Nu Archiefwetplichtige organisaties de mogelijkheden van Microsoft 365 recordsmanagement in de praktijk brengen groeit er gelukkig ook een best practice die sneller tot toepasbare resultaten leidt. Daarom dit 5-stappen plan om je recordsmanagement implementatie in Microsoft 365 efficiënt voor te bereiden, waarbij ik ook zal aangeven wat de risico’s voor een organisatie zijn bij verzuimen van één of meer.
- Onderkennen archiving-by-design principes
Archiveren – Archiefwetplichtige organisaties verwachten vaak van medewerkers dat ze documenten zullen archiveren in een afzonderlijk systeem, zoals een document management systeem of zaaksysteem. Afhankelijk van proces, organisatiecultuur en medewerker gebeurt dat onvoldoende. Maar zelfs waar dat goed gaat leidt het tot achterblijven van grote hoeveelheden documenten en andere informatie in opslagsystemen die niet geschikt zijn – of niet geschikt gemaakt – voor archivering. Niet voor niets besteedt het Nationaal Archief aandacht aan deze problematiek met onder andere een nuttige Handreiking Archiveren by design. Het risico dat archivering niet wordt toegepast in informatiesystemen is groot: informatie wordt niet tijdig vernietigd waar dat wettelijk wel verplicht is, vanwege privacy of andere regelgeving. Bovendien: ‘compliant’ archief vernietigen, alléén in je DMS of zaaksysteem, zonder om te zien naar je opslag in mailboxen, fileshare, SharePoint sites, intranet, etc. is een farce. En: informatie moet geleverd kunnen worden, vanwege de Wet Open Overheid (WOO), of deze nu in een archiefsysteem zit of elders was opgeslagen. Ook is iedere organisatie met een volle fileshare er inmiddels achter dat deze achteraf nauwelijks meer zorgvuldig is te schonen van redundante of verplicht te vernietigen bestanden.
By design – Het laatste doet zich ook voor als organisaties aan de slag zijn gegaan met werken in de cloud, in Microsoft teams en SharePoint Online. Waar archiveren een uitgestelde ‘tweede fase’ van het implementatie programma was, blijven organisaties achter met honderden, soms duizenden teams in Teams waarmee alleen nog tegen een hoge inspanning en kosten iets te beginnen valt, handmatig of met scripts, om deze te herstructureren, migreren, schonen, archiveren of verwijderen. Erkennen dat er vanaf dag 1 aandacht moet zijn voor archivering van content in Microsoft 365 is een must om deze risico’s te mijden of beheersbaar te houden. Archiving-by-design houdt tevens in dat je ontwerp van werkruimten in Teams/SharePoint vanaf creatie voldoende metadata kenmerken bevat om de juiste bewaartermijnen op de juiste plek beschikbaar te kunnen stellen (zie stap 3 en 4).
- Voldoende kennis van recordsmanagement met Microsoft Purview
Licenties – Organisaties kopen steeds vaker dure E5 licenties in, maar kennis van de daarmee toe te passen extra functionaliteiten beperkt zich te vaak nog tot de Purview vertrouwelijkheidslabels. Op zich begrijpelijk dat organisaties zich bij samenwerking in de cloud van extra veiligheid willen vergewissen. Maar de extra E5 mogelijkheden van Purview Recordbeheer (zoals geautomatiseerde archivering, vernietigingslijst, verklaring vernietiging), audit log (extra bewaarduur loggegevens) en eDiscovery Premium (extra zoek- en analyse mogelijkheden voor o.a. WOO cases, hotspot archivering door hold-functionaliteit, export) zijn minder bekend, zowel onder beheerders als consultants.
Adaptive scopes – Vanuit Purview kan de organisatie, mits E5 licenties ingekocht, ook gebruik maken van adaptive scopes (of: adaptieve bereiken in het NL) om de beschikbaarheid van bewaartermijnen bij team creatie te garanderen door een metadatawaarde (in de zgn. propertybag van de teamsite, bijvoorbeeld een waarde die het betreffende bedrijfsproces uitdrukt) te verbinden met de bijbehorende bewaartermijn in het retentielabel. Een eenvoudiger, maar veel grofmaziger toepassing van adaptive scopes is het verbinden van een prefix in de Team naam of URL met een retentielabel, als in ‘PRJ-Implementatie M365’. Omdat sommige geavanceerde maatregelen niet binnen de user interface van Purview zijn te nemen, is het bovendien noodzakelijk dat de organisatie zich van de beschikbaarheid van Powershell kennis en toegang verzekert. Hoewel ook sommige provisioning oplossingen (zie stap 4) in staat zijn om een metadatawaarde naar een propertybag weg te schrijven.
Scholing en machtigingen – Voldoende kennis komt met scholing, maar ook met samenwerking in een governanceteam waar recordsmanagers en informatiebeheerders over voldoende machtigingen beschikken voor toegang tot de beheercentra. Dat wil zeggen: Purview voor archivering en eventueel openbaarheid, SharePoint beheercentrum voor metadatabeheer. En vergeet daarbij niet dat ook het Teams beheercentrum instellingen bevat die informatiebeheer raken (verwijdering vergaderopnamen, verwijdering chatberichten, toestaan privé- en gedeelde kanalen). Voldoende toegang èn samenwerking tussen informatiebeheerders en functioneel beheerders is essentieel om een compliant Microsoft 365 platform te realiseren. Waar dat niet gebeurt of waar beheer onder ingewikkelde voorwaarden is uitbesteed, zie je gebeuren dat die weg onnodig langer en moeizamer wordt.
- Bepalen standaardinrichtingen, metadataset en bewaartermijnen
Standaardinrichtingen – Organisaties met succesvolle implementaties werken vanuit zogenaamde standaardinrichtingen: templates voor werkruimten, bestaande uit een ingericht team in Teams en teamsite in SharePoint. Een standaardinrichting bestaat doorgaans uit een inrichting voor een minimaal aantal kanalen, een mappen- of dossierstructuur, mate van vertrouwelijkheid, een metadataset en – liefst – één bewaartermijn. Ook kunnen aanvullende applicaties van Microsoft of andere leveranciers deel uit maken van de werkruimte template.
Metadata – De metadataset kan, afhankelijk van standaarden of voorschriften worden samengesteld vanuit het SharePoint beheercentrum met zgn. inhoudstypen. Inhoudstype is de SharePoint functionaliteit die een document zijn voorgeschreven metadataset meegeeft. Bedenk dat ieder SharePoint document (inhoudstype: ‘Document’) standaard al zo’n 30-35 metadatavelden (‘kolommen’) meekrijgt en dat daarvan een gedeelte vanuit Purview ingevuld zal worden door functionaliteiten als retentielabel (vier kolommen) en vertrouwelijkheidslabel (één kolom). Organisaties kiezen daarbij in mijn praktijk steeds vaker voor een standaard- of basis metadataset via een custom inhoudstype, die afhankelijk van de standaardinrichting (bv. ‘Project’, ‘Afdeling’) wordt uitgebreid met relevante kolommen en waardesets.
Project werkruimte – Meestal wordt daarbij gestart met projecten, omdat dit ten eerste helpt om compliant projectarchivering voor elkaar te krijgen – doorgaans niet of niet goed genoeg in een zaaksysteem of DMS. Ten tweede zijn inrichtingskeuzes eenvoudiger dan voor andere standaardinrichtingen. Het sluiten en archiveren van projecten blijft daarbij een opgave bij ontbreken van centraal management van project-décharge. Projecten kunnen via Teams beheer dan wel op ‘alleen lezen’ worden gezet (wat ‘Archiveren’ heet in de beheer UI!), maar het echte archiveren gebeurt via een retentielabel, waarbij de bewaartermijn naar wens voor alle documenten tegelijk in de documentenbibliotheek van het project kan worden geactiveerd. Het gescript combineren van deze handelingen, vanuit een governance/provisioning oplossing òf een status SharePoint lijst, is dan natuurlijk aantrekkelijker. Natuurlijk kan het nodig zijn om voor verschillende typen projecten (denk aan: buitenruimte projecten, IT-projecten, aanbestedingen, etc.) verschillende passende standaardinrichtingen aan te bieden. Sommige provisioning tooling (zie 4.) is in staat om binnen één werkuimte template optionele functionaliteiten of applicaties aan te bieden, om zo het totale werkruimten-aanbod binnen de perken te houden.
Afdeling werkruimte – Ook voor organisatieonderdelen, (generieke) processen en besluitvorming worden vaak standaardinrichtingen ontworpen. Afdelingsteams wijken daarbij af van projecten omdat ze continue zijn en er dus continue archivering moet worden aangeboden. Het handmatig sluiten en archiveren van dossiers zie ik daarbij geleidelijk aan vervangen worden door automatische archivering op basis van ‘X-tijd na datum gewijzigd’. Let er op deze optie te koppelen aan een custom inhoudstype voor afdelingsdocument, dat je dan meeneemt in de Afdeling-werkruimtesjabloon. Onvermijdelijk wringt deze archiveringsoplossing met de complexiteit van veel archiefselectielijsten (met termijn uitzonderingen voor ‘eindproduct’ t.o.v. concepten, na ‘vervallen [document]’, na ‘intrekken [document]’, etc.). Maar toon mij een organisatie waar dit correct gebeurt – en dan zonder na vernietiging in het DMS of zaaksysteem achterblijven van kopieën op andere plaatsen – en ik toon je een organisatie met net zoveel informatiebeheerders als medewerkers.
- Oplossing provisioning
Omdat Microsoft Teams in het toepassen van standaard sjablonen voor team-creatie alleen kan voorzien in een keuze voor voorgedefinieerde kanalen (en dus corresponderende SharePoint mappen) schiet deze functionaliteit ernstig tekort voor ons doel: à la minute compliant werkruimten creëren ‘by design’. Wat nodig is: aanvullende tooling die minimaal voorziet in
- Team/teamsite sjablonen obv een voorbeeld team
- Flexibele aanpassing sjabloon voor wijzigingen
- Toepassing metadatakolommen en inhoudstypen in SharePoint
- Standaard metadatawaarden voor de documentenbibliotheek
- Metadatawaarden voor de zgn. propertybag, voor ondersteuning van bewaartermijnen
- Vertrouwelijkheid en (extern) delen
- Eigenaarschap en autorisatiegroep
- Lifecycle management (waaronder waarschuwingen, beheer op inactiviteit)
Provisioning software uit de markt voorziet in meer of mindere mate in deze functionaliteiten, waarbij leveranciers meestal een combinatie van Teams/SharePoint provisioning en governance/lifecycle management aanbieden. De Microsoft community biedt ook PnP code aan as-is, om zelf een oplossing te bouwen, al zal het daarmee alleen met inzet van programmeurs mogelijk zijn de oplossingen uit de markt en vooral de doorontwikkeling van de producten en aanpassing aan de veranderende Microsoft omgeving bij te houden.
- Inrichten in test, daarna in productie
Test tenant – Inrichten en wijzigen van archivering in Microsoft 365 kan niet alleen documenten in SharePoint raken, ook kunnen regels voor behoud, gecontroleerde vernietiging of juist snelle verwijdering betrekking hebben op documenten in OneDrive, e-mail en attachments in Exchange Online, Viva Engage berichten (vh Yammer), Teams individuele chat en Teams kanaalpostings. En inmiddels ook op Copilot-prompts van gebruikers. Het risico dat je de chat van 145.000 gebruikers onbedoeld verwijdert is helaas reëel gebleken. Hoewel de zgn. simulatie-modus voor automatisch archiveren de risico’s in een productie tenant vermindert, blijft het aanbevolen alle maatregelen voor informatieveiligheid, archivering en verwijdering, al dan niet geautomatiseerd, eerst in een test tenant te beproeven. Naast veiligheid van je implementatie kan je daarmee tevens voorzien in een veilige omgeving waar informatiebeheerders en recordsmanagers kennis en ervaring kunnen opdoen zonder brokken te maken.
Productie tenant – Let er op dat het nemen van archiveringsmaatregelen in Microsoft 365, afhankelijk van de gebruikte functionaliteit, al dan niet zichtbaar is voor de gebruikers in een organisatie. Het toepassen van retentielabels, of het nu handmatig of automatisch gebeurt, is beperkt zichtbaar door het slot-icoon bij de documentnaam. Alleen door zichtbaar maken van metadatawaarden in de bibliotheekweergave komen ook het retentielabel en andere archiveringsmetadata in beeld. Retentielabel toepassing is ook zichtbaar voor gebruikers in Outlook, bij geautomatiseerde of handmatige e-mailarchivering. Bij toepassing van bewaarbeleid (retention policies) daarentegen, op chat, email of documenten in OneDrive of SharePoint, zien gebruikers niets van de archivering zelf. Dus als je daarmee bijvoorbeeld mailbox-archivering in Exchange Online toepast, is het wel zo netjes alle medewerkers op de hoogte te stellen van de gevolgen. Dat ze niet braaf, maar vol-ko-men vergeefs mailtjes-voor-het-milieu zitten te deleten op hun vrijdagmiddag bijvoorbeeld.
NB aan het einde van dit jaar gebruik ik graag de gelegenheid om alle lezers te bedanken voor het lezen, waarderen en/of delen van mijn blog. Dank je wel!
Afbeelding: AI gegenereerd, Bing Image Creator
top artikel, dank!
Das een fijn compliment André, dank je wel!
Wat een heerlijke uitleg! Dankjewel! Ik roep dit al een half jaar.