Door Hans van der Meer – Gepubliceerd op: 1 september 2025
De rol van informatiemanagement binnen Microsoft 365 is door de opkomst van AI opeens heel actueel geworden. Wat ik merk is dat veel organisaties wakker zijn geschud. Ze willen graag aan de slag met Microsoft 365 Copilot, maar hun informatiemanagement en dataclassificatie zijn vaak niet op orde. Dat komt omdat tijdens de coronaperiode iedere organisatie plots veel intensiever met Microsoft 365 is gaan werken. Tools als Teams, OneDrive en SharePoint werden massaal ingezet om online samen te werken. Daarnaast werden lokale netwerkschijven gewoon nog gebruikt.
Het gevolg: veel ongestructureerde data die overal en nergens staan. Denk aan presentaties, documenten, rapporten, maar ook talloze exports uit allerlei businessapplicaties. Veel van die data wordt eenmalig gebruikt en daarna vergeten. Zo bouw je als organisatie in korte tijd een enorme berg ongestructureerde data op.
Zolang je daar niet naar omkijkt, lijkt het misschien geen probleem. Maar als je AI gaat toepassen op diezelfde data, kan dat tot van alles leiden. Toegang is vaak niet goed geregeld, privacygevoelige informatie duikt op onverwachte plekken op en niemand weet nog precies welke data precies waar staat.
De eerste stap voor veel organisaties is daarom het erkennen van die problematiek: we hebben een enorme hoeveelheid ongestructureerde data, maar weten niet goed waar die uit bestaat of wat de risico’s zijn. Ik leg je uit welke vier stappen je vervolgens moet zetten om grip te krijgen op die ongestructureerde data.
1. Welke data heb je?
De eerste stap is onderzoeken welke data er daadwerkelijk aanwezig is en welke risico’s daarin schuilgaan. De kernvraag: bevindt zich in deze bestanden privacygevoelige of bedrijfskritische informatie? Met Microsoft Purview eDiscovery kun je jouw volledige Microsoft 365-omgeving scannen op dergelijke gegevens. De technologie genereert een rapport dat aangeeft welke informatie is gevonden en met welke waarschijnlijkheid die classificatie klopt.
Een voorbeeld: er wordt een document aangetroffen met een burgerservicenummer. Het rapport geeft daarbij aan dat de kans dat dit daadwerkelijk een BSN betreft 95% is. De analyse kijkt niet alleen naar een reeks cijfers, maar naar de context waarin deze voorkomt. Zo kan ook het gebruik van een afkorting of de aanwezigheid van aanvullende gegevens de betrouwbaarheid van de herkenning verhogen.
Deze fase levert voor het eerst een overzicht op: welke soorten informatie bevinden zich binnen de organisatie, welke risico’s zijn aanwezig en waar ligt het eigenaarschap? Vervolgens dringt zich de vraag op of bepaalde documenten bewaard moeten blijven, of juist verwijderd kunnen worden. Bijvoorbeeld wanneer de oorspronkelijke eigenaar niet langer in de organisatie werkzaam is.
2. Classificatie van data
Na het onderzoek volgt de stap van classificatie. Daarmee geef je documenten een formele status, bijvoorbeeld ‘openbaar’ of ‘vertrouwelijk’. Op papier lijkt dat helder, maar in de praktijk blijkt dat organisaties zulke begrippen verschillend invullen.
Zo kan de classificatie ‘openbaar’ betekenen dat een document intern door iedereen gezien mag worden, maar ook dat het zonder problemen extern gedeeld mag worden. Vertrouwelijk kan bedoeld zijn voor één klein team of voor een brede groep medewerkers. Als je deze definities niet goed vastlegt, ontstaat er verwarring en is het risico groot dat gevoelige informatie onbedoeld toch gedeeld wordt.
Binnen Microsoft Purview Information Protection leg je daarom organisatiebreed vast wat elke classificatie betekent en hoe die toegepast moet worden. Dat vormt de basis om data consistent te behandelen en beleid later technisch te kunnen afdwingen.
3. Beleid koppelen aan informatie
Na het vaststellen van de juiste classificaties volgt de toepassing van sensitivity labels in Microsoft Purview. Hiermee ken je aan ieder document expliciet een status toe die bepalend is voor het toegestane gebruik. Een label op zichzelf is slechts een markering. Pas door labels te combineren met Information Protection en Data Loss Prevention (DLP) ontstaat daadwerkelijke beheersing. Voorbeelden hiervan zijn:
- Het automatisch blokkeren van het uploaden van vertrouwelijke documenten naar een persoonlijke cloudomgeving
- Het tegenhouden van een e-mail in Outlook waarin gevoelige gegevens als bijlage worden meegestuurd
DLP-beleid geldt bovendien niet alleen in de Microsoft 365-omgeving, maar ook over eindpunten zoals mobiele apparaten. Daarmee voorkom je dat informatie buiten de controle van je organisatie terechtkomt, ongeacht via welk kanaal data wordt gedeeld.
4. Inzicht en bewustwording
De laatste fase richt zich op inzicht en verantwoording. CISO’s en Functionarissen Gegevensbescherming hebben behoefte aan rapportages die laten zien waar risico’s zich voordoen. Welke medewerkers proberen gevoelige informatie te delen? Via welke kanalen gebeurt dit? En welke patronen zijn zichtbaar?
Met compliance reporting in Microsoft Purview maak je dit inzichtelijk. Vervolgens kun je gericht maatregelen nemen. Soms betekent dit het aanscherpen van technische blokkades, maar vaak ligt de nadruk op training en bewustwording. Belangrijk om te begrijpen: incidenten komen zelden voort uit kwade opzet. Vaak proberen medewerkers hun werk zo efficiënt mogelijk te doen. Wanneer beleid te ingewikkeld of omslachtig is, zoeken zij alternatieve routes. Denk aan het gebruik van WeTransfer als het delen van grote bestanden via Microsoft 365 niet wordt toegestaan.
Daarom is het essentieel dat meldingen niet alleen waarschuwen, maar ook een alternatief bieden. Als een medewerker een document niet via e-mail mag versturen, moet de melding direct aangeven dat dit wel veilig kan via OneDrive of SharePoint. Zo wordt niet alleen de naleving van beleid bevorderd, maar ook de bewustwording vergroot.
Fundament voor veilig en verantwoord werken met AI
De inzet van AI maakt duidelijk hoe groot het belang is van goed ingerichte informatiebeveiliging. Door de stappen in dit blog te volgen (en te zien als continu proces), creëer je als organisatie de noodzakelijke basis om grip te krijgen op je data.
Met de mogelijkheden van Microsoft Purview kun je dit proces technisch ondersteunen. Daarmee wordt niet alleen het risico van datalekken verkleind, maar ontstaat ook een fundament waarop veilig en verantwoord met AI kan worden gewerkt.