E-mailbewaring volgens Capstone met Microsoft 365 Purview

In juni publiceerde de VNG een Ontwerp selectielijst e-mailbewaring “volgens de Capstone methodiek.” Al langer werd deze archiveringswijze door het Nationaal Archief gepropageerd naar Amerikaans voorbeeld. Met gebruikmaking van recordsmanagement functionaliteiten in Microsoft Purview, de compliance beheer portal in Microsoft 365 tenants, is toepassing van Capstone binnen het bereik van overheidsorganisaties gekomen. Wat kan Purview daarin betekenen, hoe werkt het, wat zijn uitdagingen? Ik praat er over met Benjamin van der Veen, een ervaren adviseur informatiemanagement van BEN-IM.

Benjamin, wij kennen elkaar al wat langer, maar wie ben je en wat doe je?

Hallo, Ik ben Benjamin en ik loop inmiddels een jaar of 7 in het vakgebied van informatiemanagement rond. In januari 2022 ben ik begonnen met mijn eigen bedrijf BEN-IM. BEN-IM helpt, traint, en adviseert overheden en organisaties bij het uitwerken van hun compliance wensen in MS365. Mijn stijl kenmerkt zich als enthousiast, beeldend, met veel humor om de toch soms wel droge stof ook leuk te maken. Aan de hand van mijn infographics krijg ik zelfs iemand zonder voorkennis mee in het gedachtegoed.

Wat vind je van die door VNG voorgestelde selectielijst voor e-mailberichten? Ikzelf blijf het gek vinden dat je e-mailberichten 10 weken lang kan onttrekken aan archivering, dat lijkt mij de kat op het spek binden toch?

Ja het is inderdaad een rare constructie waarvan ik denk dat die geënt is op een verouderd wereldbeeld. Vroeger (zegt opa) was het zo dat je op je werk alleen beschikking had over je privémail via de pc van de zaak. En dat was soms wel noodzakelijk om nog even akkoord te geven voor een belangrijk document: aankoop van een huis bijvoorbeeld.  Of je wou toch echt wel even wat printen op de kosten van de baas en stuurde het daarom naar je werkmail. Tegenwoordig hebben zelfs kinderen van drie een smartphone en is er dus niet echt meer een dwingende noodzaak om privé-mail te sturen naar je werkmail want je hebt er altijd al overal toegang toe.

De 10 weken maatregel zou gebruikers de mogelijkheid moeten geven persoonlijke informatie te filteren voordat de algemene retentie van de organisatie ingaat. Ik vraag me sterk af of dat wel een goed idee is. Premier Rutte liet ons enige tijd geleden met zijn weggegooide sms-jes al een goed voorbeeld zien waarom we verwijdering eigenlijk niet aan een gebruiker moeten overlaten.

Lang verhaal kort: Ik ben groot voorstander om de bewaartermijn direct in te laten gaan en duidelijk naar de gebruiker te communiceren waar werkmail voor is: namelijk WERK. Als je dan toch persé een termijn wil geven om privé mail nog uit te kunnen filteren maak deze dan maximaal een week of twee en niet 10.

Wat je zegt! De bewaarduur van de mailbox verschilt dus per gebruiker, afhankelijk van zijn of haar functie. Hoe gaat dat in zijn werk met Microsoft Purview?

Purview kent twee manieren voor het toepassen van beleid op content: Statisch en Adaptief.  In het onderstaande voorbeeld leg ik het verschil uit tussen een statisch bereik en een adaptief bereik:

  • Toelichting statisch: Met een statisch label moet elke nieuwe gebruiker en sleutelfiguur worden ‘bijgeplust’ in een lijst. Je kunt statisch zien als een lijst van gebruikers en een lijst voor sleutelfiguren. Statische inrichting vergt continu beheer.
  • Toelichting adaptief: Met een adaptief label definieer je de kenmerken van een gebruiker en of sleutelfiguur. Elke keer dat het beleid een nieuwe sleutelfiguur of gebruiker ziet wordt deze automatisch opgepikt door het beleid. (*minimaal 10mb in mailbox om meegenomen te worden). Het adaptieve bereik maakt daarbij gebruik van een attribuut uit het Exchange profiel van de gebruiker.

Met de recente introductie van adaptieve bereiken is het dus een stuk makkelijker geworden om onderscheid tussen gebruikers te maken. Even concreet:

  • Mailbox gebruikers met het kenmerk Rood krijgt automatisch bewaartermijn van 7 jaar
  • Mailbox gebruikers met het kenmerk Geel krijgt automatisch bewaartermijn permanent.

Klinkt goed om dat te kunnen automatiseren! De Microsoft documentatie geeft ook nog aan dat statische toekenning wat beperkingen heeft bij grote aantallen retentiebeleid (retention policies, de regels die enkele of combinaties van retentielabels toepassen in SharePoint, Exchange of OneDrive), die de adaptieve toekenning niet heeft. Welke technische beperkingen zijn er met betrekking tot Capstone methodiek?

De grootste beperking zit hem in het wisselen tussen gebruiker en sleutelfiguur. Stel ik ben gebruiker en content die ouder is dan 7 jaar wordt vernietigd. Na 9 jaar word ik sleutelfiguur waardoor ik val onder het beleid permanent bewaren. Er is dus al 2 jaar aan informatie vernietigd en er zou eigenlijk nog 7 jaar moeten worden vernietigd in de komende jaren, maar dat gebeurt niet meer omdat ik al onder het nieuwe regime van bewaren val. Het is nog erger in het geval van sleutelfiguur naar gebruiker want dan wordt alle informatie ouder dan 7 jaar vernietigd (dus ook retroactief op alle mails die je eigenlijk wilde bewaren). Gelukkig komt dit in de praktijk weinig voor, omdat de rollen uit de sleutelfiguur-lijst vrij specifiek zijn: een burgemeester wordt doorgaans niet opeens een ‘normale’ gebruiker. Om dit probleem te omzeilen is het natuurlijk altijd mogelijk om een nieuwe mailbox aan te maken voor een dergelijke user, maar dat is uiteindelijk een vrij lelijke ingreep waar vooral voor de gebruiker ook nadelen aan kleven.

En dit werkt allemaal echt in de praktijk?

Ja, er zijn diverse organisaties die op dit moment op het punt staan om het uit te rollen. Mijn verwachting is ook dat deze oplossing de standaard gaat worden om de Capstone methodiek van de VNG uit te voeren. Ik denk wel dat die 10 weken termijn er uiteindelijk af zal gaan zodra de eerste gebruiker “per ongeluk” 10 weken crisis in de prullenbak stopt als privé informatie.

Wat betekent het voor een organisatie om dit op de mailboxen van medewerkers, managers en bestuurders te gaan toepassen?

Het retroactief toepassen van adaptieve bereiken heeft als consequentie dat de ‘ik-bewaar-alles-in mijn-persoonlijke-mailarchief mensen’ wel een probleem hebben als alles dat ouder is dan 7 jaar opeens vernietigd wordt omdat ze geen sleutelfiguur zijn. Het is dus van belang dat organisaties duidelijk communiceren naar hun gebruikers dat deze aanpassing er aan zit te komen en dat er plek geboden moet worden waar deze mail dan naar toe mag als deze nog een strekkend bedrijfsbelang heeft.

Ik merk dat veel organisaties specifiek op dit punt ontzettend veel weerstand verwachten. Want in principe neem je de gebruiker echt wat af met het verder beperken van gebruik van bedrijfsmiddelen. Er zijn veel redenen waarom je als organisatie uiteindelijk door die zure appel heen zou moeten bijten. Mijn groene hart grijpt deze kans bovendien aan om in mijn vakgebied eindelijk eens een duurzaamheids-argument te kunnen gebruiken: al die informatie maar bewaren omdat het gemakkelijk is heeft veel meer impact dan je zou denken. Informatie wordt namelijk opgeslagen in datacenters – die weer energie nodig hebben – HEEL VEEL energie!

Wat betekent dit voor een organisatie in de aanschaf van Microsoft 365 licenties?

In essentie denk ik dat een organisatie er niet aan ontkomt om voor alle kantoorwerkers minimaal een E3 licentie + E5 Compliance aan te schaffen. De F3 en E3 licentie bieden geen complete toegang tot retentie, eDiscovery en classificatie terwijl deze wel noodzakelijk zijn om de eisen vanuit de WOO en de Archiefwet te kunnen benaderen. Microsoft stelt dat alle gebruikers die profiteren van de functionaliteiten onder die licentie er dan ook over moeten beschikken.

Wat kan BEN-IM voor Archiefwetplichtge organisaties en bedrijven betekenen die met deze Capstone methode aan de slag willen?

BEN-IM kan Archiefwetplichtige organisaties en bedrijven helpen door trainingen te geven om het kennis over het onderwerp op peil te krijgen aan de hand van sprekende infographics en een goede dosis humor. Verder kan BEN-IM helpen bij het inrichten van de benodigde retentielabels. Natuurlijk helpt BEN-IM ook graag met andere elementen van Microsoft 365. Zoals bijvoorbeeld het inrichten van algemene retentie labels, provisioning van SharePoint teamsites, en in het kader van de WOO met de zoek- en case management tool eDiscovery.


Afbeelding blog: Serhat Beyazkaya, Unsplash

Infographic: Benjamin van der Veen

Schermafbeelding: Eric Burger

 

Over de auteur

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *