
De meeste MKB-bedrijven betalen al voor Microsoft Purview via hun Microsoft 365-abonnement, maar zetten het nauwelijks in. E-mailarchivering, gegevensverliespreventie en retentiebeleid zijn geen luxe voor grote bedrijven — ze zijn haalbaar en noodzakelijk voor elke organisatie die werkt met klantdata, contracten of persoonsgegevens.
Wanneer een medewerker een bedrijfslaptop inlevert of een samenwerking met een klant eindigt, verdwijnen soms jaren aan e-mail en documenten met hen mee. Of omgekeerd: een ontevreden medewerker mailt klantgegevens naar zijn privé-adres. Of een datalek treft de organisatie en er blijkt geen enkel logboek beschikbaar om te achterhalen wat er precies is gebeurd.
Dit zijn scenario's die MKB-bedrijven dagelijks raken, maar waarop de meeste organisaties geen technisch antwoord hebben. Terwijl dat antwoord al beschikbaar is, inbegrepen in de Microsoft 365-licentie die ze al betalen: Microsoft Purview.
Microsoft Purview is de overkoepelende naam voor de compliance- en informatiebeheertools in Microsoft 365. Het omvat onder andere e-mailarchivering via Exchange Online Archiving, retentiebeleid voor e-mail en documenten, gegevensverliespreventie (DLP), gevoeligheidslabels voor documenten, en audit- en zoekfuncties voor juridische en compliance-doeleinden.
Purview is geen apart product dat u moet aanschaffen. De basisfuncties zijn beschikbaar in Microsoft 365 Business Basic, Standard en Premium. De geavanceerde functies zoals Purview Information Protection en Insider Risk Management zijn beschikbaar in de E3- en E5-licenties en als add-on voor Business-abonnementen. De meeste MKB-bedrijven komen een heel eind met wat er al beschikbaar is in hun huidige licentie.
Exchange Online Archiving voegt een aparte archiefpostbus toe aan elke gebruiker. E-mails die ouder zijn dan een ingestelde periode worden automatisch verplaatst naar dit archief, dat apart wordt opgeslagen en doorzoekbaar blijft. Het archief is onzichtbaar voor eindgebruikers die het niet nodig hebben, maar volledig doorzoekbaar voor IT-beheerders en compliance-verantwoordelijken.
Waarom is dit relevant? Ten eerste voor juridische dekking. Als er ooit een arbeidsconflict, klachtprocedure of overheidscontrole plaatsvindt, kunt u aantonen wat er wanneer is gecommuniceerd. Ten tweede voor AVG-naleving: u heeft een aantoonbaar register van welke persoonsgegevens via e-mail zijn verwerkt. Ten derde voor operationele continuïteit: als een medewerker vertrekt en zijn mailbox wordt gesloten, blijft de bedrijfscommunicatie bewaard.
De instelling is eenvoudig. In het Microsoft Purview-portaal schakelt u de archieffunctie in per gebruiker of voor de gehele organisatie. Vervolgens stelt u een retentiebeleid in dat bepaalt hoe lang e-mails bewaard blijven. Voor de meeste sectoren is zeven jaar een gangbare periode die aansluit op de fiscale bewaarplicht.
Retentiebeleid gaat verder dan e-mail. In Purview kunt u beleid opstellen voor SharePoint-documenten, Teams-berichten, OneDrive-bestanden en yammer-posts. Per type content bepaalt u of het minimaal een bepaalde periode bewaard moet worden, na verloop van tijd automatisch wordt verwijderd, of handmatig beoordeeld moet worden voor verwijdering.
Voor een MKB-bedrijf zijn twee basistypen beleid waardevol. Het eerste is een bewaarbeleid voor bedrijfskritische documenten. Contracten, facturen, offertes en correspondentie met klanten moeten minimaal zeven jaar bewaard worden op basis van de Nederlandse wetgeving. Een retentiebeleid in Purview zorgt dat deze documenten niet per ongeluk worden verwijderd, ook niet als de medewerker die ze heeft aangemaakt al lang weg is.
Het tweede type is een verwijderbeleid voor persoonsgevoelige communicatie. Niet alle data hoeft voor altijd bewaard te worden. E-mails over personeelszaken na vijf jaar verwijderen, tijdelijke projectbestanden na twee jaar opruimen: een duidelijk verwijderbeleid vermindert het risico bij een datalek, want gegevens die er niet meer zijn kunnen ook niet worden gestolen.
DLP-beleid in Purview detecteert gevoelige informatie in e-mails, bestanden en Teams-berichten, en kan automatisch ingrijpen. Denk aan een e-mail die een BSN-nummer, een IBAN of een groot aantal e-mailadressen bevat en wordt verstuurd naar een extern adres. Purview kan die e-mail blokkeren, de verzender waarschuwen, de ontvangst toestaan maar loggen, of een melding sturen naar de compliance-verantwoordelijke.
Purview bevat ingebouwde detectietemplates voor tientallen typen gevoelige informatie, waaronder Nederlandse sofinummers, EU-betaalkaartgegevens, IBAN-nummers, paspoortnummers en medische informatie. U kunt ook eigen patronen definiëren, zoals uw interne ordernummers of klantreferenties.
Een praktisch startpunt voor MKB-bedrijven is een DLP-beleid dat e-mails met meer dan tien e-mailadressen in de bijlage signaleert en de afzender vraagt te bevestigen dat verzending bedoeld is. Dit eenvoudige beleid vangt een van de meest voorkomende dataleklissenscenties: het per ongeluk doorsturen van een klantenlijst. De meeste instellingen in de beginfase worden ingesteld in 'testmodus', waarbij overtredingen worden gelogd maar nog niet worden geblokkeerd. Zo leert u het gedragspatroon van uw organisatie kennen voordat u beleid handhaaft.
Gevoeligheidslabels zijn markeringen die aan documenten en e-mails worden gekoppeld en die beveiligingsinstellingen afdwingen ongeacht waar het bestand terecht komt. Een document gelabeld als 'Vertrouwelijk' kan ingesteld worden zodat het niet kan worden afgedrukt, niet kan worden doorgestuurd naar buiten de organisatie, en automatisch wordt versleuteld. Als het document op een USB-stick staat, een onbeveiligde cloudopslag of een persoonlijke laptop, blijft de versleuteling actief.
Voor MKB-bedrijven is de aanbevolen aanpak: begin met drie labels. 'Intern' voor standaard bedrijfsdocumenten, 'Vertrouwelijk' voor klantdata, contracten en financiële documenten, en 'Strikt vertrouwelijk' voor directie-informatie, fusie- en overnamestukken of personeelsdossiers. Labels kunnen worden toegepast door gebruikers zelf, automatisch op basis van de inhoud van het document, of verplicht worden gesteld voor specifieke documenttypen.
Purview houdt een gedetailleerd auditlogboek bij van activiteiten in Microsoft 365: wie heeft welk bestand geopend, wie heeft een e-mail doorgestuurd, wie heeft een document verwijderd, wie heeft ingelogd vanuit welk land. Dit logboek is doorzoekbaar en kan worden geëxporteerd voor incidentonderzoek of accountantscontrole.
Het auditlogboek is niet alleen nuttig bij incidenten. Het geeft ook inzicht in gedragspatronen: wie downloadt ongewoon veel bestanden voor vertrek? Welke medewerkers sturen regelmatig bijlagen naar externe adressen? Dit zijn signalen die Insider Risk Management verder analyseert in de hogere licentieplannen.
Vijf stappen die elke MKB-organisatie in de komende zes weken kan zetten. Ten eerste, activeer e-mailarchivering voor alle gebruikers en stel een standaard retentieperiode van zeven jaar in. Dit kost dertig minuten en is de investering direct waard.
Ten tweede, maak een retentiebeleid voor SharePoint en OneDrive met dezelfde zeven jaar voor zakelijke documenten en twee jaar voor projectmappen en tijdelijke bestanden. Ten derde, activeer het auditlogboek als dat nog niet actief is. Het logboek slaat standaard 90 dagen op; zet dit met een Purview Audit-licentie op minimaal een jaar.
Ten vierde, voer een DLP-beleid in testmodus in voor de meest voor de hand liggende gevallen: BSN-nummers, IBAN-nummers en grote hoeveelheden e-mailadressen in uitgaande e-mail. Evalueer de testresultaten na twee weken en activeer de daadwerkelijke handhaving. Ten vijfde, definieer drie gevoeligheidslabels en train de medewerkers die met klantdata werken in het correct labelen van documenten.
Purview is geen eenmalig project maar een doorlopend beheerproces. Wie er eenmaal mee begint, merkt snel dat het niet alleen risico vermindert maar ook operationeel inzicht geeft dat voorheen ontbrak. Wilt u hulp bij het opzetten van Purview in uw Microsoft 365-omgeving of bij het opstellen van een retentie- en DLP-beleid op maat? Neem contact op met Zarioh voor een vrijblijvend gesprek.
Was dit artikel nuttig?
Zarioh Digital Solutions
IT-specialisten uit Utrecht. Wij helpen bedrijven door heel Nederland met Microsoft 365, AI agents, hosting en telefonie — en delen hier wekelijks wat we in de praktijk tegenkomen. Volg ons op LinkedIn
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.