijke governance. Binnen Nederlandse overheidsorganisaties zijn meerdere rollen betrokken bij privacybescherming, elk met specifieke verantwoordelijkheden die expliciet moeten worden vastgelegd in relatie tot Microsoft 365. De Functionaris Gegevensbescherming (FG) heeft een centrale rol: zij adviseert over privacy-impact van nieuwe Microsoft 365-functionaliteit, beoordeelt DPIA's voor cloudverwerkingen, monitort naleving van AVG-beginselen en fungeert als contactpunt voor betrokkenen en toezichthouders. De CISO is verantwoordelijk voor de technische beveiliging van persoonsgegevens in Microsoft 365, inclusief toegangscontroles, encryptie, logging en detectie van datalekken. De Microsoft 365 platform owner beheert de technische configuratie van de omgeving en zorgt ervoor dat privacy-by-design principes worden toegepast in sensitivity labels, retention policies, DLP-regels en toegangsmodellen. Proceseigenaren zijn eindverantwoordelijk voor de rechtmatige verwerking van persoonsgegevens binnen hun domeinen, ook wanneer deze plaatsvindt via Microsoft 365. Zij moeten begrijpen welke gegevens worden verwerkt, op welke grondslag, met welke doelen en hoe lang, zodat zij verantwoording kunnen afleggen richting FG, bestuur en betrokkenen.

Het governance-model beschrijft hoe deze rollen samenwerken in concrete scenario's. Wanneer bijvoorbeeld een nieuwe Microsoft 365-functionaliteit wordt geïntroduceerd, zoals Microsoft Copilot of geavanceerde analytics, wordt een gestandaardiseerd proces gevolgd: de proceseigenaar of IT-afdeling meldt de nieuwe verwerking aan via een intakeformulier, de FG beoordeelt of een DPIA noodzakelijk is en voert deze indien nodig uit, de CISO en platform owner beoordelen welke technische maatregelen nodig zijn om privacy-by-design te borgen, en gezamenlijk wordt bepaald of de nieuwe functionaliteit mag worden uitgerold en onder welke voorwaarden. Dit proces wordt niet ad-hoc uitgevoerd, maar is vastgelegd in een formeel goedgekeurd privacy- en cloudgovernancebeleid dat onderdeel uitmaakt van het bredere informatiebeveiligings- en privacyraamwerk van de organisatie. Het governance-model beschrijft ook hoe periodiek wordt geëvalueerd of de rollen en processen nog effectief zijn, bijvoorbeeld door middel van kwartaalrapportages over privacy-incidenten, openstaande DPIA's, verwerkingsregisteractualisaties en uitkomsten van privacy-audits.

Een belangrijk aspect van governance is de relatie met Microsoft als verwerker. Nederlandse overheidsorganisaties die Microsoft 365 gebruiken, werken samen met Microsoft als verwerker van persoonsgegevens. Het AVG-complianceframework beschrijft hoe de verwerkersovereenkomst met Microsoft wordt beheerd, welke subverwerkers betrokken zijn en hoe wordt gemonitord dat Microsoft voldoet aan de contractuele afspraken. Daarnaast wordt vastgelegd hoe de organisatie omgaat met datastromen tussen Microsoft 365 en andere systemen, zowel intern als met externe partners, en welke aanvullende waarborgen worden getroffen wanneer gegevens worden gedeeld of geëxporteerd. Door deze governance-expliciet te maken en te koppelen aan bestaande overlegstructuren zoals het privacyboard, het informatiebeveiligingsoverleg of het cloudgovernanceforum, ontstaat een voorspelbaar en controleerbaar proces waarin AVG-compliance niet afhankelijk is van individuele medewerkers maar structureel is verankerd in de organisatie.

Processen en documentatie: verwerkingsregister, DPIA's en betrokkenenrechten

Het hart van het AVG-complianceframework voor Microsoft 365 bestaat uit gestandaardiseerde processen en de bijbehorende documentatie. Allereerst is er het proces voor het registreren en beoordelen van nieuwe verwerkingen binnen Microsoft 365. Iedere nieuwe toepassing die persoonsgegevens verwerkt via Microsoft 365 – bijvoorbeeld het gebruik van Teams voor bestuurlijke vergaderingen, SharePoint voor dossiers met persoonsgegevens, Power Platform voor formulieren of nieuwe AI-functionaliteit zoals Copilot – wordt via een intakeformulier aangemeld. In dit formulier worden doelen, gegevenscategorieën, betrokkenen, mogelijke ontvangers, bewaartermijnen en de voorgestelde rechtsgrond vastgelegd. Op basis daarvan wordt beoordeeld of een Data Protection Impact Assessment (DPIA) noodzakelijk is volgens artikel 35 van de AVG. Voor Microsoft 365-verwerkingen is een DPIA vaak verplicht of sterk aan te raden, bijvoorbeeld bij grootschalige monitoring, profilering, inzet van AI-functionaliteit, verwerking van bijzondere persoonsgegevens of systematische evaluatie van personen. Het framework biedt een DPIA-sjabloon dat specifiek is afgestemd op Microsoft 365-scenario's, met aandacht voor datastromen tussen workloads, koppelingen met andere systemen, afhankelijkheden van Microsoft als verwerker en mogelijke risico's voor betrokkenen.

Vervolgens wordt de verwerking opgenomen in het verwerkingsregister, zoals vereist in artikel 30 van de AVG. Het framework schrijft voor welke velden minimaal ingevuld moeten worden voor Microsoft 365-verwerkingen, waaronder de naam van de verwerking, doelen, categorieën van betrokkenen en persoonsgegevens, ontvangers, bewaartermijnen, beveiligingsmaatregelen en de rechtsgrond. Voor cloudverwerkingen is het verstandig om expliciet aan te geven in welke Microsoft 365-regio data wordt opgeslagen (bijvoorbeeld EU Data Boundary), welke subverwerkers betrokken zijn en welke aanvullende waarborgen zijn getroffen, bijvoorbeeld rond encryptie, toegangscontrole, logging en dataminimalisatie. Door het verwerkingsregister te koppelen aan het changeproces – bijvoorbeeld via een verplichte stap in het wijzigingsformulier voor Microsoft 365-configuraties – wordt geborgd dat wijzigingen in gebruikspatronen of nieuwe functionaliteit ook leiden tot actualisatie van de registraties. Het framework beschrijft ook hoe periodiek wordt gecontroleerd of het verwerkingsregister nog compleet en actueel is, bijvoorbeeld door middel van jaarlijkse reviews of automatische controles via het bijbehorende PowerShell-script.

Een derde belangrijke procespijler betreft het afhandelen van rechten van betrokkenen, zoals beschreven in hoofdstuk 3 van de AVG. Burgers hebben het recht op inzage (artikel 15), rectificatie (artikel 16), verwijdering (artikel 17), beperking van verwerking (artikel 18), dataportabiliteit (artikel 20) en bezwaar (artikel 21). Voor Microsoft 365-verwerkingen brengt dit specifieke uitdagingen met zich mee. Een inzageverzoek vereist bijvoorbeeld dat de organisatie kan achterhalen welke persoonsgegevens in Exchange Online, SharePoint, OneDrive, Teams en andere workloads zijn opgeslagen, inclusief metadata, versiegeschiedenis en gedeelde content. Een verwijderingsverzoek vereist dat gegevens niet alleen uit de primaire opslaglocaties worden verwijderd, maar ook uit back-ups, gearchiveerde mailboxen, gedeelde documenten en eventuele AI-indexen of zoekresultaten. Het framework beschrijft concrete procedures voor het afhandelen van deze verzoeken, inclusief welke tools en scripts worden gebruikt, welke termijnen gelden, hoe wordt gedocumenteerd dat verzoeken zijn afgehandeld en wanneer de FG of bestuur moet worden geïnformeerd. Door deze processen expliciet te maken en te oefenen, kunnen organisaties snel en correct reageren op verzoeken van betrokkenen, wat essentieel is voor het behouden van vertrouwen en het voorkomen van klachten bij de Autoriteit Persoonsgegevens.

Technische implementatie: privacy-by-design in Microsoft 365

Een AVG-complianceframework is pas effectief wanneer de juridische en organisatorische keuzes worden vertaald naar concrete technische maatregelen in Microsoft 365. Privacy-by-design en privacy-by-default, zoals vereist in artikel 25 van de AVG, betekenen dat privacybescherming vanaf het begin wordt ingebouwd in de configuratie van Microsoft 365, niet als latere toevoeging. Dit begint bij een doordachte tenantstructuur en dataclassificatie. Via Microsoft Purview Information Protection kunnen organisaties sensitivity labels definiëren die aangeven welke informatie vertrouwelijk is, welke persoonsgegevens bevat en welke beveiligingsmaatregelen moeten worden toegepast. Deze labels kunnen automatisch worden toegepast op basis van inhoudsanalyse, handmatig door gebruikers of via DLP-regels. Door sensitivity labels te koppelen aan retention policies wordt geborgd dat persoonsgegevens niet langer worden bewaard dan noodzakelijk, conform het beginsel van opslagbeperking uit artikel 5 van de AVG. Retention policies kunnen worden ingesteld per workload (Exchange, SharePoint, OneDrive, Teams) en per informatieklasse, zodat bijvoorbeeld e-mails met persoonsgegevens na een bepaalde termijn automatisch worden verwijderd, terwijl archiefwaardige documenten langer worden bewaard conform de Archiefwet.

Data Loss Prevention (DLP) vormt een tweede belangrijke technische pijler voor AVG-compliance in Microsoft 365. DLP-regels kunnen detecteren wanneer gevoelige persoonsgegevens worden gedeeld, geëxporteerd of opgeslagen op onveilige locaties, en automatisch waarschuwingen genereren of acties ondernemen zoals blokkeren, versleutelen of quarantaine. Voor Nederlandse overheidsorganisaties is het essentieel om DLP-regels te configureren voor categorieën zoals burgerservicenummers (BSN), paspoortnummers, medische gegevens en andere bijzondere persoonsgegevens. DLP helpt organisaties om dataminimalisatie te borgen door te voorkomen dat onnodige persoonsgegevens worden verzameld of gedeeld, en door te signaleren wanneer gegevens buiten de beoogde context worden gebruikt. Daarnaast kunnen DLP-regels worden gebruikt om te monitoren of externe sharing van documenten met persoonsgegevens plaatsvindt zonder de juiste autorisatie, wat essentieel is voor het waarborgen van vertrouwelijkheid. Het framework beschrijft welke DLP-regels minimaal moeten zijn geconfigureerd, hoe deze worden getest en gemonitord, en hoe incidenten worden afgehandeld wanneer DLP-regels worden getriggerd.

Toegangsbeheer en logging vormen de derde technische pijler. Microsoft 365 biedt uitgebreide mogelijkheden voor identity- en toegangsbeheer via Entra ID (voorheen Azure AD), inclusief multi-factor authenticatie, conditional access policies, rolgebaseerde toegang en privileged identity management. Voor AVG-compliance is het essentieel dat toegang tot persoonsgegevens wordt beperkt tot personen die deze gegevens daadwerkelijk nodig hebben voor hun werkzaamheden (need-to-know principe). Het framework beschrijft hoe toegangsmodellen worden ontworpen, hoe regelmatig toegangsreviews worden uitgevoerd en hoe wordt gemonitord of toegangspatronen afwijken van de verwachting. Daarnaast is uitgebreide logging cruciaal voor de verantwoordingsplicht uit artikel 5 en 24 van de AVG. Microsoft 365 Unified Audit Log registreert wie welke acties heeft uitgevoerd op persoonsgegevens, inclusief inzage, wijziging, export en verwijdering. Het framework beschrijft welke audit events minimaal moeten worden gelogd, hoe lang logs worden bewaard (in lijn met het proportionaliteitsbeginsel) en wie toegang heeft tot deze logs. Door logging te combineren met Microsoft Sentinel of andere SIEM-oplossingen kunnen organisaties verdachte patronen detecteren, zoals ongebruikelijke toegang tot gevoelige documenten of massale exports van persoonsgegevens, wat essentieel is voor het voorkomen en detecteren van datalekken.

Monitoring, audits en continue verbetering van AVG-compliance

Gebruik PowerShell-script avg-compliance-framework.ps1 (functie Invoke-AvgComplianceAssessment) – Voert een gestructureerde controle uit op de aanwezigheid en basiskwaliteit van kernstukken binnen het AVG-complianceframework voor Microsoft 365, zoals beleid, verwerkingsregister, DPIA's en technische configuraties..

AVG-compliance rond Microsoft 365 is geen statische eindtoestand, maar een doorlopend proces dat continu moet worden aangepast aan nieuwe dreigingen, wijzigingen in wetgeving, updates van Microsoft 365 en veranderingen in de organisatie. Daarom bevat het AVG-complianceframework een expliciete cyclus voor monitoring en continue verbetering. Vanuit technisch perspectief betekent dit dat periodiek wordt gecontroleerd of de kritieke bouwstenen van het framework nog aanwezig en actief zijn. Denk aan het bestaan van sensitivity labels voor dataclassificatie, retention policies voor bewaartermijnen, DLP-regels voor dataminimalisatie, conditional access policies voor toegangsbeheer en uitgebreide audit logging. Zonder deze periodieke controles kunnen aanpassingen, incidenten of foutieve beheersacties ertoe leiden dat essentiële privacy-maatregelen ongemerkt worden uitgeschakeld of gewijzigd. Het gekoppelde PowerShell-script ondersteunt deze technische monitoring door via Security & Compliance PowerShell en Microsoft Graph API te verifiëren of de kernconfiguraties aanwezig zijn en door de resultaten terug te geven in een gestandaardiseerd object met een duidelijke compliance-status.

Naast technische monitoring is bestuurlijke en procesmatige monitoring cruciaal. Het framework moet voorzien in periodieke rapportages aan CISO, FG en lijnmanagement over de status van de belangrijkste privacy-controls, openstaande DPIA's, actualiteit van het verwerkingsregister, afgehandelde verzoeken van betrokkenen en geplande verbetermaatregelen. Dit kan worden gerealiseerd door de uitkomsten van de PowerShell-scripts te integreren met dashboards in Power BI of bestaande GRC-tools. Daarmee ontstaat een actueel beeld van de AVG-nalevingsstatus per Microsoft 365-workload, per proceseigenaar en per control. Door trends over meerdere kwartalen te analyseren kunnen organisaties zien of maatregelen daadwerkelijk effect hebben, waar structurele issues terugkeren en welke onderdelen extra ondersteuning nodig hebben. Monitoring wordt zo een stuurinstrument voor continue verbetering in plaats van een eenmalige controle voorafgaand aan een audit. Daarnaast worden minimaal jaarlijks interne privacy-audits uitgevoerd, waarbij wordt beoordeeld of het framework nog aansluit bij de praktijk, of nieuwe risico's zijn ontstaan en of aanvullende maatregelen nodig zijn. De uitkomsten van deze audits worden vastgelegd in verbeterplannen met eigenaars, deadlines en prioriteiten.

Belangrijk is dat de monitoringcyclus niet alleen focust op het bestaan van documenten en configuraties, maar ook op hun bruikbaarheid en actualiteit. Een privacybeleid dat jarenlang niet is herzien, een verwerkingsregister waarin nieuwe Microsoft 365-verwerkingen ontbreken, of DLP-regels die niet worden getriggerd omdat zij te strikt of te los zijn ingesteld, bieden weinig bescherming. Het framework adviseert daarom om vaste momentums in te bouwen, bijvoorbeeld gekoppeld aan de planning- en controlcyclus, waarin expliciet wordt beoordeeld of beleid, DPIA's, verwerkersovereenkomsten en technische maatregelensets nog aansluiten bij de praktijk. Resultaten worden gedeeld met bestuur en directie, zodat zij weloverwogen keuzes kunnen maken over risicoacceptatie, prioritering van verbeteracties en benodigde middelen. Door monitoring, rapportage en besluitvorming te verbinden ontstaat een lerende organisatie die stap voor stap toewerkt naar aantoonbare AVG-compliance in Microsoft 365, conform de ambitie van de "Nederlandse Baseline voor Veilige Cloud".

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS AVG-complianceframework voor Microsoft 365 .DESCRIPTION Controleert of de kerncomponenten van het AVG-complianceframework voor Microsoft 365 aanwezig zijn en ondersteunt beheerders bij gerichte remediatie. Controleert onder andere of er sensitivity labels, retention policies, DLP-regels en adequate audit logging zijn geconfigureerd in Microsoft 365. .NOTES Filename: avg-compliance-framework.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-11-26 Version: 1.0 Related JSON: content/m365/compliance/avg-compliance-framework.json Category: compliance Workload: m365 .LINK https://github.com/m365-tenant-best-practise .EXAMPLE .\avg-compliance-framework.ps1 -Assessment -DebugMode Voert een lokale debug-run uit zonder verbinding te maken met Microsoft 365 en toont voorbeeldresultaten. .EXAMPLE .\avg-compliance-framework.ps1 -Assessment Controleert in de live tenant of kerncomponenten van het AVG-complianceframework aanwezig zijn. .EXAMPLE .\avg-compliance-framework.ps1 -Report -OutputPath .\avg-compliance-rapport.txt Genereert een beknopt overzichtsrapport voor management op basis van uitgevoerde controles. #> #Requires -Version 5.1 #Requires -Modules ExchangeOnlineManagement [CmdletBinding()] param( [Parameter(HelpMessage = "Voer controles uit op aanwezigheid van kernstukken van het AVG-complianceframework")] [switch]$Assessment, [Parameter(HelpMessage = "Genereer een samenvattend rapport op basis van de controle-uitkomsten")] [switch]$Report, [Parameter(HelpMessage = "Pad naar het rapportbestand dat moet worden aangemaakt (alleen bij -Report)")] [string]$OutputPath, [Parameter(HelpMessage = "Voer een veilige lokale test uit met voorbeelddata, zonder verbinding met Microsoft 365")] [switch]$DebugMode ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "AVG-complianceframework (Microsoft 365)" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan function Connect-ComplianceServices { <# .SYNOPSIS Maakt verbinding met het Microsoft 365 Security & Compliance endpoint. .DESCRIPTION Gebruikt Connect-IPPSSession uit de ExchangeOnlineManagement-module. #> [CmdletBinding()] param() Write-Host "Verbinding maken met Microsoft Purview (Security & Compliance)..." -ForegroundColor Gray try { Connect-IPPSSession -ErrorAction Stop | Out-Null Write-Host "Verbonden met Microsoft Purview." -ForegroundColor Green } catch { Write-Host "Fout bij verbinden met Microsoft Purview: $_" -ForegroundColor Red throw } } function Invoke-AvgComplianceAssessment { <# .SYNOPSIS Voert een gestructureerde controle uit op kernonderdelen van het AVG-complianceframework. .DESCRIPTION Controleert of sensitivity labels, retention policies, DLP-regels en audit logging zijn geconfigureerd in Microsoft 365. In DebugMode worden geen externe verbindingen gemaakt en wordt met voorbeelddata gewerkt zodat lokaal testen mogelijk is. .OUTPUTS PSCustomObject met: - IsCompliant : Boolean - Timestamp : Datum/tijd van de meting - HasSensitivityLabels : Boolean - HasRetentionPolicies : Boolean - HasDlpPolicies : Boolean - HasAuditLogging : Boolean - Findings : Lijst met geconstateerde issues of aandachtspunten #> [CmdletBinding()] param() $result = [PSCustomObject]@{ ScriptName = "avg-compliance-framework.ps1" IsCompliant = $false Timestamp = Get-Date HasSensitivityLabels = $false HasRetentionPolicies = $false HasDlpPolicies = $false HasAuditLogging = $false Findings = @() } try { if ($DebugMode) { Write-Host "DebugMode ingeschakeld: er wordt geen verbinding gemaakt met Microsoft 365." -ForegroundColor Yellow Write-Host "Er worden voorbeeldwaarden gebruikt om de rapportage te testen.`n" -ForegroundColor Yellow # Voorbeeldscenario: meeste controls aanwezig, maar audit logging kan beter $result.HasSensitivityLabels = $true $result.HasRetentionPolicies = $true $result.HasDlpPolicies = $true $result.HasAuditLogging = $false $result.Findings += "DebugMode: voorbeelddata – verifieer in productie of Unified Audit Log is ingeschakeld en voldoende events worden gelogd." } else { Connect-ComplianceServices Write-Host "Controleren van sensitivity labels..." -ForegroundColor Gray $sensitivityLabels = Get-Label -ErrorAction SilentlyContinue $result.HasSensitivityLabels = ($sensitivityLabels -ne $null -and $sensitivityLabels.Count -gt 0) if (-not $result.HasSensitivityLabels) { $result.Findings += "Er zijn geen sensitivity labels gevonden. Configureer labels voor dataclassificatie conform AVG-beginselen." } Write-Host "Controleren van retention policies..." -ForegroundColor Gray $retentionPolicies = Get-RetentionCompliancePolicy -ErrorAction SilentlyContinue $labelPolicies = Get-LabelPolicy -ErrorAction SilentlyContinue $result.HasRetentionPolicies = ( ($retentionPolicies -ne $null -and $retentionPolicies.Count -gt 0) -or ($labelPolicies -ne $null -and $labelPolicies.Count -gt 0) ) if (-not $result.HasRetentionPolicies) { $result.Findings += "Er zijn geen retention policies gevonden. Richt bewaartermijnen in conform AVG-opslagbeperking en Archiefwet." } Write-Host "Controleren van DLP-regels..." -ForegroundColor Gray $dlpPolicies = Get-DlpCompliancePolicy -ErrorAction SilentlyContinue $result.HasDlpPolicies = ($dlpPolicies -ne $null -and $dlpPolicies.Count -gt 0) if (-not $result.HasDlpPolicies) { $result.Findings += "Er zijn geen DLP-regels gevonden. Configureer DLP voor dataminimalisatie en bescherming van persoonsgegevens." } Write-Host "Controleren van audit logging..." -ForegroundColor Gray try { $auditConfig = Get-AdminAuditLogConfig -ErrorAction SilentlyContinue $result.HasAuditLogging = ($auditConfig -ne $null -and $auditConfig.UnifiedAuditLogIngestionEnabled -eq $true) } catch { # Fallback: probeer via andere methode $result.HasAuditLogging = $false } if (-not $result.HasAuditLogging) { $result.Findings += "Unified Audit Log lijkt niet volledig ingeschakeld. Zorg voor uitgebreide logging voor AVG-verantwoordingsplicht." } } $result.IsCompliant = $result.HasSensitivityLabels -and $result.HasRetentionPolicies -and $result.HasDlpPolicies -and $result.HasAuditLogging Write-Host "`nResultaat AVG-complianceframework:" -ForegroundColor Cyan Write-Host (" Sensitivity labels aanwezig : {0}" -f $result.HasSensitivityLabels) -ForegroundColor White Write-Host (" Retention policies aanwezig : {0}" -f $result.HasRetentionPolicies) -ForegroundColor White Write-Host (" DLP-regels aanwezig : {0}" -f $result.HasDlpPolicies) -ForegroundColor White Write-Host (" Audit logging ingeschakeld : {0}" -f $result.HasAuditLogging) -ForegroundColor White if ($result.IsCompliant) { Write-Host "`n[OK] Minimale kerncomponenten van het AVG-complianceframework zijn aanwezig." -ForegroundColor Green } else { Write-Host "`n[FAIL] Een of meer kerncomponenten ontbreken of zijn niet correct geconfigureerd." -ForegroundColor Red if ($result.Findings.Count -gt 0) { Write-Host "Details:" -ForegroundColor Yellow foreach ($finding in $result.Findings) { Write-Host " - $finding" -ForegroundColor Yellow } } } return $result } catch { Write-Host "`n[FAIL] Fout tijdens assessment: $_" -ForegroundColor Red throw } } function Invoke-AvgComplianceReport { <# .SYNOPSIS Genereert een beknopt overzichtsrapport voor management. .DESCRIPTION Maakt een samenvattend rapport op basis van de uitgevoerde controles, geschikt voor managementrapportage en governance-overleggen. .PARAMETER AssessmentResult Het resultaatobject van Invoke-AvgComplianceAssessment. .PARAMETER OutputPath Pad waar het rapport moet worden opgeslagen. #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [PSCustomObject]$AssessmentResult, [Parameter(Mandatory = $false)] [string]$OutputPath ) $reportLines = @() $reportLines += "AVG-Compliance Framework Rapport - Microsoft 365" $reportLines += "Nederlandse Baseline voor Veilige Cloud" $reportLines += "=" * 60 $reportLines += "" $reportLines += "Datum/tijd: $($AssessmentResult.Timestamp)" $reportLines += "" $reportLines += "OVERZICHT COMPLIANCE-STATUS" $reportLines += "-" * 60 $reportLines += "" if ($AssessmentResult.IsCompliant) { $reportLines += "Status: COMPLIANT" $reportLines += "Alle minimale kerncomponenten van het AVG-complianceframework zijn aanwezig." } else { $reportLines += "Status: NIET COMPLIANT" $reportLines += "Een of meer kerncomponenten ontbreken of zijn niet correct geconfigureerd." } $reportLines += "" $reportLines += "DETAILS PER COMPONENT" $reportLines += "-" * 60 $reportLines += "" $reportLines += "Sensitivity labels : $(if ($AssessmentResult.HasSensitivityLabels) { 'Aanwezig' } else { 'Ontbreekt' })" $reportLines += "Retention policies : $(if ($AssessmentResult.HasRetentionPolicies) { 'Aanwezig' } else { 'Ontbreekt' })" $reportLines += "DLP-regels : $(if ($AssessmentResult.HasDlpPolicies) { 'Aanwezig' } else { 'Ontbreekt' })" $reportLines += "Audit logging : $(if ($AssessmentResult.HasAuditLogging) { 'Ingeschakeld' } else { 'Niet ingeschakeld' })" if ($AssessmentResult.Findings.Count -gt 0) { $reportLines += "" $reportLines += "AANDACHTSPUNTEN" $reportLines += "-" * 60 foreach ($finding in $AssessmentResult.Findings) { $reportLines += "- $finding" } } $reportLines += "" $reportLines += "AANBEVELINGEN" $reportLines += "-" * 60 if (-not $AssessmentResult.IsCompliant) { $reportLines += "1. Herzie het AVG-complianceframework en zorg dat alle kerncomponenten zijn geconfigureerd." $reportLines += "2. Voer periodieke controles uit om te borgen dat configuraties actueel blijven." $reportLines += "3. Documenteer alle maatregelen voor audit-doeleinden." } else { $reportLines += "1. Blijf periodiek monitoren of configuraties actueel blijven." $reportLines += "2. Evalueer regelmatig of aanvullende maatregelen nodig zijn." } $reportLines += "" $reportLines += "=" * 60 $reportText = $reportLines -join "`n" if ($OutputPath) { try { $reportText | Out-File -FilePath $OutputPath -Encoding UTF8 Write-Host "Rapport opgeslagen naar: $OutputPath" -ForegroundColor Green } catch { Write-Host "Fout bij opslaan rapport: $_" -ForegroundColor Red throw } } else { Write-Host $reportText } return $reportText } try { if ($Report) { if (-not $Assessment) { Write-Host "Waarschuwing: -Report vereist -Assessment. Voer eerst assessment uit..." -ForegroundColor Yellow $Assessment = $true } } if ($Assessment) { $assessmentResult = Invoke-AvgComplianceAssessment if ($Report) { Write-Host "`nGenereren van rapport..." -ForegroundColor Cyan Invoke-AvgComplianceReport -AssessmentResult $assessmentResult -OutputPath $OutputPath } if ($assessmentResult.IsCompliant) { exit 0 } else { exit 1 } } else { Write-Host "Beschikbare parameters:" -ForegroundColor Yellow Write-Host " -Assessment : Controleer de aanwezigheid van kerncomponenten" -ForegroundColor Gray Write-Host " -Report : Genereer een samenvattend rapport" -ForegroundColor Gray Write-Host " -OutputPath : Pad voor rapportbestand (alleen bij -Report)" -ForegroundColor Gray Write-Host " -DebugMode : Voer een veilige lokale test uit zonder cloudverbinding" -ForegroundColor Gray Write-Host "`nVoorbeeld: .\avg-compliance-framework.ps1 -Assessment -DebugMode" -ForegroundColor Cyan Write-Host "Voorbeeld: .\avg-compliance-framework.ps1 -Assessment -Report -OutputPath .\rapport.txt" -ForegroundColor Cyan } } catch { Write-Error "Scriptuitvoering is mislukt: $_" exit 2 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan } # Exitcodes: # 0 = Compliant # 1 = Niet compliant # 2 = Fout tijdens uitvoering

Risico zonder implementatie

Risico zonder implementatie
High: Zonder gestructureerd AVG-complianceframework voor Microsoft 365 blijft privacyborging afhankelijk van losse initiatieven en individuele medewerkers. Dit vergroot de kans op hiaten in documentatie, onduidelijke rolverdeling, onvoldoende beheer van cloudverwerkingen, niet-afgehandelde verzoeken van betrokkenen en daarmee op juridische en reputatierisico's, inclusief mogelijke boetes van de Autoriteit Persoonsgegevens.

Management Samenvatting

Introduceer een integraal AVG-complianceframework specifiek voor Microsoft 365 dat juridische eisen vertaalt naar concrete governance, processen en technische controls. Zorg voor heldere rollen en verantwoordelijkheden, een actueel verwerkingsregister en DPIA-landschap, privacy-by-design configuraties in Microsoft 365, en gebruik geautomatiseerde controles en rapportages om naleving aantoonbaar te maken en continu te verbeteren.