Elke overheidsorganisatie heeft er op dit moment mee te kampen: vindt maar eens een goede informatiebeheerder! Informatiebeheerders spelen een belangrijke rol in de vindbaarheid, het behoud en – op termijn – vernietiging van informatie van een organisatie. De hele levenscyclus van informatie is hun werkterrein: van creatie, tot ordening, tot toepassing van bewaartermijnen. Waar organisaties hun ongestructureerde informatie in Microsoft 365 zijn gaan beheren, is ook dat platform binnen het aandachtsgebied gekomen. Maar een aandachtsgebied alléén geeft nog geen toegang om noodzakelijke beheer handelingen te kunnen uitvoeren. En juist daar worden een hoop informatiebeheerders in hun taken en verantwoordelijkheden belemmerd.
Governance en (technisch) beheer
Ik schreef al eerder over belemmerende factoren in Microsoft 365 informatiebeheer. Toen ging het vooral over externe beheerpartijen die op commerciële basis het (vooral technisch) beheer van het platform verzorgen. Die technische beheerders willen of kunnen vaak geen toegang geven aan beheer functies waar informatiebeheerders een rol moeten kunnen spelen. Soms door contractuele belemmeringen, soms door onwetendheid. Purview, voorheen het Compliance Center, is het beheercentrum voor archivering (ik noem archivering nog steeds archivering), informatieveiligheid, privacybescherming en informatieverzameling (bijvoorbeeld voor openbaarheid). Het is dus bij uitstek de plek waar informatiebeheerders, recordsmanagers, functionarissen gegevensbescherming en informatiebeveiligers hun werk moeten doen. Vooral ook omdat een ander het niet doet. Niet de technisch beheerder, niet de functioneel beheerder, niet de accountmanager-van-de-beheerpartij. Het is hun taak, verantwoordelijkheid en kennisgebied niet.
Toegang en machtigingen zijn noodzaak
Maar hoe moet een informatiebeheerder toezicht kunnen houden op informatie, zonder toegang, zonder overzicht, zonder zoek- of rapportagemogelijkheden? Documenten die hun bewaartermijn hebben uitgediend kunnen door de recordsmanager worden beheerd via vernietigingslijsten, maar het werkgebied van de informatiebeheerder strekt zich natuurlijk ook uit over de gehele levensduur van informatie. Hoe wordt die opgeslagen, geordend op SharePoint teamsites in mappen of documentsets, beter vindbaar gemaakt met metadata, voorzien van de correcte, voorgeschreven bewaartermijn? En hoe kan die gevonden worden: door de dagelijkse gebruikers op basis van hun beperkte machtigingen, door informatiebeheerders met voldoende machtigingen om vragen te beantwoorden, documenten en dossiers aan te leveren op verzoek, onbeheerde informatie te traceren om actie te kunnen ondernemen. Denk alleen al aan de honderden verweesd achtergebleven (project-)sites en teams in veel organisaties!
Dat alles zal alleen gaan als er voor de informatiebeheerder voldoende toegang is tot de informatie op het platform.
Toekenning van machtigingen informatiebeheer: drie principes
Achter het machtigingen stelsel van Microsoft 365 zit een slim uitgedacht model. Misschien is Microsofts model voor informatie- en archiefbeheer niet perfect voor alle organisaties, maar het is goed om als informatiebeheerder te weten wat er kan en hoe het werkt. En als het echt moet: er kan inbreuk worden gemaakt op het standaard model, dus laat je niet wijs maken dat informatiebeheerders geen toegang zouden kunnen krijgen.
Ten eerste: het machtingenmodel wordt getrapt aangeboden. Uit veiligheidsoverwegingen is de ‘global admin’ bijvoorbeeld niet zomaar degene die ook gearchiveerde informatie beheert. Daarvoor moeten specifieke rollen toegekend. Die rollen worden door het systeem aangeboden in bundels, zogenaamde ‘rollengroepen’. De rollengroepen zijn opgebouwd uit ‘rollen’ en die laatste weer uit ‘machtigingen’. Rollengroepen voor Purview worden aangeboden en toegewezen via de Roles & scopes>Machtingen tab in Purview zelf. Deze tab is alleen bereikbaar voor leden van de rollengroep ‘Organisatie management’ of met de rol ‘Role Management’.
‘Compliance Administrator’ en ‘Compliance Data Administrator’ zijn rollengroepen en geven toegang tot alle functionaliteiten van Purview, incl. informatieveiligheid, eDiscovery, privacy management, waarbij de eerste rollengroep geen toegang heeft tot bepaalde rapportages. Dit zijn dus rollengroepen waarmee de eigenaar van het Purview beheercentrum (wie is dat voor jouw organisatie?) toegang gaat geven aan bijvoorbeeld informatiebeheerders en recordsmanagers. Ook toegang tot informatie over documenten en toegang tot de inhoud van documenten zelf wordt in gescheiden rollengroepen aangeboden: ‘Content Explorer List Viewer’ en ‘Content Explorer Content Viewer’. Zodat toegang tot een lijst met documentnamen, zoals op een vernietigingslijst of in Content Search (Inhoud Zoeken), nog niet betekent dat je ook toegang hebt tot de inhoud van die documenten.
Ten tweede: de rollengroepen zijn – op die van eDiscovery na – toe te wijzen aan AD-groepen, zodat je rolgebaseerde en groepsgewijze toekenning kan realiseren. Zo kan je recordsmanagers en informatiebeheerders vanuit hun taken en verantwoordelijkheden een rol geven in bijvoorbeeld de creatie en het beheer van bewaartermijnen conform je selectielijst, het beheer van vernietigingslijsten en verklaringen vernietiging, metadatabeheer en het beheer van inhoudstypen voor documentsoorten en dossiertypen.
Ten derde: de machtigingen staan los van de functionaliteiten die door licentietypen kunnen worden geactiveerd. Dus je kan wel een rollengroep voor recordsmanagement toevoegen, maar je zal daarnaast ook E5 licenties (of E3 + E5 Compliance of E3 + E5 Information Protection & Governance) moeten aanschaffen wil je gebruik kunnen maken van een vernietigingslijst of automatisch archiveren.
Stappen naar informatiebeheer in Microsoft 365
Stap 1 is bepalen wat je nu eigenlijk als organisatie wil met dit platform. Ik hoor vaak ‘samenwerken’ of ‘inzetten als DMS’ of zoiets. Als je als overheidsorganisatie ongestructureerde informatie beheert, zal je die onder een beheerregime van bewaartermijnen en vindbaarheid moeten willen brengen. Dat is de enige weg om informatie lang genoeg integer te behouden als er vraag naar mocht zijn. Want we weten hoe dat ging op die gemeenschappelijke schijven. Dat was al zo onder de WOB, dat is nog steeds zo onder de WOO: je kunt niet op verzoek beschikbaar stellen wat je niet had bewaard.
Stap 2 is bepalen wie in de organisatie nu welke rollen vervult. Er zullen straks medewerkers zijn die bewaartermijnen creëren, zorgen dat die aangeboden worden op de juiste plekken in het systeem, vernietigingslijsten goedkeuren, informatieverzoeken behandelen, hotspots aanmaken, etc. Wie zijn dat? In welke autorisatiegroepen werken ze? Wat zijn hun verantwoordelijkheden?
Stap 3 is de rollen van de organisatie te verbinden met de rollen en rollengroepen in het platform, de meeste in Purview. De recordsmanagement taken kunnen toegewezen aan de rollengroep ‘Recordsmanagement’. Om vernietigingslijsten goed te keuren zijn er rollen voor ‘Disposition management’. Om metadatawaarden centraal te beheren is er een ‘Term store administrator’ in SharePoint beheercentrum. Lager in rang is daar per waardelijst ook een ‘Group manager’ en ‘Contributor’ rol beschikbaar. Om via Purview met Content Search op basis van queries te kunnen zoeken door het platform heen zijn er rollengroepen voor ‘eDiscovery beheerder’ en ‘eDiscovery Manager’. Deze laatste rollengroepen zijn op dit moment alleen op individu toe te kennen. Beide rollen geven toegang tot Content Search, maar in eDiscovery zelf heeft de Beheerder toegang tot alle cases en de Manager alleen tot de eigen cases.
Stap 4 is vaststellen welke rollengroepen en rollen niet passend zijn voor de organisatie. Daar is dan óf procedureel een mouw aan te passen (bv met eDiscovery wel zoeken in SharePoint, niet in OneDrives of mailboxen), óf machtigingen moeten tot nieuwe custom rollen samengesteld. Dat laatste kan op basis van een extra Azure AD premium licentie.
Hieronder een voorbeeld van een mapping van informatiebeheer taken, generieke organisatie rollen en standaard Microsoft rollengroepen en rollen:
*) Wijzigingen aan Fileplan/Bestandsplan descriptors alleen via Powershell.
**) To grant users just the permissions they need for disposition reviews without granting them permissions to view and configure other features for retention and records management, create a custom role group (for example, named “Disposition Reviewers”) and grant this group the Disposition Management role.
Afbeelding: Simon Abrams, Unsplash
Schermafbeeldingen en tabel: Eric Burger
