Naast al het bakkeleien over de stikstofcrisis wist de Ministerraad op 19 augustus jongstleden toch ook een verheugend besluit te nemen over het zogenaamd Rijksbreed Cloudbeleid 2022: “Public clouddiensten mogen voor overheidsdiensten worden gebruikt onder voorwaarden en met enkele uitzonderingen, die gericht zijn op de bescherming van de verzameling van digitale kroonjuwelen van de Nederlandse overheid.” Vanuit het dikke en ook rijk geïllustreerde pakket aan prioriteiten rond informatievoorziening in de I-strategie Rijk 2021-2025 was dit cloudbeleid een nog ontbrekende schakel om nu volgas te gaan geven op public cloud oplossingen, die in de stukken nergens met name worden genoemd, maar waarvan we allemaal weten dat het in ieder geval gaat om gebruik van en opslag in Microsoft 365. Wat houdt organisaties dan nog tegen om in Microsoft 365 ook te gaan archiveren? Dit is niet alleen maar een retorische vraag. Er blijven nu nog belemmeringen en uitdagingen om te overwinnen. Welke zijn dat – en wat is nodig om ze te overwinnen?
Kennis
Een gebrek aan actuele kennis van het platform en de compliance functionaliteiten daarin staat wat mij betreft bovenaan. Ik heb nog nooit zoveel reacties en nieuwe vragen ontvangen als op mijn Zeven vragen en antwoorden over Microsoft 365 recordsmanagement, mijn blog van maart dit jaar. Ook cursussen en trainingen, onder andere via GO Opleidingen en Leerhuis van RDDI over compliance met Microsoft Purview, zoals het Compliance Center inmiddels is gaan heten, zijn opvallend populair. Actuele kennis, bij beslissers in het management, maar ook bij de informatiebeheerders en recordsmanagers in organisaties, de consultants en ontwikkelaars in ondersteunende bedrijven, is een must om stappen te kunnen maken. Te vaak is er nog misverstand en onbegrip over de mogelijkheden van de cloud, of de vermeende veiligheid van on premise oplossingen (Exchange Server!). Of de manke vergelijkingen tussen ‘gratis’ software en betaalde cloud oplossingen als Microsoft 365 (‘kijk maar eens wat er nu weer bij Twitter/Facebook, etc. gebeurt’). Blijf geïnformeerd, op basis van actuele, feitelijke informatie en Microsoft documentatie.
Organisatie
Een ander soort belemmering heb ik in mijn laatste blog voor de zomer beschreven en is organisatorisch van aard: als een organisatie niet goed in staat is om de rollen voor het beheer van het platform te verdelen, dan is dat vaak belemmerend om vooruit te komen in inrichting en beheer van het platform, juist ook als daar aspecten van informatiebeheer en recordsmanagement in zijn betrokken (en waar is dat niet het geval?). Uitbesteding van beheer kan daar een extra complicatie vormen. Microsoft 365 governance begint bij de start van je implementatie project, wacht er geen dag langer mee.
Technologie
Een derde uitdaging is technisch van aard: hoe passen we de juiste bewaartermijnen op het juiste moment op de content in het platform toe? Overheidsorganisaties worden daarbij bepaald niet geholpen door wet- en regelgeving voor archivering en privacy. Voorgeschreven instrumenten zoals archiefselectielijsten met hun gekmakende detailniveau maken het niet gemakkelijker. Voor een beperkt deel van bedrijfsprocessen is dat op te vangen met zaaksystemen, die de gebruiker ondersteunen met stappen, uitkomsten en resultaten en daar dan ook nog de correcte bewaartermijn op kunnen afstemmen. Voor een groter deel van de bedrijfsprocessen is zo’n systeem helemaal niet geschikt en zou Microsoft 365 kunnen voorzien in het gat wat DMS/RMA oplossingen en zaaksystemen daar laten. Lees ook het artikel ‘Is de centrale rol van het (generieke) zaaksysteem uitgespeeld?’, van Jan Langkamp, dat ik graag onderschrijf.
Microsoft Purview voorziet met retentielabels en bewaarbeleid in de bewaartermijnen voor veel soorten informatie in de Microsoft 365 tenant. Afhankelijk van licenties kan je ze ook automatisch laten toepassen en een vernietigingslijst genereren. Wat een uitdaging is, is de wijze waarop de bewaartermijnen kunnen worden gekoppeld aan de locaties waar content is opgeslagen, zoals in SharePoint teamsites, in OneDrives en in mailboxen. Het laatste voor e-mail archivering, maar ook voor archivering van chat berichten (zowel individuele chat als kanaalpostings in Teams). Voor het koppelen van de juiste termijnen aan die locaties bood Microsoft 365 de eerste jaren een ‘statische’ of handmatige methode aan. Daarbij moest je de retentielabels via labelbeleid beschikbaar stellen op de gewenste locaties. Voor bewaarbeleid wordt die koppeling in de bewaarbeleid editor zelf aangeboden.
Alleen, ieder labelbeleid geldt als een ‘regel’ in Purview, zoals ook Data Loss Prevention, eDiscovery holds en vertrouwelijkheidslabels regels hanteren voor hun toepassing. En aan die regels zit een (gezamenlijk) maximum. De lastigheid van het koppelen van die termijnen met de content en dus ook de schaalbaarheid van de oplossing bracht Microsoft ertoe een nieuwe functionaliteit te introduceren; adaptive scopes, ofwel ‘adaptieve bereiken’ in de Nederlandstalige tenants. Deze nieuwe oplossing heeft geen limieten in bereik, hooguit in de lengte van de in de query opgenomen syntax. Hierbij wordt de koppeling tussen bewaartermijn en content geautomatiseerd op basis van naamgeving van teams/teamsites (lijkt me niet aan te raden, want kwetsbaar) òf metadata. Bij mailboxen zouden dat metadata in Azure Active Directory kunnen zijn, zoals de functie of rol van de gebruiker (sleutelfiguren!) en bij SharePoint teamsites is dat metadata die wordt meegegeven in de zgn. ‘propertybag’ van een site.
Microsoft presenteert dit laatste als een kans voor de markt (‘extensibility opportunity’), om dit in hun site-provisioning oplossingen mee te bakken. Check ook hoe dit wordt toegelicht in deze zeer leerzame presentatie Automate and customize retention and deletion scenarios op de Microsoft Build conferentie van mei 2022, door Microsofts Roberto Yglesias. In dezelfde presentatie legt Samriddhi Seth uit hoe de (op 19 augustus jl. in het Message Center van je tenant) aangekondigde API’s voor recordsmanagement kunnen helpen met het aftrappen van bewaartermijnen door event triggers van buiten het platform. Als voorbeelden worden daarbij project decharge en ontslag medewerker genoemd.
Verderop in de presentatie behandelt Yglesias de inmiddels aan retentielabels toegevoegde Power Automate werkstroom functionaliteit. Daarbij toont hij als voorbeeld het automatisch verplaatsen van records naar een afzonderlijke siteverzameling, een oplossing die de meer traditioneel ingestelde recordsmanagers als muziek in de oren zal klinken. Maar wellicht ook nieuwe doelen kan dienen, bijvoorbeeld voor een herziene toegankelijkheid van gearchiveerd materiaal.
Ik ben van mening dat automatisering van de toepassing van bewaartermijnen in Microsoft 365, zoals met de adaptive scopes wordt beoogd, een belangrijke stap in de richting van archivering by design is. Tegelijkertijd denk ik dat de huidige belemmeringen door 1. het niet via de Purview editors voor retentielabels en adaptive scopes eenvoudig en zonder technische kennis of aanvullende oplossingen kunnen toepassen van een scope door bijvoorbeeld een recordsmanager en 2. het overlaten aan de developers/leveranciers markt voor nu remmend werken op de implementaties van een verder steeds mooier wordend recordsmanagement product.
PS 25-08-2022: check hier een migratie in 5 stappen van ‘statische’ toepassing retentielabels naar ‘adaptive scopes’
—
Foto: Andy Beales Unsplash