Op 22 september spraken Erica Toelle, senior product marketing manager Microsoft compliance product team en ondergetekende bij de Xillio virtuele roundtable over de nieuwe ontwikkelingen in recordsmanagement in Microsoft 365. Het was de derde sessie “Records management en archiveren in Microsoft 365” in een reeks en het is duidelijk dat de belangstelling voor het onderwerp groot is. Fijn dat Xillio, een bekende migratie partner, de gelegenheid bood. Onderstaande tekst is een bewerking van mijn blog voor de Xillio website.
Met Microsoft 365 is voor veel organisaties en bedrijven ‘archiving by design’ voor samenwerking en documentbeheer in de kantooromgeving binnen het bereik gekomen. Wat is anders dan bij werken met een afzonderlijk document management systeem en wat zijn aandachtspunten voor inrichting en beheer?
‘Archiving by design’ versus ‘dedicated’ documentmanagement systeem
Overheidsorganisaties en commerciële bedrijven hebben meer dan vijf en twintig jaar lang hun e-mailberichten en documenten door medewerkers laten bewaren in mailboxen en op fileshares. Om meer compliant te zijn aan wet- en regelgeving is er vaak ook nog een documentmanagement systeem waarin een klein deel van die informatie als kopie wordt opgeborgen. Meestal is aan deze systemen dan ook nog een groep beheerders met specifieke archivistische kennis verbonden die zorgt voor verrijking met metadata van dat kleine deel informatie. En natuurlijk zorgen ze voor de tijdige vernietiging wanneer de bewaartermijn ervan is geëxpireerd. Zodat deze kopieën geen jaar langer dan de voorgeschreven termijn in de organisatie zullen zijn. En vaak gaat aan die vernietiging dan nog een procedure voor vaststelling van de definitieve vernietigingslijst vooraf, met raadpleging van de proceseigenaar, de toezichthoudende instanties en de recordsmanager van de organisatie. Kortom: een heel ritueel om tot de zorgvuldige verwijdering van die kopieën te komen. Dat elders – in mailboxen, op fileshares, in SharePoint teamsites en wellicht nog in andere systemen – diezelfde informatie vaak in veelvoud is opgeslagen geeft al die inspanning en zorgvuldigheid iets komisch. Als recordsmanagement op zich niet zo’n serieuze zaak was: archivering is één van de peilers van democratische verantwoording voor overheidsorganisaties en een belangrijke bron voor juridische verantwoording door commerciële bedrijven.
Het zou voor de hand liggen om deze voor veel kantooromgevingen bekende informatiesoorten – documenten, e-mail, inmiddels ook chat en video – te archiveren aan de bron, daar waar ze worden gecreëerd, bewerkt en opgeslagen. Microsoft 365 is voor veel organisaties en bedrijven het platform geworden voor deze opslag. En Microsoft biedt met recordsmanagement- en compliance functionaliteiten steeds beter de mogelijkheden om behoud en tijdige vernietiging in te richten en te beheren. Daarmee is ‘archiving by design’ onderdeel geworden van één van de grootste platforms voor samenwerking en documentbeheer.
Aandachtspunten voor recordsmanagers bij inrichting
Bij de inrichting van recordsmanagement in Microsoft 365 is er in het Compliance Center een keuze uit twee functionaliteiten voor archivering. Er kan gewerkt worden met ‘bewaarbeleid (retention policies)’ voor een one-size-fits-all benadering bijvoorbeeld op hele mailboxen of hele SharePoint teamsites. Na afloop van de termijn is er geen gelegenheid voor review, dan vindt verwijdering plaats. Met de oplossing ‘retentielabels (retentionlabels)’ daarentegen is het mogelijk tot op microniveau (per item, per map, per documentset bijvoorbeeld) de termijn te bepalen. Ook kunnen retentielabels, in tegenstelling tot bewaarbeleid, na afloop van de termijn een vernietigingslijst creëren in de oplossing Recordsmanagement in het Compliance Center. Verder is het mogelijk de toepassing van retentielabels te automatiseren, door het systeem te laten zoeken naar te archiveren items, op basis van bepaalde documentkenmerken of -content. Voor sommige applicaties in Microsoft 365 kunnen beide oplossingen worden toegepast of een keuze gemaakt (zoals voor Exchange, voor SharePoint en voor OneDrive). Voor andere is uitsluitend Bewaarbeleid beschikbaar (zoals voor chat en kanaal postings in Teams). Overigens: naast deze twee recordsmanagement oplossingen beschikt Exchange Online nog altijd ook over een eigen archief oplossing die onder een rechter muisklik bij iedere e-mail enkele bewaartermijnen aanbiedt. De functionaliteiten in het Compliance Center worden voortdurend uitgebreid, zodat de recordsmanager sinds kort ook gebruik kan maken van maximaal vijf review fasen na afloop van een termijn, bijvoorbeeld om achtereenvolgens de business, een (archief-)toezichthouder en uiteindelijk de recordsmanager te laten adviseren en beslissen over een voorgenomen vernietiging. Ook heeft Microsoft sinds zeer kort mogelijk gemaakt om dynamisch bewaartermijnen te koppelen aan sites en aan mailboxen op basis van veranderingen in kenmerken. Deze zogenaamde ‘adaptive scopes’ (nu in public preview, dat wil zeggen de laatste fase vóór algemene beschikbaarheid binnen de gegeven licentie) maken bijvoorbeeld een scenario voor e-mailarchivering op basis van wisselende status en rollen als in de ‘Capstone-methode’ beschreven mogelijk.
Het is belangrijk dat recordsmanagers weten dat bepaalde hierboven genoemde recordsmanagement functionaliteiten uitsluitend beschikbaar zijn wanneer de eindgebruikers die met de items werken beschikken over een E5/A5 licentie of aanvullend op de E3 licentie een deellicentie daarvan (E5 compliance, Informatie protection and Governance). Dat geldt onder andere voor de vernietigingslijst en voor automatisering van toepassing van retentielabels. Hoewel Microsoft er technisch (nog) niet in slaagt om al deze functionaliteiten uitsluitend zichtbaar te maken voor deze duurdere licentietypen houders – en het daardoor in de praktijk niet altijd duidelijk is welke functies nu werken onder welke licentie – heeft Microsoft aangegeven dat haar klanten niet Microsoft-licentie compliant zijn mochten ze gebruik willen maken van de functionaliteiten zonder de passende licentie aan te schaffen. En bovendien is het niet uitgesloten dat de functionaliteiten ook daadwerkelijk worden weggewerkt achter de licentie-muur.
Wat verandert in het beheer?
Een laatste, voor het beheer van Microsoft 365 belangrijk punt is de verandering die het platform veroorzaakt in de samenstelling van het beheerteam. De samenhang tussen de onderdelen van het platform is groot: teams-creatie in Teams leidt tot SharePoint teamsites en autorisatiegroepen, de functies voor verwijdering – van bijvoorbeeld Teams berichten, van sites, van metadatawaarden, etc. – zijn ondergebracht in verschillende beheercentra. Dus naast het Compliance Center, waarin de functies zijn ondergebracht voor bewaartermijnen, recordbeheer, verwijdering, privacybeheer, zoeken en vinden ten behoeve van juridisch onderzoek en WOB, zijn er genoeg andere beheerlocaties waar recordsmanagers en informatiebeheerders wat te zoeken hebben.En dat betekent dat al die Exchange-beheerders, Office-beheerders, SharePoint-beheerders, (legacy-)DMS-beheerders èn – natuurlijk – recordsmanagers zullen moeten leren hoe ze zich tot elkaar verhouden en tot het platform Microsoft 365.
Er zijn standaardrollen voor onder andere ‘compliancemanager’ en ‘recordsmanager’, maar Microsoft 365 beheer is een team-inspanning, zoveel is zeker.
