BIO 12.04.03 ISO A.18.1.3

Teams Channel Messages 7-Jaar Retentiebeleid

πŸ“… 2025-10-30
β€’
⏱️ 7 minuten lezen
β€’
πŸ”΄ Must-Have

πŸ’Ό Management Samenvatting

7-jaar retentiebeleid voor Teams Channel Messages is VERPLICHT onder BIO en andere Nederlandse compliance vereisten om alle zakelijke communicatie te bewaren voor juridische, audit en compliance doeleinden.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
6u (tech: 2u)
Van toepassing op:
βœ“ Microsoft Teams
βœ“ Microsoft 365

WETTELIJKE BEWAARPLICHT: BIO (Baseline Informatiebeveiliging Overheid) vereist 7 jaar bewaarplicht voor zakelijke communicatie inclusief Teams messages. Dit komt voort uit: Archiefwet 1995, Algemene wet bestuursrecht, Fiscale wetgeving (belastingdienst 7 jaar), Burgerlijk Wetboek (contracten, bewijslast). BEDRIJFSRISICO'S ZONDER RETENTION: JURIDISCHE RISICO'S: Litigation hold violations (kunnen niet voldoen aan bewaarplichten bij rechtszaken), Bewijs verlies voor contractdisputes (Teams messages kunnen legal evidence zijn), Regulatory fines voor non-compliance (BIO violations). compliance schendingen: BIO audit failures (overheid moet 7 jaar kunnen aantonen), ISO 27001 A.18.1.3 violations, AVG violations bij data subject requests (moet historische data kunnen produceren). bedrijfscontinuΓ―teit: Knowledge loss (belangrijke beslissingen/context verloren), audittrail gaps (kan niet reconstrueren wat er gebeurde), Employee disputes (geen bewijs van communicatie). TEAMS CHANNEL MESSAGES SCOPE: Dit omvat: Alle berichten in Standard/Private channels, Replies en threads, @mentions en reactions, Shared files references (NOT files themselves - separate retention), Meeting chat (if in channel), Bot/app messages. NIET INBEGREPEN: Private chat messages (separate retentiebeleid needed), Files/attachments (SharePoint retention), Meeting recordings (separate retention). Standaard TEAMS BEHAVIOR (ZONDER POLICY): Teams messages worden INDEFINITELY bewaard (totdat handmatig verwijderd), Maar: gebruikers kunnen delete messages (compliance risk), No guaranteed retention, No legal hold capability. MET 7-JAAR retentiebeleid: Messages LOCKED voor deletion tijdens retentieperiode, nadat 7 years: Auto-delete (compliance met data minimization), Legal hold: Can suspend deletion voor litigation, Immutable: Users kan niet bypass.

PowerShell Modules Vereist
Primary API: Microsoft Graph / Compliance Center
Connection: Connect-IPPSSession
Required Modules: ExchangeOnlineManagement

Implementatie

Implementeer Microsoft Purview retentiebeleid: TYPE: retentiebeleid voor Teams channel messages, SCOPE: Organization-wide of specific teams, retentieperiode: 7 jaar (2555 dagen), DELETE ACTION: nadat 7 years - automatische deletion, RETENTION LOCK: optioneel maar aanbevolen (Voorkomt dat policy modification). TECHNICAL DETAILS: Policy location: Microsoft Purview compliance portal β†’ Data lifecycle management β†’ retentiebeleid, Backend: Exchange Online store (Teams messages backed door Exchange), Enforcement: Immediate voor nieuwe messages, retroactive voor existing messages, opslag: Hidden folder in Exchange (niet zichtbaar voor users). BELANGRIJKE OVERWEGINGEN: opslag KOSTEN: 7 jaar Teams messages kan significant opslag vereisen (plan capacity), PERFORMANCE: Large retention kan search/eDiscovery impact (indexing overhead), LEGAL HOLD: Voor litigation - suspend auto-delete via eDiscovery hold, DATA MINIMIZATION (AVG): nadat 7 jaar MOET data deleted (not indefinitely), MULTIPLE POLICIES: Als multiple policies toepassen - meeste restrictive wins. TESTING: Maak aan Test team β†’ Post messages β†’ Verifieer retention applied (can take 24 hours), Attempt to delete message β†’ zou moeten be preserved/restored, nadat policy delete: Message zou moeten be permanent removed nadat 7 years.

Vereisten

Voor implementatie van 7-jaar Teams retention:

  1. Microsoft 365 E3 of E5 licentie (E5 voor geavanceerd retention features)
  2. Compliance Administrator of Organization Management rol
  3. Microsoft Purview compliance portal access
  4. PowerShell: ExchangeOnlineManagement module
  5. opslag capacity planning: Estimate 7 years of Teams data volume
  6. Legal review: Confirm 7 jaar is appropriate retentieperiode
  7. User communication: Inform users messages zijn retained 7 jaar

Implementatie

via Microsoft Purview compliance portal (aanbevolen):

  1. Navigate to: compliance.microsoft.com
  2. Solutions β†’ Data lifecycle management β†’ retentiebeleid
  3. Maak aan retentiebeleid β†’ Name: 'Teams Channel Messages - 7 Jaar BIO'
  4. Choose locations: Teams channel messages (schakel in)
  5. Decide: alle teams of specific teams (meestal alle teams)
  6. Retention settings: Retain items voor 7 years, nadat retentieperiode: Delete automatically
  7. Review en create
  8. Policy takes effect: binnen 24 hours (propagation time)

Gebruik PowerShell-script retention-teams-channel.ps1 (functie Invoke-Remediation) – PowerShell automation voor retentiebeleid creation/verification.

via PowerShell (geavanceerd):

  1. Connect-IPPSSession
  2. New-RetentionCompliancePolicy -Name 'Teams 7 Year Retention' -TeamsChannelLocation All
  3. New-RetentionComplianceRule -Policy 'Teams 7 Year Retention' -RetentionDuration 2555 -RetentionComplianceAction KeepAndDelete
  4. Verify: Get-RetentionCompliancePolicy | Where-Object {$_.Name -like '*Teams*'}

monitoring

Gebruik PowerShell-script retention-teams-channel.ps1 (functie Invoke-Monitoring) – Verifieer 7-year retentiebeleid is active en afgedwongen.

Continue monitoring:

  1. Policy status: compliance.microsoft.com β†’ retentiebeleid β†’ Status zou moeten be 'On (active)'
  2. Coverage: Verifieer alle teams are included in policy scope
  3. opslag growth: monitoren Exchange Online opslag usage (Teams messages count toward mailbox quota)
  4. Policy conflicts: Controleer voor multiple policies affecting same content (most restrictive wins)
  5. Deletion queue: nadat 7 years - Verifieer messages are being auto-deleted (data minimization)
  6. Legal holds: Volg enige litigation holds die suspend auto-deletion

Compliance en Auditing

Deze control voldoet aan:

  1. BIO Thema 12.04 & 18.03 - Logging en bewaarplicht: 7 jaar retention VERPLICHT
  2. Archiefwet 1995 - Bewaarplicht overheidscommunicatie
  3. ISO 27001 A.18.1.3 - Bescherming van gegevens: Retention compliance
  4. AVG Artikel 5 - Data minimization: Auto-delete nadat 7 jaar
  5. Fiscale wetgeving - 7 jaar bewaarplicht zakelijke communicatie
  6. Burgerlijk Wetboek - Bewijs contracten en overeenkomsten

Remediatie

Gebruik PowerShell-script retention-teams-channel.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Retention Policy Teams Channel Messages 7 Jaar .DESCRIPTION Configures 7-year retention policy for Teams Channel Messages. Essential for compliance with Dutch legal requirements. .NOTES Filename: retention-teams-channel.ps1 Author: Nederlandse Baseline voor Veilige Cloud .EXAMPLE .\retention-teams-channel.ps1 -Monitoring Check if 7-year retention is configured #> #Requires -Version 5.1 #Requires -Modules ExchangeOnlineManagement [CmdletBinding()] param( [Parameter(Mandatory = $false)] [switch]$Monitoring, [Parameter(Mandatory = $false)] [switch]$Remediation, [Parameter(Mandatory = $false)] [switch]$Revert, [switch]$WhatIf ) $ErrorActionPreference = 'Stop' $script:RetentionDays = 2555 # 7 years $script:RetentionYears = 7 Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Retention Policy Teams Channel 7 Jaar" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan function Invoke-Monitoring { try { Write-Host "Connecting to Security & Compliance..." -ForegroundColor Gray Connect-IPPSSession -ShowBanner:$false -ErrorAction Stop Write-Host "Checking retention policies for Teams Channels..." -ForegroundColor Gray $policies = Get-RetentionCompliancePolicy -ErrorAction Stop | Where-Object { $_.TeamsChannelLocation -ne $null } $result = @{ isCompliant = $false total = $policies.Count compliant = 0 } if ($policies.Count -eq 0) { Write-Host " [FAIL] No Teams Channel retention policies" -ForegroundColor Red } else { foreach ($policy in $policies) { $rules = Get-RetentionComplianceRule -Policy $policy.Name -ErrorAction SilentlyContinue $maxDuration = 0 foreach ($rule in $rules) { if ($rule.RetentionDuration) { $duration = [int]$rule.RetentionDuration if ($duration -gt $maxDuration) { $maxDuration = $duration } if ($duration -ge $script:RetentionDays -and $policy.Enabled) { $result.compliant++ $result.isCompliant = $true } } } Write-Host " $($policy.Name): $maxDuration days (~$([math]::Round($maxDuration / 365, 1)) years)" -ForegroundColor $( if ($maxDuration -ge $script:RetentionDays) { "Green" } else { "Yellow" } ) } } Write-Host "`n Total: $($result.total) | Compliant: $($result.compliant)" -ForegroundColor Cyan if ($result.isCompliant) { Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green exit 0 } else { Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red exit 1 } } catch { Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red exit 2 } } function Invoke-Remediation { try { Write-Host "Connecting to Security & Compliance..." -ForegroundColor Gray Connect-IPPSSession -ShowBanner:$false -ErrorAction Stop $policyName = "Teams Channel $script:RetentionYears Year Retention - NL Baseline" Write-Host "Creating retention policy for Teams Channels..." -ForegroundColor Gray $policy = New-RetentionCompliancePolicy -Name $policyName ` -Comment "Nederlandse Baseline - 7 jaar Teams channel retention" ` -TeamsChannelLocation All ` -Enabled $true ` -ErrorAction Stop Write-Host " [OK] Policy created" -ForegroundColor Green $rule = New-RetentionComplianceRule -Name "$policyName - Rule" ` -Policy $policyName ` -RetentionDuration $script:RetentionDays ` -RetentionComplianceAction Keep ` -ErrorAction Stop Write-Host " [OK] Rule created" -ForegroundColor Green Write-Host "`n[OK] 7-year retention configured for Teams Channels" -ForegroundColor Green exit 0 } catch { Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red exit 2 } } function Invoke-Revert { try { Connect-IPPSSession -ShowBanner:$false -ErrorAction Stop $policyName = "Teams Channel $script:RetentionYears Year Retention - NL Baseline" $policy = Get-RetentionCompliancePolicy -Identity $policyName -ErrorAction SilentlyContinue if ($policy) { Remove-RetentionCompliancePolicy -Identity $policyName -Confirm:$false -ErrorAction Stop Write-Host " [OK] Policy removed" -ForegroundColor Yellow } exit 0 } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } try { if ($Revert) { Invoke-Revert } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { Write-Host "Use: -Monitoring | -Remediation | -Revert" -ForegroundColor Yellow } } catch { throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: HOOG COMPLIANCE RISICO: Zonder 7-jaar retention: BIO violations (verplicht voor overheid), Litigation risks (kunnen niet voldoen aan bewijsplicht), Regulatory fines, Audit failures. 7-jaar retention is WETTELIJKE VERPLICHTING in Nederland.

Management Samenvatting

Implementeer 7-jaar retentiebeleid voor Teams Channel Messages. VERPLICHT onder BIO, Archiefwet, fiscale wetgeving. Auto-delete nadat 7 jaar (AVG data minimization). Voldoet aan BIO 12.04, ISO 27001 A.18.1.3. Implementatie: 2-6 uur. MANDATORY COMPLIANCE CONTROL.