Hoe beheer je informatie volgens de wet- en regelgeving in de Microsoft Cloud?

Het juist beheren van de informatie en informatiestromen is een vereiste voor veel wet- en regelgeving. Voor veel organisaties blijft het echter een grote uitdaging om grip te krijgen op (de levensloop van) ongestructureerde informatie als documenten, email berichten, transcripties van vergaderingen en meer. Een clouddienst als Microsoft 365 leent zich bij uitstek om dergelijke ongestructureerde informatie in op te slaan, te delen, te publiceren en te beheren. Een gedegen ontwerp en  inrichting van de informatiebeheer functies is hierbij fundamenteel. Zonder dit ontwerp is de kans groot om de controle over de informatie alsnog te verliezen.  

De gevoeligheid van informatie
Sommige informatie is van gevoelige aard. Bijvoorbeeld: Binnen de AVG wordt gesproken over bijzondere persoonsgegevens en persoonsgegevens. Ook is informatie voor andere redenen privacygevoelig, bijvoorbeeld in het geval van medische informatie. Maar ook intellectueel eigendom of informatie wat van strategisch groot belang is, valt onder deze noemer.  Een goed beeld van de gevoeligheid binnen de organisatie is vereist om deze informatie juist te behandelen en te beschermen. Bijvoorbeeld; 

  • Wet- en regelgeving bepaalt vaak ook dat specifieke informatie niet langer bewaard mag blijven dan toegestaan. Het tijdig verwijderen is dan cruciaal. 
  • Specifieke wetgeving als de Wet Openbaarheid van Bestuur en de Algemene Verordening Gegevensbescherming verlangt dat bepaalde informatie en communicatie (al dan niet geredigeerd) op verzoek opgeleverd wordt. 
  • Record management vereist dat informatie voor langere tijd niet meer aanpasbaar is. 

Microsoft 365
De informatiebeheerfuncties van Microsoft 365 zijn erop gericht om informatie goed te beheren, beschermen en waar nodig als records te borgen. Hieronder vallen functies als datalek beveiliging, maar ook het vasthouden van informatie voor een langere periode.  Microsoft maakt hierbij onderscheid tussen Information Governance en Records Management. Waarbij deze laatste een subset is van het algemenere Information Governance. 

De mogelijkheden van Microsoft 365 voor informatiebeheer

In deze blog gaan we in op de mogelijkheden van Microsoft 365 en hoe deze in te zetten.  Een nuance is hierbij op zijn plaats. Goed informatiebeheer is niet slechts het eenvoudigweg toewijzen van licenties en het activeren van een aantal functies. Ook de toepassing hiervan binnen bestaande processen speelt een rol en zeker ook de ondersteuning van medewerkers is van groot belang.   

M365 Information Governance
Veel van de componenten van Microsoft 365 zijn bedoeld om informatie in op te slaan, dan wel te communiceren. De informatiebeheer functies van de omgeving omvatten onderstaande componenten. 

Microsoft Teams
Voor een gebruiker wordt de ingang tot de informatie en communicatie functies geboden vanuit de Microsoft Teams client. De opslag van deze informatie wordt echter gefaciliteerd door Microsoft 365 componenten. Dit is relevant wanneer informatie binnen Teams onderhevig moet worden gemaakt aan beleidsregels. 

  • De documenten in Microsoft teams kanalen (openbaar, privé of gedeelde) worden opgeslagen in de achterliggende SharePoint Online Team Site; 
  • Afgeleiden (“substrates”) van conversaties worden opgeslagen in Exchange Online;
  • Opnames van vergaderingen worden opgeslagen in SharePoint Online of OneDrive for Business, afhankelijk waar de vergadering werd gestart; 
  • Transcripties van vergaderingen worden opgeslagen in Exchange Online, de mailbox is afhankelijk van waar en door wie de vergadering werd gestart; 
  • Informatie over de vergadering (aanwezigen, onderwerp, enzovoort) wordt opgeslagen in Exchange Online, de mailbox is afhankelijk van waar en door wie de vergadering werd gestart; 

    Conversaties en chats worden opgeslagen in Azure Cosmos DB. Voor informatiebeheer functies wordt een afgeleide hiervan (een vorm van kopie) opgeslagen in Exchange Online. 

    Work-in-progress
    Uit de informatie hierboven blijkt dat het informatiebeheer binnen Microsoft 365 zich voornamelijk richt op documenten en communicatie. De componenten van Microsoft 365 beperken zich echter niet tot slechts deze categorieën. We moeten hier wel spreken over work-in-progress. Zo is het momenteel niet mogelijk om de informatie binnen OneNote of Whiteboard te beheren. En hoewel Microsoft Teams wel een archieffunctie kent, is deze relatief beperkt.   

    Microsoft werkt zeer hard aan vele verbeteringen. De nieuwe “aanpasbare scopes” en “meervoudige dispositie” zijn daar twee voorbeelden van. De eerste maakt het mogelijk om op basis van eigenschappen van bijvoorbeeld een gebruiker, een bewaarperiode in te zetten. Denk bijvoorbeeld aan de afdeling van deze gebruiker. De tweede zorgt ervoor dat bij een verwijderactie maximaal vijf controleslagen worden ingebouwd. Dit in tegenstelling tot slechts één controle zoals tot niet zo lang geleden mogelijk was. 

    Het is dus goed om zowel de voordelen als de (huidige) belemmeringen goed te onderkennen bij het ontwikkelen van een Microsoft 365 informatiebeheer oplossing. 

    De 6 standaard informatiebeheer onderdelen binnen Microsoft 365
    De standaard informatiebeheer onderdelen binnen Microsoft 365 zijn: 

    Retentielabels
    Het aanbieden van zichtbare labels binnen SharePoint Online en Exchange Online voor het rubriceren van specifieke informatie. Zowel handmatig als geautomatiseerd mogelijk. Zolang informatie niet als record is aangemerkt (zie onder) is deze nog te wijzigen. Het gebruik van labels maakt dat informatie ook meer eenvoudig is te vinden, bijvoorbeeld voor een oplossing voor het tegengaan van datalekkage.  

     Bewaarbeleid
    Het automatisch, en zonder inbreng van de medewerkers, zelf bewaren van informatie. Bijvoorbeeld alle Microsoft Teams conversaties van een bepaald team. 

    Waar de labels zichtbaar zijn voor een medewerker en ook geselecteerd worden, werken deze regels op de achtergrond. Alle informatie wordt veiliggesteld in een verborgen opslaglocatie. Bij het werken met documenten wordt bij elke bewerking van het document een versie veiliggesteld. Verwijderen van informatie is door een medewerker mogelijk, maar de informatie wordt dan opgenomen in de verborgen locatie. 

    Bij het bewaren van informatie gelden een aantal uitgangspunten, waaronder de regel dat een bewaarbeleid altijd voor gaat ten opzichte van een verwijderbeleid. Ook zal het beleid met de langste periode altijd voorgaan. 

    Importfunctie voor PST-archiefbestanden
    Het in-bulk importeren van lokale PST-archiefbestanden naar de betreffende Exchange Online mailboxen. Hierdoor worden de e-mail en agenda items beschikbaar binnen Microsoft 365. 

    Archivering van niet-Microsoft informatie
    Het koppelen naar externe platformen als (organisatie)Whatsapp om deze hiermee onder een bewaarbeleid te laten vallen. 

    Inactieve mailboxen beheren
    Het beheren van mailboxen van medewerkers die de organisatie hebben verlaten. 

    Records management
    Het afsluiten van informatie zodat deze tijdens de bewaarperiode niet meer gewijzigd kan worden. 

    Licenties
    De bovengenoemde functies zijn afhankelijk van het Microsoft 365 licentiemodel. Het gebruik van bewaarbeleid en bewaarlabels is mogelijk binnen het zogenaamde Microsoft 365 E3 model. Hier is dan sprake van het handmatig rubriceren van de informatie en is records management geen onderdeel. 

    Voor onderstaande functies is een aanvullende licentie benodigd. Deze is mogelijk in de vorm van Microsoft 365 E5, Microsoft 365 E5 Compliance en Microsoft 365 E5 Information Protection and Governance. 

    • Het automatisch classificeren van informatie; 
    • Het gebruik van het zogenaamde bestandsplan; 
    • Het gebruik van een standaard label binnen een SharePoint Online bibliotheek; 
    • Het starten van de bewaarperiode op basis van een gebeurtenis;
    • Het starten van een dispositie werkstroom aan het eind van de bewaartermijn; 
    • Het gebruik van zogenaamde “trainable classifiers”; 
    • Het importeren van niet-Microsoft informatie; 
    • Records management; 
    • Het zoeken en monitoren van labels. 

    De praktijk leert ons dat de eerste stappen op het vlak van informatiebeheer prima met de standaard Microsoft 365 E3 mogelijkheden zijn te zetten. Wanneer de behoefte naar meer geavanceerde functies groeit en ook de hoeveelheid informatie toeneemt, is de stap naar de aanvullende licenties te rechtvaardigen. De enige afwijkende functie is hierbij die van records management. 

    Aanvliegroute informatiebeheer binnen Microsoft 365 

    Ga niet over één nacht ijs waar het de informatiehuishouding binnen Microsoft 365 en wet- en regelgeving betreft. Het is een complex onderwerp waarvoor de juiste tijd uitgetrokken dient te worden. Onze aanvliegroute kent hoog-over de volgende componenten. 

    • Kennis en kunde. Ken de functies van Microsoft 365 en wat wel en niet werkt. Zorg ervoor dat deze kennis en kunde aanwezig is voordat een project wordt gestart; 
    • Ontwerp. Maak op basis van bestaande informatie een ontwerp voor Microsoft 365 informatiebeheer. Neem hier de opzet van Microsoft 365 in mee: Microsoft Teams, SharePoint Online, en meer. 
    • Communicatie en ondersteuning. Begin direct met het opstellen van een communicatie- en ondersteuningsplan. Medewerkers moeten weten welke functies gebruikt gaan worden en hoe dit hun normale werkproces gaat beïnvloeden 
    • Overdracht. Neem de beheerorganisatie, informatiemanagement en archivarissen/documentair informatie specialisten direct mee in het traject en draag kennis snel over. 
    • Ontwikkel door. Informatiebeheer in Microsoft 365 evolueert en kent geen vast stoppunt. Blijf dus doorontwikkelen. 
    Albert Hoitingh
    Albert Hoitingh
    Consultant Compliance

    Meer blogs

    image description
    Albert Hoitingh | Consultant Compliance
    Ik help je graag verder
    Neem contact op