đź’Ľ Management Samenvatting
Een digitale soevereiniteitsstrategie voor Microsoft 365 en Azure bepaalt in welke mate een Nederlandse overheidsorganisatie de regie behoudt over data, infrastructuur en kritieke processen wanneer deze in de publieke cloud worden ondergebracht. Het gaat daarbij niet om volledige technologische onafhankelijkheid, maar om het borgen van publieke waarden zoals continuĂŻteit, rechtmatigheid, transparantie en democratische controle in een omgeving die grotendeels door internationale leveranciers wordt beheerd.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
140u (tech: 50u)
Van toepassing op:
âś“ Rijksoverheid
âś“ Gemeenten
âś“ Provincies
âś“ Waterschappen
âś“ ZBO's
âś“ Vitale aanbieders
âś“ Gemeenten
âś“ Provincies
âś“ Waterschappen
âś“ ZBO's
âś“ Vitale aanbieders
Zonder expliciete digitale soevereiniteitsstrategie worden cloudbeslissingen vaak gedreven door functionaliteit, kosten of korte-termijnprojectdoelen. Dat leidt tot sluipende afhankelijkheid van een beperkt aantal leveranciers, onduidelijkheid over waar data feitelijk wordt opgeslagen en verwerkt, en beperkte handelingsvrijheid bij incidenten, geopolitieke spanningen of wijzigingen in contractvoorwaarden. Voor Nederlandse overheidsorganisaties kan dit resulteren in situaties waarin cruciale dienstverlening stilvalt bij een cloudstoring, waarin niet kan worden voldaan aan eisen uit BIO, NIS2 of AVG omdat dataresidentie of toegang door derden onvoldoende is afgedekt, of waarin een migratie naar een alternatieve oplossing praktisch onhaalbaar blijkt. Daarnaast neemt de inzet van generatieve AI‑diensten binnen Microsoft 365 en Azure snel toe, waardoor vragen over datagebruik, modeltraining en extraterritoriale wetgeving nog urgenter worden. Een doordachte digitale soevereiniteitsstrategie maakt deze risico’s expliciet, vertaalt ze naar concrete kaders en creëert daarmee bestuurlijke en operationele voorspelbaarheid.
PowerShell Modules Vereist
Primary API: Microsoft Graph, Microsoft 365 Admin Center, Microsoft Purview
Connection:
Required Modules: Microsoft.Graph
Connection:
Microsoft Graph PowerShell, Security & Compliance PowerShellRequired Modules: Microsoft.Graph
Implementatie
Dit artikel beschrijft hoe u een digitale soevereiniteitsstrategie voor Microsoft 365 en Azure ontwerpt, bestuurlijk verankert en technisch vertaalt naar concrete architectuur- en configuratiekeuzes. Eerst wordt het concept digitale soevereiniteit geplaatst in de context van Nederlandse wet- en regelgeving en bestaande kaders zoals de BIO, AVG, NIS2 en rijksbrede beleidskaders rond cloud en dataresidentie. Vervolgens komt de uitwerking aan bod: hoe formuleren bestuur, CIO, CISO en architecten gezamenlijke uitgangspunten voor dataresidentie, leveranciersafhankelijkheid, inzet van de EU Data Boundary en exit‑scenario’s voor Microsoft 365‑ en Azure‑diensten? Daarna wordt beschreven hoe deze uitgangspunten worden verankerd in architectuurprincipes, landing zones, tenantconfiguratie en contracten, zodat digitale soevereiniteit geen papieren ambitie blijft maar zichtbaar wordt in de inrichting van de cloudomgeving. Tot slot laat het artikel zien hoe u met behulp van het gekoppelde PowerShell‑script periodiek een lichte beoordeling kunt uitvoeren van tenantinstellingen en documentatie, zodat bestuurders en auditors een objectief beeld krijgen van de feitelijke stand van zaken.
Digitale soevereiniteit in de Nederlandse publieke cloudcontext
Digitale soevereiniteit wordt in de Nederlandse publieke sector steeds vaker genoemd in beleidsnota's, kamerbrieven en strategiedocumenten over cloudgebruik. Waar de eerste generatie cloudstrategieën vooral draaide om kostenbesparing en flexibiliteit, verschuift de aandacht nu naar de vraag in hoeverre de overheid zelf de regie houdt over haar digitale kerninfrastructuur. In de praktijk betekent dit dat bestuurders willen weten welke data zich in welke regio bevindt, welke jurisdicties van toepassing zijn, hoe eenvoudig zij kunnen overstappen naar alternatieve oplossingen en hoe transparant leveranciers zijn over hun technische en organisatorische maatregelen. Microsoft 365 en Azure staan hierbij centraal, omdat zij in veel organisaties de ruggengraat vormen voor samenwerking, identiteit, dataopslag en bedrijfsapplicaties. Zonder expliciete soevereiniteitskaders zullen implementaties grotendeels worden bepaald door standaardinstellingen en commerciële mogelijkheden van het platform, in plaats van door publieke waarden en nationale belangen.
De juridische en normatieve basis voor digitale soevereiniteit ligt in een combinatie van Europese en nationale kaders. De AVG stelt strikte eisen aan de bescherming en doorgifte van persoonsgegevens, inclusief gebruik van verwerkers buiten de EU en passende waarborgen voor internationale dataoverdrachten. De NIS2‑richtlijn en de Nederlandse implementatie daarvan leggen aanvullende verplichtingen op aan vitale en belangrijke entiteiten rond risicobeheer, ketenafhankelijkheden en rapportage van incidenten. De BIO vertaalt algemene informatiebeveiligingsprincipes naar concrete beheersmaatregelen voor de overheid, met nadruk op continuïteit, uitbesteding en ketenbeheer. Daarnaast formuleren rijk en koepelorganisaties (zoals VNG en UvW) beleidsambities rond digitale autonomie, Europese cloudcapaciteit en het voorkomen van ongewenste afhankelijkheden. Een digitale soevereiniteitsstrategie voor Microsoft 365 en Azure fungeert als brug tussen deze kaders en de dagelijkse praktijk van tenantbeheer, architectuur en inkoop.
Voor een concrete uitwerking is het nuttig om digitale soevereiniteit langs drie dimensies te analyseren. De eerste dimensie is data‑soevereiniteit: zicht en zeggenschap over de locaties waar data wordt opgeslagen en verwerkt, de gebruikte encryptie en sleutelbeheermechanismen en de vraag onder welke jurisdicties toegang tot die data kan worden afgedwongen. De tweede dimensie is operationele soevereiniteit: het vermogen om kritieke processen voort te zetten bij storingen, geschillen of wijzigingen door de leverancier, inclusief reële mogelijkheden voor exit, migratie en multi‑cloudstrategieën. De derde dimensie is beslissingssoevereiniteit: de borging dat keuzes over architectuur, configuratie, integraties en gebruik van nieuwe diensten (zoals AI‑features in Microsoft 365) transparant, herleidbaar en democratisch gelegitimeerd zijn. Door de huidige Microsoft‑cloudomgeving langs deze drie dimensies te beoordelen, wordt zichtbaar waar bestaande maatregelen al bijdragen en waar gerichte versterking nodig is.
Strategische uitgangspunten en governance voor soeverein cloudgebruik
Een digitale soevereiniteitsstrategie voor Microsoft 365 en Azure begint met het formuleren van heldere uitgangspunten op bestuurlijk niveau. Bestuur, directie en CIO bepalen gezamenlijk welke typen data en processen als strategisch of kritiek worden aangemerkt, welke mate van leveranciersafhankelijkheid acceptabel is en onder welke voorwaarden publieke data buiten de Europese Economische Ruimte mag worden opgeslagen of verwerkt. Deze uitgangspunten worden vastgelegd in een formeel vastgesteld beleidsdocument of in een hoofdstuk binnen de cloud- of datastrategie. Voorbeelden van dergelijke uitgangspunten zijn: 'Kritieke registraties en identiteitsvoorzieningen worden uitsluitend gehost in EU‑datacenters', 'Encryptiesleutels voor zeer gevoelige datasets blijven onder beheer van de organisatie', of 'Nieuwe SaaS‑diensten op het Microsoft‑platform worden alleen ingezet als exit‑mogelijkheden aantoonbaar zijn uitgewerkt'. Door deze principes expliciet te maken, ontstaat een toetsingskader waarlangs projecten, aanbestedingen en technische ontwerpen kunnen worden gelegd.
Governance rondom digitale soevereiniteit vraagt om een nauwe samenwerking tussen CISO, Chief Data Officer, architectuur, juridische dienst, inkoop en lijnmanagement. In plaats van losse beoordelingen per project wordt gewerkt met een herbruikbaar beoordelingskader dat onderdeel vormt van projectstartarchitecturen, changeprocedures en aanbestedingsdocumenten. Dit kader bevat concrete beoordelingsvragen, zoals: 'In welke regio's worden gegevens opgeslagen en verwerkt?', 'Welke subverwerkers zijn betrokken en welke jurisdicties zijn van toepassing?', 'Welke migratiepaden zijn beschikbaar bij beëindiging van de dienst?', en 'Welke aanvullende maatregelen zijn nodig voor zeer gevoelige of staatsgeheime informatie?'. De uitkomsten worden samengevat in een soevereiniteitsparagraaf in besluitvormingsdocumenten, zodat bestuurders expliciet kunnen kiezen om onder voorwaarden akkoord te gaan, aanvullende maatregelen te eisen of een alternatieve oplossing te verkennen. Door deze werkwijze structureel te borgen, wordt digitale soevereiniteit een integraal onderdeel van de governance in plaats van een eenmalige exercitie.
Een belangrijk spanningsveld ligt tussen standaardisatie en flexibiliteit. Volledige vrijheid voor teams om zelfstandig cloudoplossingen te kiezen kan leiden tot een onoverzichtelijk landschap met uiteenlopende contracten, beveiligingsniveaus en afhankelijkheden, waardoor de feitelijke soevereiniteit afneemt. Aan de andere kant kan een te rigide keuze voor één leverancier zonder heldere kaders de afhankelijkheid juist ongewenst vergroten. Een pragmische benadering is om per domein (samenwerking, identiteitsbeheer, data‑analytics, applicatiehosting, AI‑diensten) één of enkele voorkeursplatformen aan te wijzen – zoals Microsoft 365 en Azure – en daarbinnen scherpe soevereiniteitsprincipes en architectuurpatronen te hanteren. Afwijkingen zijn alleen mogelijk via een formeel besluit en worden expliciet gedocumenteerd. Hierdoor kan de organisatie profiteren van de schaal en functionaliteit van het Microsoft‑ecosysteem, terwijl tegelijkertijd wordt gestuurd op beheersbare afhankelijkheden en uitlegbare keuzes richting politiek en toezichthouders.
Architectuur- en configuratiekeuzes in Microsoft 365 en Azure
De vertaalslag van strategie naar praktijk begint bij de manier waarop tenants, abonnementen en landing zones worden ontworpen. Voor Microsoft 365 betekent dit onder meer dat de organisatie vastlegt in welke geografische regio's tenants worden aangemaakt, hoe eventuele multi‑geo configuraties worden ingezet en hoe de EU Data Boundary‑opties van Microsoft worden benut. In Azure gaat het om het definiëren van standaardregio's voor workloads, het inzetten van Azure Policy om ongewenste regio's te blokkeren en het afdwingen van encryptie‑instellingen en klantbeheerde sleutels voor gevoelige workloads. Deze keuzes worden vastgelegd in referentiearchitecturen en landing zone‑templates, zodat nieuwe projecten automatisch binnen de soevereiniteitskaders starten. Architectuurdocumenten beschrijven expliciet welke onderdelen van de stack als strategisch worden beschouwd (bijvoorbeeld identity, logging, centrale integratie‑hubs) en onder welke voorwaarden deze in de Microsoft‑cloud draaien of juist on‑premises of in een andere omgeving worden geplaatst.
Naast geografische keuzes spelen ook configuratie‑instellingen binnen Microsoft 365 een belangrijke rol. Denk aan tenantinstellingen voor dataresidentie en opslaglocaties, configuratie van Microsoft Purview voor data‑classificatie en governance, het inzetten van Customer Key of dubbele encryptie voor zeer gevoelige gegevens, en het beperken van cross‑tenantsharing en federatie naar externe partijen. Identity‑configuratie met Microsoft Entra ID bepaalt in hoge mate wie toegang heeft tot welke clouddiensten en vanuit welke netwerken of apparaten. Door policy‑gestuurde configuratiemodellen (bijvoorbeeld via Conditional Access, beveiligingsbaselines en Intune‑beleid) te combineren met strikte rol‑ en taakverdeling in beheerteams, wordt voorkomen dat individuele wijzigingen op ad‑hocbasis de soevereiniteitskaders ondermijnen. Logging en monitoring – via bijvoorbeeld unified audit logging, Defender‑signalen en Azure Monitor – worden zo ingericht dat afwijkingen van afgesproken kaders tijdig worden gesignaleerd.
Voor operationele soevereiniteit zijn exit‑ en migratiescenario's cruciaal. Architecturen en configuraties moeten vanaf het ontwerp rekening houden met de mogelijkheid dat bepaalde diensten op termijn worden vervangen of dat een organisatie overstapt naar een alternatief platform. Dit betekent onder meer dat waar mogelijk gebruik wordt gemaakt van open standaarden en exportformaten, dat configuratie‑ en infrastructuurcode wordt beheerd in versiebeheersystemen en dat integraties niet onnodig afhankelijk worden gemaakt van propriëtaire extensies. Voor Microsoft 365 kan dit bijvoorbeeld betekenen dat kritieke configuraties (zoals policies, labels en groepen) via PowerShell‑scripts worden geëxporteerd en gedocumenteerd, zodat een reconstructie of migratie haalbaar blijft. In Azure zorgen landing zones en Infrastructure as Code ervoor dat omgevingen reproduceerbaar zijn en niet vastzitten aan handmatig geconfigureerde resources. Door exit‑vereisten vroegtijdig mee te nemen in ontwerpbeslissingen, wordt voorkomen dat soevereiniteit pas ter sprake komt wanneer de afhankelijkheid al feitelijk onomkeerbaar is.
Contracten, leveranciersketen en toezicht
Digitale soevereiniteit kan niet uitsluitend via techniek worden gerealiseerd; contracten en leveranciersmanagement zijn minstens zo belangrijk. Voor Microsoft 365 en Azure omvat dit onder meer verwerkersovereenkomsten, Data Protection Addenda, specifieke clausules rond dataresidentie en subverwerkers, en afspraken over transparantie bij wijzigingen in diensten of datacenterlocaties. In aanbestedingen en contractverlengingen wordt vastgelegd welke rapportages en auditmogelijkheden de leverancier biedt, hoe snel de organisatie wordt geïnformeerd over relevante wijzigingen en welke ondersteuning beschikbaar is bij migraties of exitscenario's. Daarnaast is het van belang om helder te hebben welke subverwerkers betrokken zijn en welke jurisdicties op hen van toepassing zijn. Dit helpt bij het beoordelen van risico's rond toegang tot data door buitenlandse autoriteiten en het nemen van aanvullende maatregelen, zoals versleuteling met sleutels die uitsluitend onder Nederlands beheer vallen of het beperken van opslag van bepaalde categorieën gegevens tot EU‑datacenters.
De digitale toeleveringsketen reikt verder dan de primaire Microsoft‑relatie. Veel organisaties gebruiken aanvullende SaaS‑oplossingen die integreren met Microsoft 365 of Azure, zoals security tooling, archiefoplossingen, e‑discovery‑platformen of productiviteitsapps. Elk van deze diensten introduceert nieuwe datastromen, afhankelijkheden en potentieel aanvullende jurisdicties. Een digitale soevereiniteitsstrategie vereist daarom dat ook deze ketenpartners worden beoordeeld op dataresidentie, exit‑mogelijkheid en contractuele waarborgen. Dit kan worden vormgegeven via een gestandaardiseerde leveranciersbeoordeling waarin vragen over soevereiniteit expliciet zijn opgenomen. De resultaten worden vastgelegd in een leveranciersregister dat wordt gebruikt bij risicobeoordelingen, audits en rapportages aan bestuurders. Op die manier ontstaat een integraal beeld van de digitale keten waarin Microsoft 365 en Azure een centrale maar niet enige rol spelen.
Toezicht en verantwoording zijn tot slot essentieel om digitale soevereiniteit levend te houden. Interne audit, controllers, CISO‑office en externe toezichthouders (zoals de Autoriteit Persoonsgegevens of sectorale autoriteiten) zullen vragen hoe de organisatie aantoont dat zij passende maatregelen heeft getroffen en de regie behoudt. Dit vraagt om een combinatie van documentatie (beleid, architectuurprincipes, contracten), meetbare indicatoren (bijvoorbeeld het percentage workloads dat in EU‑regio's draait, het aantal leveranciers met uitgewerkte exitplannen, de dekking van encryptie‑maatregelen) en periodieke beoordelingen. Het gekoppelde PowerShell‑script kan worden ingezet om herhaalbaar informatie te verzamelen over tenantinstellingen en aanwezigheid van kernstukken in de repository, zodat auditors niet alleen beleidsintenties zien maar ook een beeld krijgen van de operationele realiteit. Door de resultaten van deze beoordelingen systematisch te bespreken in governance‑gremia, blijft digitale soevereiniteit een terugkerend thema in plaats van een eenmalig project.
Beoordeling, monitoring en continue verbetering van soevereiniteitskaders
Gebruik PowerShell-script digital-sovereignty-strategy.ps1 (functie Invoke-DigitalSovereigntyStrategyAssessment) – Voert een lichte beoordeling uit van digitale soevereiniteitskaders voor Microsoft 365 en Azure op basis van tenantinstellingen en documentatie in de repository, met een DebugMode voor veilig lokaal testen..
Digitale soevereiniteit is geen statisch doel maar een continu proces van beoordelen, bijsturen en verbeteren. Nieuwe diensten in Microsoft 365 en Azure, wijzigingen in licentiemodellen, introductie van AI‑functionaliteit en veranderende wet- en regelgeving kunnen de risicobalans snel veranderen. Daarom is het noodzakelijk om op vaste momenten – bijvoorbeeld jaarlijks, bij grote cloudmigraties en bij belangrijke beleidswijzigingen – expliciet te toetsen of de digitale soevereiniteitsstrategie nog aansluit bij de werkelijkheid. Een praktische aanpak is om een beknopt beoordelingskader te hanteren waarin kernvragen over dataresidentie, exit‑scenario's, contractuele waarborgen en governance worden beantwoord, ondersteund door concrete feiten uit de tenant en de documentatierepository. De uitkomst wordt vastgelegd in een kort rapport dat zowel de sterke punten als de belangrijkste verbeterpunten benoemt, inclusief voorgestelde maatregelen, verantwoordelijken en doorlooptijden.
Het bijbehorende PowerShell‑script ondersteunt dit proces door een aantal objectieve indicatoren automatisch te verzamelen. In DebugMode genereert het script een voorbeeldrapport op basis van fictieve waarden, zodat architecten, CISO's en auditors de werking kunnen testen zonder verbinding te maken met een productietenant of afhankelijk te zijn van specifieke mappenstructuren. In reguliere modus probeert het script basisinformatie op te halen via Microsoft Graph – zoals de tenant‑regio, het land van registratie en een indicatie van gebruikte datacenterlocaties – en controleert het of in de repository kernbestanden aanwezig zijn die bij een digitale soevereiniteitsstrategie horen, zoals een cloudstrategie met soevereiniteitsparagraaf, beleid voor dataresidentie, een uitgewerkt exitplan en inkoopkaders met expliciete clausules over soevereiniteit. Het script vat deze waarnemingen samen in een overzichtelijk PowerShell‑object met booleans en toelichtende tekst, dat eenvoudig kan worden omgezet naar JSON of worden geïntegreerd in dashboards.
Door dit soort lichte, geautomatiseerde beoordelingen periodiek uit te voeren en de resultaten te koppelen aan bestaande governance‑processen – zoals de informatiebeveiligingsboard, het portfoliomanagementoverleg of executive security briefings – ontstaat een cultuur van continue verbetering. Bestuurders en directies zien niet alleen beleidsdocumenten, maar ook feitelijke indicatoren over waar de organisatie staat ten opzichte van haar eigen soevereiniteitsambities. Securityteams en architecten krijgen concrete handvatten om verbeteringen te prioriteren en kunnen richting leveranciers onderbouwd het gesprek voeren over aanvullende waarborgen of contractuele aanpassingen. Zo wordt een digitale soevereiniteitsstrategie voor Microsoft 365 en Azure geen eenmalig document in een la, maar een levend sturingsinstrument dat aantoonbaar bijdraagt aan de weerbaarheid en legitimiteit van digitale overheidsdienstverlening.
Compliance & Frameworks
- BIO: 8.01, 8.02, 9.01, 12.01, 15.01 - Verbindt digitale soevereiniteit aan uitbesteding, ketenbeheer, informatiebeveiliging en continuĂŻteit in de Baseline Informatiebeveiliging Overheid.
- ISO 27001:2022: A.5.19, A.5.23, A.5.36, A.8.1 - Ondersteunt governance van leveranciersrelaties, informatie in de leveringsketen en eigendom en classificatie van informatie in cloudomgevingen.
- NIS2: Artikel - Benadrukt risicogebaseerde beveiligingsmaatregelen, uitbesteding en ketentransparantie voor essentiële en belangrijke entiteiten, inclusief afhankelijkheden van cloudproviders.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Beoordeling van digitale soevereiniteitskaders voor Microsoft 365 en Azure.
.DESCRIPTION
Dit script ondersteunt Nederlandse overheidsorganisaties bij een lichte, herhaalbare
beoordeling van digitale soevereiniteit specifiek voor Microsoft 365 en Azure.
Het combineert twee perspectieven:
1. Tenantinformatie via Microsoft Graph (waar beschikbaar), zoals land van registratie
en voorkeursdatalocatie.
2. Aanwezigheid van kernstukken in de repository, zoals strategie-, beleid- en
exitdocumenten rond digitale soevereiniteit.
In DebugMode worden geen cloudverbindingen gemaakt en wordt voorbeelddata
teruggegeven zodat het script veilig lokaal getest kan worden.
.NOTES
Filename: digital-sovereignty-strategy.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-26
Version: 1.0
Related JSON: content/m365/sovereignty/digital-sovereignty-strategy.json
Category: sovereignty
Workload: m365
.EXAMPLE
.\digital-sovereignty-strategy.ps1 -Assessment -DebugMode
Voert een veilige lokale testrun uit zonder verbinding te maken met Microsoft 365.
.EXAMPLE
.\digital-sovereignty-strategy.ps1 -Assessment
Voert een beoordeling uit op basis van tenantinformatie (indien beschikbaar) en
documentatie in de repository.
.EXAMPLE
.\digital-sovereignty-strategy.ps1 -Assessment | ConvertTo-Json -Depth 4
Exporteert het beoordelingsresultaat naar JSON-formaat voor gebruik in rapportages.
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Voer een beoordeling uit van digitale soevereiniteitskaders voor M365/Azure.")]
[switch]$Assessment,
[Parameter(HelpMessage = "Debugmodus: gebruik voorbeelddata en maak geen cloudverbinding.")]
[switch]$DebugMode
)
$ErrorActionPreference = 'Stop'
Write-Host ""
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Digitale soevereiniteitsstrategie (M365)" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
function Get-RepositoryRoot {
<#
.SYNOPSIS
Bepaalt de rootmap van de repository op basis van de locatie van dit script.
#>
[CmdletBinding()]
param()
$root = Resolve-Path (Join-Path $PSScriptRoot "..\..") -ErrorAction SilentlyContinue
if (-not $root) {
throw "Kon de repository-root niet bepalen op basis van PSScriptRoot: $PSScriptRoot"
}
return $root.Path
}
function Get-DigitalSovereigntyStrategyPaths {
<#
.SYNOPSIS
Bepaalt paden voor kernstukken rond digitale soevereiniteit in de repository.
.OUTPUTS
PSCustomObject met padinformatie.
#>
[CmdletBinding()]
param()
$repoRoot = Get-RepositoryRoot
# Standaardlocatie voor documentatie rondom digitale soevereiniteit.
# Organisaties kunnen deze paden indien gewenst aanpassen.
$docsRoot = Join-Path $repoRoot "documentatie\digital-sovereignty"
$strategyPath = Join-Path $docsRoot "cloud-en-datastrategie-digitale-soevereiniteit.md"
$dataResidencyPath = Join-Path $docsRoot "beleid-dataresidentie-en-soevereiniteit.md"
$exitPlanPath = Join-Path $docsRoot "exit-en-migratieplan-cloudvoorzieningen.md"
$procurementPath = Join-Path $docsRoot "inkoopkader-digitale-soevereiniteit.md"
[PSCustomObject]@{
RepositoryRoot = $repoRoot
DocsRoot = $docsRoot
StrategyPath = $strategyPath
DataResidencyPath = $dataResidencyPath
ExitPlanPath = $exitPlanPath
ProcurementPath = $procurementPath
}
}
function Connect-DigitalSovereigntyTenant {
<#
.SYNOPSIS
Maakt verbinding met Microsoft Graph om basis tenantinformatie op te halen.
.DESCRIPTION
Deze functie wordt niet uitgevoerd in DebugMode. In productiemodus worden alleen
leesrechten gebruikt om organisatiegegevens op te halen. Fouten worden gelogd
maar zijn niet fataal voor de beoordeling.
#>
[CmdletBinding()]
param()
if ($DebugMode) {
Write-Host "DebugMode ingeschakeld: er wordt geen verbinding gemaakt met Microsoft Graph." -ForegroundColor Yellow
return
}
Write-Host "Verbinding maken met Microsoft Graph (organisatie-informatie)..." -ForegroundColor Gray
try {
Connect-MgGraph -Scopes "Organization.Read.All","Directory.Read.All" -ErrorAction Stop | Out-Null
}
catch {
Write-Host "Kon geen verbinding maken met Microsoft Graph: $_" -ForegroundColor Yellow
}
}
function Get-DigitalSovereigntyTenantInfo {
<#
.SYNOPSIS
Haalt basisinformatie over de tenant op via Microsoft Graph.
.OUTPUTS
PSCustomObject met tenantinformatie.
#>
[CmdletBinding()]
param()
if ($DebugMode) {
return [PSCustomObject]@{
TenantId = "00000000-0000-0000-0000-000000000000"
DisplayName = "Voorbeeldorganisatie Digitale Soevereiniteit"
Country = "NL"
PreferredLanguage = "nl-NL"
PreferredDataLocation = "EUR"
DataLocationIsEU = $true
Notes = "DebugMode: voorbeelddata, geen echte tenantinformatie."
}
}
try {
$org = Get-MgOrganization -ErrorAction SilentlyContinue | Select-Object -First 1
}
catch {
Write-Host "Kon organisatiegegevens niet ophalen: $_" -ForegroundColor Yellow
$org = $null
}
if (-not $org) {
return [PSCustomObject]@{
TenantId = $null
DisplayName = $null
Country = $null
PreferredLanguage = $null
PreferredDataLocation = $null
DataLocationIsEU = $null
Notes = "Organisatiegegevens konden niet worden opgehaald. Controleer Graph-toegangsrechten."
}
}
$country = $org.CountryLetterCode
if (-not $country -and $org.Country) {
$country = $org.Country
}
$preferredDataLocation = $org.PreferredDataLocation
# Eenvoudige inschatting of de datalocatie binnen de EU valt op basis van landcode.
$euCountries = @(
"AT","BE","BG","HR","CY","CZ","DK","EE","FI","FR","DE","GR","HU",
"IE","IT","LV","LT","LU","MT","NL","PL","PT","RO","SK","SI","ES","SE"
)
$dataLocationIsEU = $null
if ($country) {
$dataLocationIsEU = $euCountries -contains $country
}
return [PSCustomObject]@{
TenantId = $org.Id
DisplayName = $org.DisplayName
Country = $country
PreferredLanguage = $org.PreferredLanguage
PreferredDataLocation = $preferredDataLocation
DataLocationIsEU = $dataLocationIsEU
Notes = "Inschatting op basis van landcode; controleer aanvullende dataresidentie- en EU Data Boundary-documentatie."
}
}
function Invoke-DigitalSovereigntyStrategyAssessment {
<#
.SYNOPSIS
Beoordeelt kernaspecten van digitale soevereiniteit voor Microsoft 365 en Azure.
.OUTPUTS
PSCustomObject met samenvattende status.
#>
[CmdletBinding()]
param()
Write-Host ""
Write-Host "Digitale soevereiniteit – Strategische beoordeling (M365/Azure)" -ForegroundColor Cyan
Write-Host "----------------------------------------------------------------" -ForegroundColor Cyan
if ($DebugMode) {
Write-Host "DebugMode ingeschakeld: er worden geen bestanden of cloudresources gewijzigd." -ForegroundColor Yellow
}
$paths = Get-DigitalSovereigntyStrategyPaths
Write-Host "Repository-root: $($paths.RepositoryRoot)" -ForegroundColor Gray
$tenantInfo = $null
if (-not $DebugMode) {
Connect-DigitalSovereigntyTenant
$tenantInfo = Get-DigitalSovereigntyTenantInfo
}
else {
$tenantInfo = Get-DigitalSovereigntyTenantInfo
}
$summary = [PSCustomObject]@{
DocsRootExists = $false
HasCloudStrategy = $false
HasDataResidencyPolicy = $false
HasExitPlan = $false
HasProcurementGuides = $false
TenantInfo = $tenantInfo
Timestamp = Get-Date
Comments = @()
}
if (Test-Path -Path $paths.DocsRoot) {
$summary.DocsRootExists = $true
}
else {
$summary.Comments += "Documentatiemap voor digitale soevereiniteit ontbreekt (verwacht: $($paths.DocsRoot))."
}
if (Test-Path -Path $paths.StrategyPath) {
$summary.HasCloudStrategy = $true
}
else {
$summary.Comments += "Geen uitgewerkte cloud- en datastrategie met expliciet hoofdstuk over digitale soevereiniteit gevonden."
}
if (Test-Path -Path $paths.DataResidencyPath) {
$summary.HasDataResidencyPolicy = $true
}
else {
$summary.Comments += "Geen afzonderlijk beleid voor dataresidentie en soevereiniteit gevonden."
}
if (Test-Path -Path $paths.ExitPlanPath) {
$summary.HasExitPlan = $true
}
else {
$summary.Comments += "Geen uitgewerkt exit- en migratieplan voor cloudvoorzieningen gevonden."
}
if (Test-Path -Path $paths.ProcurementPath) {
$summary.HasProcurementGuides = $true
}
else {
$summary.Comments += "Geen specifiek inkoopkader met clausules voor digitale soevereiniteit gevonden."
}
Write-Host ""
Write-Host "Samenvatting digitale soevereiniteit (documentatie):" -ForegroundColor Cyan
Write-Host (" Documentatiemap aanwezig : {0}" -f ($summary.DocsRootExists)) -ForegroundColor Cyan
Write-Host (" Cloud- en datastrategie (met soevereiniteit): {0}" -f ($summary.HasCloudStrategy)) -ForegroundColor Cyan
Write-Host (" Beleid dataresidentie en soevereiniteit : {0}" -f ($summary.HasDataResidencyPolicy)) -ForegroundColor Cyan
Write-Host (" Exit- en migratieplan cloudvoorzieningen : {0}" -f ($summary.HasExitPlan)) -ForegroundColor Cyan
Write-Host (" Inkoopkaders digitale soevereiniteit : {0}" -f ($summary.HasProcurementGuides)) -ForegroundColor Cyan
if ($tenantInfo) {
Write-Host ""
Write-Host "Samenvatting tenantinformatie (Graph):" -ForegroundColor Cyan
Write-Host (" Tenantnaam : {0}" -f ($tenantInfo.DisplayName)) -ForegroundColor Cyan
Write-Host (" Land/Regio : {0}" -f ($tenantInfo.Country)) -ForegroundColor Cyan
Write-Host (" Voorkeursdatalocatie : {0}" -f ($tenantInfo.PreferredDataLocation)) -ForegroundColor Cyan
Write-Host (" Inschatting datalocatie binnen EU : {0}" -f ($tenantInfo.DataLocationIsEU)) -ForegroundColor Cyan
}
if ($summary.Comments.Count -eq 0) {
$summary.Comments += "Kernstukken voor digitale soevereiniteit lijken aanwezig. Beoordeel inhoud, actualiteit en dekking ten opzichte van BIO, AVG en NIS2."
}
return $summary
}
try {
if ($Assessment) {
$result = Invoke-DigitalSovereigntyStrategyAssessment
return $result
}
else {
Write-Host ""
Write-Host "Geen modus opgegeven. Gebruik:" -ForegroundColor Yellow
Write-Host " -Assessment Voer een beoordeling uit van kernstukken en tenantinformatie." -ForegroundColor Yellow
Write-Host " -DebugMode Gebruik voorbeelddata voor een veilige lokale test (alleen samen met -Assessment)." -ForegroundColor Yellow
}
}
catch {
Write-Error "Fout in digital-sovereignty-strategy.ps1: $_"
throw
}
finally {
Write-Host ""
Write-Host "========================================" -ForegroundColor Cyan
}
# Exitcodes:
# 0 = Script succesvol uitgevoerd
# 1 = Fout tijdens uitvoering
Risico zonder implementatie
Risico zonder implementatie
High: Zonder samenhangende digitale soevereiniteitsstrategie voor Microsoft 365 en Azure worden keuzes over cloud, dataresidentie en leveranciers grotendeels bepaald door technische mogelijkheden en commerciële randvoorwaarden. Dit vergroot de kans op lock‑in, juridische en geopolitieke risico's, kwetsbare exit‑scenario's en ontoereikende verantwoording richting bestuur en toezichthouders.
Management Samenvatting
Ontwikkel en veranker een digitale soevereiniteitsstrategie die publieke waarden vertaalt naar concrete uitgangspunten, architectuur- en configuratiekeuzes, contractuele waarborgen en periodieke beoordelingen voor Microsoft 365 en Azure. Gebruik het gekoppelde script om op basis van tenantinstellingen en documentatie objectief te toetsen waar de organisatie staat en welke verbeteringen prioriteit hebben.
- Implementatietijd: 140 uur
- FTE required: 0.4 FTE