Door: Hans van der Meer – Gepubliceerd op 16 december 2025
Vrijwel iedere organisatie die met Microsoft 365 werkt, heeft te maken met een hardnekkig fenomeen: schaduw-IT. Medewerkers maken gebruik van meer tools dan officieel zijn goedgekeurd. Vaak onbewust en zonder de risico’s te kennen. Denk aan persoonlijke cloudopslag, chatdiensten of AI-toepassingen die snel iets samenvatten of vertalen. Handig in het dagelijks werk, maar vaak buiten het zicht van IT en security. In dit artikel leggen we uit hoe je daar als organisatie grip op kunt krijgen met Microsoft Purview.
Vaak realiseren medewerkers zich niet dat ze iets doen wat technisch gezien niet mag. Ze kiezen voor een applicatie omdat die praktisch is of omdat ze niet weten dat er binnen Microsoft 365 een veiliger alternatief bestaat. Bewust of onbewust: schaduw IT vormt een structureel securityrisico, omdat bedrijfsinformatie zich ongemerkt buiten de gecontroleerde omgeving verplaatst.
Daarom hoort het beheersen van schaduw IT bij de basis van een goed beveiligde Microsoft 365-omgeving. Met Microsoft Purview kun je daar stap voor stap grip op krijgen. Eerst door inzicht te creëren in wat er allemaal wordt gebruikt, daarna door beleid en inrichting daarop af te stemmen en tenslotte door gedrag te bewaken en risico’s tijdig te signaleren. In dit artikel leg ik uit hoe we dat bij Adoptify doen.
Inzicht als startpunt
Zonder goed zicht op wat er binnen én buiten Microsoft 365 gebeurt, blijft informatiebeveiliging een blinde vlek. Je kunt pas bepalen welke maatregelen effectief zijn als je weet waar data naartoe gaat, welke apps medewerkers gebruiken en waar gevoelige informatie mogelijk buiten beeld raakt. Microsoft Defender for Cloud Apps richt zich op het identificeren en beheren van cloudapplicaties die binnen je organisatie worden gebruikt. Microsoft Defender for Cloud Apps analyseert netwerkverkeer en laat zien:
- Welke apps medewerkers gebruiken buiten de Microsoft 365-omgeving (bijvoorbeeld Zoom in plaats van Teams)
- Hoeveel dataverkeer er is en waar data naartoe gaat. Bijvoorbeeld data die opgeslagen is op een (persoonlijke) Google Drive of Dropbox i.p.v. op OneDrive of SharePoint.
- Waar in de organisatie dat vooral gebeurt
- Welke AI-oplossingen hoeveel gebruikt worden. Je kunt bijvoorbeeld meten hoeveel data er gedeeld wordt met ChatGPT of andere AI-oplossingen.
Dat overzicht maakt duidelijk hoe groot het speelveld van schaduw IT is. Soms blijkt dat er structureel data naar externe opslagdiensten gaat of dat AI-tools vaker worden ingezet dan verwacht. Dergelijke inzichten vormen de basis om gefundeerde keuzes binnen je organisatie te maken: wat vinden we acceptabel, wat niet en waarom? Microsoft Defender for Cloud Apps is geen controlemiddel, maar een noodzakelijke realiteitscheck. Je kunt pas beleid maken als je weet wat er werkelijk gebeurt.
Van inzicht naar beleid en inrichting
Zodra je organisatie de risico’s in kaart heeft gebracht, volgt de stap naar het beleid waarop de omgeving wordt ingericht. Organisaties kunnen binnen Purview duidelijke kaders definiëren voor datagebruik. Denk bijvoorbeeld aan:
- Welke informatie vertrouwelijk is en niet buiten Microsoft 365 gedeeld mag worden;
- Welke apps of domeinen zijn toegestaan;
- Welke maatregelen automatisch worden toegepast bij oversharing of verkeerd gebruik.
Met dataclassificatie, labels en Data Loss Prevention (DLP) kunnen bestanden automatisch worden voorzien van de juiste beveiligingsniveaus. Daarnaast helpen oversharing policies om te voorkomen dat documenten per ongeluk te breed worden gedeeld. Hierover hebben we in een eerder blogartikel al meer verteld.
Zo ontstaat een omgeving waarin veilig werken onderdeel wordt van het dagelijks proces — niet als beperking, maar als vanzelfsprekend onderdeel van hoe mensen samenwerken.
Gedrag begrijpen en risico’s vroeg signaleren
Zelfs met goed beleid blijft menselijk gedrag een factor. Medewerkers kunnen bewust of onbewust handelingen verrichten die risico’s vergroten, zoals het downloaden van grote hoeveelheden bestanden of het delen van informatie via persoonlijke mail.
Binnen Purview helpt Insider Risk Management om dat soort gedragspatronen te herkennen. De tool analyseert signalen die kunnen wijzen op afwijkend of risicovol gebruik van data. Als een medewerker bijvoorbeeld opvallend veel gevoelige informatie verplaatst of privékanalen gebruikt, kan dat een aanleiding zijn om te onderzoeken wat er speelt.
Belangrijk daarbij is dat dit pas zinvol is als het beleid en de inrichting al goed staan. Zonder duidelijk kader weet je niet wat ‘afwijkend gedrag’ is. Insider Risk Management is dus geen controlemechanisme, maar een vangnet bedoeld om risico’s vroeg te zien en medewerkers te beschermen tegen onbewuste fouten en bewuste acties.
Van technische grip naar bewuste organisatie
Schaduw IT is een logisch gevolg van de manier waarop mensen werken en innoveren. En met de juiste aanpak kun je het beheersen. Security en Purview bieden de middelen om datagedrag inzichtelijk te maken, beleid te onderbouwen met feiten, risicovol gedrag vroeg te signaleren en automatisch in te grijpen waar nodig.
Het echte verschil ontstaat wanneer organisaties dit combineren met bewustwording: uitleggen waarom bepaalde regels bestaan, en hoe veilig werken iedereen beschermt. Zo groeit informatiebeveiliging uit van een set regels naar een gedeelde verantwoordelijkheid. Gedragen door techniek, beleid én menselijk inzicht.