Microsoft 365 en uitbesteding van het beheer: met het uitbesteden van systeem– of platformbeheer komt het informatiebeheer nogal eens in het luchtledige te hangen. En dat is zelfs in de cloud geen goed plan.
Recordsmanagement en governance in Microsoft 365. Sinds meer dan tien jaar verzorg ik trainingen over dit onderwerp (zoals hier) aanvankelijk over SharePoint Server. En ik heb sindsdien als adviseur ook veel organisaties kunnen begeleiden op dit vlak. Techniek en functionaliteiten zijn sinds 2010-2011 dan wel ingrijpend veranderd, van server naar cloud, van SharePoint recordcenter naar Purview retentielabels, maar organisatorisch zijn de uitdagingen nog altijd groot. Hoe krijgen informatiebeheerders en recordsmanagers toegang tot de functionaliteiten voor archivering en hoe kunnen zij hun rechtmatige plek in een governance structuur innemen en handhaven?
Aanvankelijk leek mij de toegang tot en deelname aan de benodigde rollen in Microsoft 365 governance (toen nog SharePoint governance) vooral een kwestie van kennisachterstanden inlopen. Maar ik loop nu steeds vaker tegen organisatorische belemmeringen aan. Organisaties hebben het beheer van van hun Microsoft 365 platform uitbesteed aan een contract partij. Die beheert als ‘werkplek’ beheer het platform.
Omdat het platform veel functionaliteiten heeft te bieden die voorheen vanuit een technische kijk op IT werden beheerd, zoals Exchange en Office, maar ook omdat het platform vaak als ‘samenwerkings-tool’ wordt gezien vanuit IT, verliezen organisaties nogal eens uit het oog dat we te maken hebben met een gigantisch en snel groeiend volume aan ongestructureerde informatie. Van het type waarvoor in het verleden op fileshares en in persoonlijke mappen weinig aandacht was. Er waren nu eenmaal documenten op schijven en vaak had je ook dat een klein deel daarvan als kopie in een DMS terecht kwam. Wat daar dan door informatiebeheerders en recordsmanagers zorgvuldig werd beheerd onder vaak wettelijke bewaartermijnen, met straffe procedures voor beheer, behoud en vernietiging. Inmiddels zijn die organisaties met hun documentenbeheer en al in de Microsoft cloud terecht gekomen en kunnen technisch de mogelijkheden voor documentcreatie, samenwerking èn archivering samen vallen in één platform, in plaats van verschillende applicaties. Archiveren by design, dat is immers waar we naar toe willen en moeten.
Het wonderlijke is dat organisaties daar dan niet altijd de conclusie uit trekken dat dan ook het beheer van die ongestructureerde informatie zal moeten samenvloeien met het technische en functionele beheer van het cloud platform. En daar gaat het veel te vaak mis. De contract partij kan zelf niet voorzien in dat informatiebeheer, heeft die verantwoordelijkheid ook contractueel helemaal niet en beschikt ook al niet over de kennis en vaardigheden om dat te doen. Dit heeft allerlei vervelende gevolgen voor het recordsmanagement en informatiebeheer in de organisatie:
- De introductie van archiveringsmaatregelen in Microsoft 365, zoals de inzet van Purview retentielabels en bewaarbeleid, verloopt moeizaam en stroperig, bij gebrek aan kennis en verantwoordelijkheid aan de kant van de contract partij
- Het is niet duidelijk hoe de besturing van de functionaliteiten voor archivering zou moeten verlopen nu informatiebeheer en recordsmanagement niet rechtstreeks toegang kunnen krijgen
- Uitvoering van wetgeving zoals AVG en WOO loopt meteen al achterstand op, omdat niemand de noodzakelijke maatregelen kan nemen om informatie of juist tijdig te verwijderen/beschermen (AVG) of juist te voorzien in het behoud en de beschikbaarheid van informatie die passief en actief openbaar zal moeten worden gemaakt, denk daarbij bijvoorbeeld aan archivering van chat en e-mail berichten
- Functionaliteiten voor e-Discovery en Content search, functionaliteiten met een juridische en informatiebeheer invalshoek, worden niet uitgenut, of verkeerd begrepen
- Licenties die nodig zijn om de functionaliteiten die passen bij de eisen van de organisatie (zoals de vernietigingslijst in de E5 licentie) worden niet aangeschaft, omdat men de noodzaak niet begrijpt, of uitsluitend vanuit platform veiligheid redeneert.
Het kan toch niet waar zijn dat organisaties niet zelf de grip kunnen en mogen krijgen op hun eigen informatie, omdat contract partijen niet altijd kunnen of willen delen in de zeggenschap over dat beheer? Ik ken organisaties waar informatiebeheerders bij Gods gratie mochten ‘meepraten’ aan wat ze noemden een ‘compliance tafeltje’. Ik verzin dit niet. Het is compleet de omgekeerde wereld en deze organisaties zullen dus het beheer over hun informatie moeten bevechten op de bedrijven waaraan ze hun beheer hadden uitbesteed.
Governance van informatie is daar vanaf dag 1 van gebruik van Microsoft 365 al in het geding. Want ook al noem je het samenwerking of werkplek, er wordt vanaf dag 1 wel degelijk content opgeslagen, in SharePoint Online, in OneDrive for Business, in Exchange. Het standaard model voor autorisaties van Microsoft in Microsoft 365 biedt alle mogelijkheden aan ‘leden’ en ‘eigenaars’ van die informatie om deze naar believen te muteren en te verwijderen. Vaak wordt dit ook nog eens vanuit een filosofie van ‘het is toch ook “maar” samenwerking’ expliciet aangemoedigd door beslissers en consultants. Terwijl de verwachtingen van transparantie, in de samenleving, in politiek en journalistiek, juist heel erg zijn toegenomen. Die informatie moet, vanuit risicomanagement en wetgeving, worden beheerd, vaak gearchiveerd, voor de duur dat deze kan worden bevraagd. En vaak veel langer, als deze voor korte of lange termijn op basis van selectielijsten moet blijven gearchiveerd. Of zelfs voor overbrenging naar een e-depot in aanmerking komt.
Waar organisaties een server gebaseerde wereld achter zich laten en de cloud omarmen, is het niet nodig dezelfde fouten van het chaotische, onbeheerde fileshare/mailserver tijdperk te herhalen. Het beheren van platforms als Microsoft 365 moet daarom samengaan met het beheren van de informatie daarin. Waar politici en volksvertegenwoordigers bakkeleien over beschikbaarheid en vindbaarheid van video-tulen, verloren memo’s, tekstberichten en andere voor verantwoording noodzakelijke informatie, kunnen de informatiebeheerders en recordsmanagers van vandaag ongestructureerde informatie veilig stellen voor de vragen van morgen.
Een fijne, zorgeloze zomer gewenst!
afbeelding: Unsplash Alex Knight
Is het niet mogelijk om in de Microsoft cloud dezelfde compliance policies toe te passen als in OpenText, SAP DMS en andere recordsmanagement systemen/archieven. Kan je de content in de Microsoft cloud niet op de plaats zelf bewaren en de content in de SAP cloud in de SAP cloud, dus naast elkaar onder de zelfde voorwaarden.
Het zou aantrekkelijk zijn om de verschillende content in verschillende platformen onder dezelfde voorwaarden en condities te kunnen archiveren. Helaas werken die voorwaarden maar tot de grens van het systeem zelf.
Goed stuk, dank daarvoor. Wel nog wat vragen: Hoe zit het met data? Daarop is de archiefwet ook van toepassing, Microsoft power BI app lees ik niks over. Het lijkt alleen over content/ongestructureerde data te gaan, maar wat dan met de gestructureerde data? En kan Office 365 nou wel of niet RM toepassen in de brede zin van het woord. Ofwel kunnen we van een evt DMS af?
Geen dank. Natuurlijk is op data ook de Archiefwet van toepassing. Dat je niets leest over Microsoft Power BI komt wellicht omdat daar de functionaliteiten voor retentie, retentielabels en bewaarbeleid, nog niet van toepassing zijn. Al strekken de informatieveiligheids-functionaliteiten, zoals vetrouwelijkheidslabels en Data Loss Prevention zich wel uit tot Power BI. Zie hier meer daarover: https://learn.microsoft.com/en-us/power-bi/enterprise/service-security-data-protection-overview. Microsoft 365 kan in brede zin recordsmanagement toepassen op ongestructureerde content, zoals documenten, e-mail en chat, afhankelijk van inrichting en licenties.