💼 Management Samenvatting
Privacy by design is geen theoretisch juristenbegrip, maar een concreet werkprincipe dat in elke fase van ontwerp, implementatie en beheer van Microsoft 365-omgevingen moet worden toegepast. Voor Nederlandse overheidsorganisaties betekent dit dat bescherming van persoonsgegevens standaard en integraal is ingebouwd in processen, systemen en besluitvorming rondom Microsoft 365.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
140u (tech: 60u)
Van toepassing op:
✓ M365
✓ Publieke Sector
✓ Overheidsorganisaties
✓ Publieke Sector
✓ Overheidsorganisaties
De Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties om privacy by design en privacy by default toe te passen. Voor de publieke sector is dit extra belangrijk: burgers moeten erop kunnen vertrouwen dat hun gegevens veilig worden verwerkt door gemeenten, ministeries en uitvoeringsorganisaties. In de praktijk is Microsoft 365 vaak het centrale platform voor samenwerking, dossiervorming en communicatie. Zonder expliciete toepassing van privacy by design ontstaan onnodige risico’s: mailboxen worden gebruikt als archief, Teams-omgevingen groeien ongecontroleerd, gevoelige documenten worden onvoldoende geclassificeerd en bewaartermijnen zijn inconsistent. Dit leidt tot vergrote kans op datalekken, overtreding van bewaarplichten uit de Archiefwet en discussie met toezichthouders over de vraag of de organisatie wel “passende technische en organisatorische maatregelen” heeft getroffen.
PowerShell Modules Vereist
Primary API: Microsoft Purview, Microsoft 365 Admin Center
Connection:
Required Modules: ExchangeOnlineManagement
Connection:
PowerShell (ExchangeOnlineManagement), Microsoft 365 beheerportalenRequired Modules: ExchangeOnlineManagement
Implementatie
Dit artikel beschrijft hoe u de zeven kernprincipes van privacy by design praktisch toepast binnen Microsoft 365 voor Nederlandse overheidsorganisaties. We werken uit hoe u dataminimalisatie, doelbinding, transparantie, integriteit en vertrouwelijkheid vertaalt naar concrete instellingen zoals sensitivity labels, DLP-beleid, toegangsmodellen, logging en bewaartermijnen. Daarnaast laten we zien hoe u governance en rollen inricht, hoe u privacy by design borgt in projecten en wijzigingsprocessen, en hoe u met PowerShell-gestuurde controles periodiek toetst of de belangrijkste privacy-by-design-bouwstenen in Microsoft 365 nog aanwezig en effectief zijn.
Privacy by Design: juridische context en kernprincipes
Privacy by design komt rechtstreeks voort uit artikel 25 van de AVG en verplicht organisaties om al bij het ontwerp van verwerkingen na te denken over gegevensbescherming. Voor Nederlandse overheidsorganisaties gaat het hierbij niet alleen om nieuwe ICT-projecten, maar ook om doorlopende optimalisaties en migraties naar Microsoft 365. Waar vroeger papieren dossiers en on-premises systemen centraal stonden, is Microsoft 365 nu hét platform waar e-mail, samenwerkingsdossiers, besluitvorming en communicatie met burgers samenkomen. Dit vergroot de verantwoordelijkheid om privacyprincipes niet als nagedachte te zien, maar als randvoorwaarde bij architectuur, configuratie en dagelijks beheer. Privacy by design betekent in deze context dat keuzes over bijvoorbeeld Teams-structuren, SharePoint-sites, gedeelde mailboxen en archiveringsoplossingen altijd worden getoetst aan de beginselen van dataminimalisatie, doelbinding, transparantie en beveiliging van persoonsgegevens.
De zeven klassieke privacy-by-designprincipes – proactief in plaats van reactief, standaard privacyvriendelijk, privacy geïntegreerd in ontwerp, volledige functionaliteit (positieve som, geen zero-sum), end-to-end beveiliging gedurende de hele levenscyclus, zichtbaarheid en transparantie en respect voor gebruikers – krijgen binnen Microsoft 365 een zeer praktische invulling. Proactiviteit betekent dat architecten en beheerders al in de ontwerpfase standaardsjablonen definiëren voor Teams, sites en groepen waarin privacyvriendelijke instellingen zijn voorgeconfigureerd. Privacy by default betekent dat nieuwe samenwerkingsomgevingen standaard beperkt toegankelijk zijn, dat gevoelige gegevens niet automatisch met externe partijen worden gedeeld en dat logging en auditing standaard zijn ingeschakeld. End-to-end beveiliging houdt in dat gegevens gedurende hun hele levenscyclus – van aanmaak tot verwijdering of archivering – worden beschermd door encryptie, toegangscontrole en bewaarbeleid. Transparantie vergt dat burgers en medewerkers duidelijk kunnen zien hoe met hun gegevens wordt omgegaan, bijvoorbeeld via heldere classificatielabels, privacyverklaringen en toegankelijke documentatie over bewaartermijnen.
Voor de publieke sector is het bovendien essentieel om privacy by design te koppelen aan andere kaders zoals de Baseline Informatiebeveiliging Overheid (BIO), de Archiefwet en eventueel sectorspecifieke richtlijnen (bijvoorbeeld in het sociaal domein of de zorg). Een Teams-kanaal waarin jeugdzorgdossiers worden besproken, vereist striktere toegang, classificatie en logging dan een generiek projectkanaal voor interne communicatie. Privacy by design vraagt daarom om een risicogestuurde benadering: welke informatiecategorieën worden in Microsoft 365 verwerkt, welke risico’s kleven hieraan en welke maatregelen zijn minimaal noodzakelijk om deze risico’s te mitigeren? Door deze analyse te standaardiseren – bijvoorbeeld via een DPIA-template voor Microsoft 365-samenwerkingsomgevingen – wordt voorkomen dat iedere afdeling het wiel opnieuw moet uitvinden en ontstaat er een consistente basis waarop audits en toezicht kunnen aansluiten.
Praktische implementatie van Privacy by Design in Microsoft 365
De implementatie van privacy by design in Microsoft 365 begint met een helder beeld van welke typen gegevens waar worden opgeslagen en welke standaardpatronen de organisatie hanteert. In plaats van willekeurige Teams, SharePoint-sites en groepen toe te staan, definiëren volwassen organisaties een beperkt aantal archetypen, bijvoorbeeld: projectteams met overwegend interne, niet-gevoelige informatie; domeinteams waarin structureel met persoonsgegevens of vertrouwelijke beleidsinformatie wordt gewerkt; ketenomgevingen waarin wordt samengewerkt met andere overheidsorganisaties; en omgevingen met structureel hooggevoelige gegevens, zoals bijzondere persoonsgegevens of opsporingsinformatie. Per archetype worden de standaardinstellingen vastgelegd: toegangsmodel (open, besloten, strikt beperkt), externe toegang, gasttoegang, vereiste classificatielabels, retentieregels, logging en monitoring. Deze archetypen worden vervolgens technisch afgedwongen door provisioning-scripts, standaardtemplates en heldere goedkeuringsprocessen voor afwijkingen.
Een kerninstrument voor privacy by design in Microsoft 365 is het gebruik van sensitivity labels en dataclassificatie via Microsoft Purview. Door documenten, e-mails en teams te labelen als bijvoorbeeld "Intern", "Vertrouwelijk" of "Zeer Vertrouwelijk – Persoonsgegevens" kan de organisatie automatisch passende maatregelen koppelen: versleuteling, watermerken, beperkingen op downloaden of delen, en strengere DLP-regels. Cruciaal is dat labels niet vrijblijvend zijn, maar zijn geïntegreerd in werkprocessen. Dat betekent onder meer dat belangrijke documentsoorten (zoals beschikkingen, rapportages, besluiten of rapporten met onderzoeksgegevens) standaard sjablonen krijgen waarin het juiste label al is voorgeselecteerd, dat gebruikers duidelijke instructies en training krijgen over wanneer welk label verplicht is en dat er periodiek wordt gecontroleerd of gevoelige informatie daadwerkelijk van een passend label is voorzien. Hier sluit privacy by default aan op privacy by design: de standaardinstelling is privacyvriendelijk, terwijl bewuste afwijkingen expliciet moeten worden gemotiveerd en vastgelegd.
Naast classificatie en labels speelt dataminimalisatie een grote rol. Binnen Microsoft 365 betekent dit onder andere dat bewaartermijnen niet onnodig ruim worden ingesteld, dat mailboxen niet worden gebruikt als onbeperkt archief en dat oude samenwerkingsomgevingen tijdig worden opgeschoond of gearchiveerd. Dit vereist een combinatie van retentieregels, automatisering en governance. Retentieregels zorgen ervoor dat gegevens na een bepaalde periode automatisch worden verwijderd of permanent worden gearchiveerd; automatisering helpt om inactieve Teams of sites te detecteren en eigenaars te vragen om een keuze te maken tussen archiveren of sluiten; governance borgt dat uitzonderingen alleen na expliciete goedkeuring worden toegestaan en periodiek worden geëvalueerd. Voor Nederlandse overheidsorganisaties betekent dit dat bewaartermijnen moeten aansluiten op de Archiefwet en eventueel sectorspecifieke regelgeving, en dat er een nauwe samenwerking is tussen informatiemanagement, archivarissen, privacy officers en IT-beheer bij het inrichten van retentieregels.
Transparantie en verantwoording vragen ten slotte om goede logging en heldere documentatie. In Microsoft 365 houdt dit in dat de unified audit log is ingeschakeld, dat relevante privacy- en beveiligingsgebeurtenissen – zoals labelwijzigingen, DLP-overtredingen, massale exports of toegangswijzigingen – worden bewaakt en dat er procedures zijn om deze logs te analyseren bij incidenten of DPIA’s. Documentatie gaat verder dan alleen technische instellingen: leg vast welke privacy-by-designkeuzes zijn gemaakt, welke archetypen bestaan, welke labels en retentieregels verplicht zijn en hoe uitzonderingen worden afgehandeld. Deze documentatie vormt een belangrijk bewijsstuk richting de Autoriteit Persoonsgegevens, de Algemene Rekenkamer en interne auditors, en helpt nieuwe medewerkers om snel te begrijpen welke spelregels gelden binnen de Microsoft 365-omgeving.
Monitoring, automatisering en continue verbetering
Gebruik PowerShell-script privacy-by-design-principles.ps1 (functie Invoke-Monitoring) – Voert een controle uit op kernbouwstenen van privacy by design in Microsoft 365, zoals het bestaan van sensitivity labels, DLP-beleid en retentieregels..
Privacy by design is alleen duurzaam als organisaties periodiek toetsen of de beoogde maatregelen nog aanwezig en effectief zijn. In een dynamische Microsoft 365-tenant, waarin nieuwe functionaliteit wordt toegevoegd, organisatiestructuren wijzigen en externe partijen aansluiten of afhaken, kunnen instellingen ongemerkt veranderen. Daarom is het verstandig om naast ontwerp- en implementatieactiviteiten ook een structureel monitoringsproces in te richten. Dit proces controleert bijvoorbeeld of de kern-sensitivitylabels nog bestaan en zijn gepubliceerd, of er DLP-beleid actief is voor persoonsgegevens en andere gevoelige gegevenscategorieën, of basisretentieregels nog actief zijn, en of de unified audit log nog steeds is ingeschakeld. Waar mogelijk wordt deze monitoring geautomatiseerd met PowerShell-scripts die resultaten opleveren in een gestandaardiseerd format, zodat zij eenvoudig zijn te integreren in dashboards of rapportages aan CISO, FG en bestuurders.
Continu verbeteren betekent dat bevindingen uit monitoring, incidenten en DPIA’s systematisch worden vertaald naar aanpassingen in beleid, configuratie en werkprocessen. Wanneer een monitoringscript bijvoorbeeld meerdere kwartalen achter elkaar constateert dat bepaalde Teams-omgevingen geen sensitivitylabels gebruiken of dat DLP-regels vaak worden overtreden, is het onvoldoende om dit alleen als bevinding te rapporteren. In plaats daarvan moet worden onderzocht of de inrichting van labels aansluit bij de praktijk, of gebruikers voldoende uitleg hebben gekregen en of er aanvullende governance nodig is, zoals strengere goedkeuringsprocessen voor externe toegang. Door monitoring te koppelen aan een verbetercyclus – met eigenaarschap, planning en opvolging – wordt privacy by design een levend principe dat meegroeit met de organisatie in plaats van een eenmalige ontwerpfase bij de initiële Microsoft 365-implementatie.
Compliance & Frameworks
- BIO: 9.01, 12.01, 12.04 - Organisatie van informatiebeveiliging, privacy- en beveiligingsbeleid, logging en compliance binnen de overheid.
- ISO 27001:2022: A.5.1, A.5.2, A.8.2, A.18.1 - Informatiebeveiligingsbeleid, classificatie van informatie, privacy en naleving van wet- en regelgeving.
- NIS2: Artikel - Risicobeheermaatregelen en passende beveiligings- en governance-eisen voor essentiële en belangrijke entiteiten.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Controle van Privacy by Design-bouwstenen in Microsoft 365
.DESCRIPTION
Voert een lichte, scriptbare controle uit op een aantal kernbouwstenen van privacy by design
in Microsoft 365, zoals het bestaan van sensitivity labels, DLP-beleid en retentie- of
records management policies. Het script is ontworpen volgens hetzelfde patroon als andere
m365-compliance scripts in de "Nederlandse Baseline voor Veilige Cloud" en ondersteunt
een veilige lokale debugmodus zonder verbinding met Microsoft 365.
.NOTES
Filename: privacy-by-design-principles.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-26
Version: 1.0
Related JSON: content/m365/compliance/privacy-by-design-principles.json
Category: compliance
Workload: m365
.LINK
https://github.com/m365-tenant-best-practise
.EXAMPLE
.\privacy-by-design-principles.ps1 -Monitoring -DebugMode
Voert een lokale debug-run uit zonder verbinding te maken met Microsoft 365 en toont
voorbeeldresultaten.
.EXAMPLE
.\privacy-by-design-principles.ps1 -Monitoring
Controleert in de live tenant of kernbouwstenen van privacy by design aanwezig zijn.
.EXAMPLE
.\privacy-by-design-principles.ps1 -Remediation -WhatIf
Toont welke handmatige of gescripte stappen nodig zijn om ontbrekende componenten te versterken,
zonder daadwerkelijk wijzigingen door te voeren.
#>
#Requires -Version 5.1
#Requires -Modules ExchangeOnlineManagement
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Monitor kernbouwstenen van privacy by design in Microsoft 365")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Geef remediatie-advies en voorbeeldcmdlets voor privacy by design")]
[switch]$Remediation,
[Parameter(HelpMessage = "Toon welke acties zouden worden uitgevoerd, zonder wijzigingen door te voeren")]
[switch]$WhatIf,
[Parameter(HelpMessage = "Voer een veilige lokale test uit zonder verbinding met Microsoft 365")]
[switch]$DebugMode
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Privacy by Design in Microsoft 365" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Connect-PrivacyComplianceServices {
<#
.SYNOPSIS
Maakt verbinding met het Microsoft 365 Security & Compliance endpoint.
.DESCRIPTION
Gebruikt Connect-IPPSSession uit de ExchangeOnlineManagement-module.
#>
[CmdletBinding()]
param()
Write-Host "Verbinding maken met Microsoft Purview (Security & Compliance)..." -ForegroundColor Gray
Connect-IPPSSession -ErrorAction Stop | Out-Null
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert of kernbouwstenen van privacy by design aanwezig zijn.
.DESCRIPTION
Beoordeelt of er ten minste enkele sensitivity labels bestaan, of er DLP-beleid
actief is en of er retentie- of records management policies aanwezig zijn.
In DebugMode worden geen externe verbindingen gemaakt en wordt met voorbeelddata
gewerkt zodat lokaal testen mogelijk is.
.OUTPUTS
PSCustomObject met:
- ScriptName : Naam van het script
- IsCompliant : Boolean
- Timestamp : Datum/tijd van de meting
- HasSensitivity : Boolean
- HasDlpPolicy : Boolean
- HasRetention : Boolean
- Findings : Lijst met geconstateerde issues of aandachtspunten
#>
[CmdletBinding()]
param()
$result = [PSCustomObject]@{
ScriptName = "privacy-by-design-principles.ps1"
IsCompliant = $false
Timestamp = Get-Date
HasSensitivity = $false
HasDlpPolicy = $false
HasRetention = $false
Findings = @()
}
try {
if ($DebugMode) {
Write-Host "DebugMode ingeschakeld: er wordt geen verbinding gemaakt met Microsoft 365." -ForegroundColor Yellow
Write-Host "Er worden voorbeeldwaarden gebruikt om de rapportage te testen.`n" -ForegroundColor Yellow
# Voorbeeldscenario: sensitivity labels en retentie aanwezig, maar DLP-beleid ontbreekt
$result.HasSensitivity = $true
$result.HasRetention = $true
$result.HasDlpPolicy = $false
$result.Findings += "DebugMode: voorbeelddata – verifieer in productie of DLP-beleid voor persoonsgegevens is ingericht."
}
else {
Connect-PrivacyComplianceServices
Write-Host "Ophalen van sensitivity labels..." -ForegroundColor Gray
$labels = Get-Label -ErrorAction SilentlyContinue
$result.HasSensitivity = ($labels -ne $null -and $labels.Count -gt 0)
Write-Host "Ophalen van DLP-beleid..." -ForegroundColor Gray
$dlpPolicies = Get-DlpCompliancePolicy -ErrorAction SilentlyContinue
$result.HasDlpPolicy = ($dlpPolicies -ne $null -and $dlpPolicies.Count -gt 0)
Write-Host "Ophalen van retentie- en records management policies..." -ForegroundColor Gray
$retentionPolicies = Get-RetentionCompliancePolicy -ErrorAction SilentlyContinue
$labelPolicies = Get-LabelPolicy -ErrorAction SilentlyContinue
$result.HasRetention = (
($retentionPolicies -ne $null -and $retentionPolicies.Count -gt 0) -or
($labelPolicies -ne $null -and $labelPolicies.Count -gt 0)
)
if (-not $result.HasSensitivity) {
$result.Findings += "Er zijn geen sensitivity labels gevonden. Definieer ten minste basislabels zoals 'Intern', 'Vertrouwelijk' en 'Zeer Vertrouwelijk – Persoonsgegevens'."
}
if (-not $result.HasDlpPolicy) {
$result.Findings += "Er is geen DLP-beleid aangetroffen. Richt DLP-beleid in voor persoonsgegevens en andere gevoelige gegevenscategorieën."
}
if (-not $result.HasRetention) {
$result.Findings += "Er zijn geen retentie- of records management policies gevonden. Stel bewaartermijnen in die aansluiten op Archiefwet en AVG."
}
}
$result.IsCompliant = $result.HasSensitivity -and $result.HasDlpPolicy -and $result.HasRetention
Write-Host "`nResultaat privacy by design-controle:" -ForegroundColor Cyan
Write-Host (" Sensitivity labels aanwezig : {0}" -f $result.HasSensitivity) -ForegroundColor White
Write-Host (" DLP-beleid aanwezig : {0}" -f $result.HasDlpPolicy) -ForegroundColor White
Write-Host (" Retentie/records policies aanwezig: {0}" -f $result.HasRetention) -ForegroundColor White
if ($result.IsCompliant) {
Write-Host "`n[OK] Kernbouwstenen van privacy by design zijn aanwezig." -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] Een of meer kernbouwstenen ontbreken of zijn niet actief." -ForegroundColor Red
if ($result.Findings.Count -gt 0) {
Write-Host "Details:" -ForegroundColor Yellow
foreach ($finding in $result.Findings) {
Write-Host " - $finding" -ForegroundColor Yellow
}
}
}
return $result
}
catch {
Write-Host "`n[FAIL] Fout tijdens monitoring: $_" -ForegroundColor Red
throw
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Geeft remediatie-advies voor privacy by design in Microsoft 365.
.DESCRIPTION
Voert zelf geen grootschalige wijzigingen door, maar geeft beheerders concrete aanwijzingen
en voorbeeldcmdlets om sensitivity labels, DLP-beleid en retentieregels in te richten.
#>
[CmdletBinding()]
param()
try {
if ($DebugMode) {
Write-Host "DebugMode: remediatiestappen worden alleen als voorbeeld getoond, er worden geen verbindingen gemaakt." -ForegroundColor Yellow
}
else {
Connect-PrivacyComplianceServices
}
Write-Host "`nRemediatie-advies: Privacy by Design in Microsoft 365" -ForegroundColor Cyan
Write-Host "`n1. Sensitivity labels" -ForegroundColor White
Write-Host " - Definieer een set basislabels (bijvoorbeeld 'Intern', 'Vertrouwelijk', 'Zeer Vertrouwelijk – Persoonsgegevens')." -ForegroundColor Gray
Write-Host " - Voorbeeld (vereenvoudigd):" -ForegroundColor Gray
Write-Host " New-Label -Name 'NBVC-Vertrouwelijk' -Tooltip 'Vertrouwelijke interne informatie' -Comment 'Basisklasse voor vertrouwelijke documenten' " -ForegroundColor DarkGray
Write-Host "`n2. DLP-beleid voor persoonsgegevens" -ForegroundColor White
Write-Host " - Richt DLP-beleid in voor gevoelige gegevens, afgestemd op Nederlandse context (bijvoorbeeld BSN, gezondheidsgegevens)." -ForegroundColor Gray
Write-Host " - Voorbeeld (vereenvoudigd):" -ForegroundColor Gray
Write-Host " New-DlpCompliancePolicy -Name 'NBVC-DLP-Persoonsgegevens' -Mode TestWithoutNotifications" -ForegroundColor DarkGray
Write-Host "`n3. Retentie- en records management" -ForegroundColor White
Write-Host " - Definieer bewaartermijnen per informatieklasse in lijn met Archiefwet en intern beleid." -ForegroundColor Gray
Write-Host " - Voorbeeld (vereenvoudigd):" -ForegroundColor Gray
Write-Host " New-RetentionCompliancePolicy -Name 'NBVC-Retention-Algemeen' -ExchangeLocation All -SharePointLocation All" -ForegroundColor DarkGray
if ($WhatIf) {
Write-Host "`nWhatIf: bovenstaande voorbeelden tonen welke acties u zou kunnen uitvoeren. Er zijn geen wijzigingen toegepast." -ForegroundColor Yellow
}
else {
Write-Host "`nLet op: pas bovenstaande voorbeeldcommando's alleen toe na interne afstemming, change-goedkeuring en testen in een acceptatieomgeving." -ForegroundColor Yellow
}
}
catch {
Write-Host "`n[FAIL] Fout tijdens remediatie-ondersteuning: $_" -ForegroundColor Red
throw
}
}
try {
if ($Monitoring) {
$monitorResult = Invoke-Monitoring
if ($monitorResult.IsCompliant) {
exit 0
}
else {
exit 1
}
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
Write-Host "Beschikbare parameters:" -ForegroundColor Yellow
Write-Host " -Monitoring : Controleer de aanwezigheid van kernbouwstenen van privacy by design" -ForegroundColor Gray
Write-Host " -Remediation : Toon remediatie-advies en voorbeeldcmdlets" -ForegroundColor Gray
Write-Host " -DebugMode : Voer een veilige lokale test uit zonder cloudverbinding" -ForegroundColor Gray
Write-Host " -WhatIf : Toon remediatievoorbeelden zonder uitvoer" -ForegroundColor Gray
Write-Host "`nVoorbeeld: .\privacy-by-design-principles.ps1 -Monitoring -DebugMode" -ForegroundColor Cyan
}
}
catch {
Write-Error "Scriptuitvoering is mislukt: $_"
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
# Exitcodes:
# 0 = Compliant
# 1 = Niet compliant
# 2 = Fout tijdens uitvoering
Risico zonder implementatie
Risico zonder implementatie
High: Zonder expliciete en aantoonbare toepassing van privacy by design in Microsoft 365 blijft onduidelijk of de organisatie voldoet aan artikel 25 AVG en BIO-eisen. Dit vergroot de kans op datalekken, correctieve maatregelen van toezichthouders en structurele reputatieschade bij burgers en politiek.
Management Samenvatting
Vertaal privacy-by-designprincipes naar concrete instellingen in Microsoft 365, zoals sensitivity labels, DLP-beleid, bewaartermijnen en streng toegangsbeheer voor gevoelige omgevingen. Borg deze keuzes in governance, documentatie en PowerShell-gebaseerde monitoring, zodat de organisatie aantoonbaar voldoet aan AVG, BIO en NIS2.
- Implementatietijd: 140 uur
- FTE required: 0.3 FTE