Welkom bij de achtste blog, en deel twee van retentie labels, in onze reeks over Microsoft Purview en data governance. In de vorige blog beschreven we drie manieren om je archief in te richten op basis van bewaartermijnen, documenttypen, of metadatagegevens. In dit deel laten we zien hoe je die drie aanpakken concreet inricht in Microsoft Purview en wat de voor- en nadelen zijn.
Even voorstellen
Wij zijn Rene Vlieger (Business Consultant en Microsoft MVP bij Ofifty), Willem Jonkers (Solution Engineer bij AvePoint) en Jeroen Bijdevier (Security Architect bij AVK). Samen bundelen we onze kennis vanuit de business, de techniek en de beveiliging.
De juiste rechten
Om retentie in Purview in te richten heb je de juiste rechten nodig. Vanuit het principe van least privilege is de rol Compliance Administrator voldoende. Voor organisaties die werken met formele records en disposition reviews is er de rol Records Management.
Wanneer je binnen Purview documenten wil zien of documenten wil inkijken heb je aanvullende rechten (rollen) nodig. Met content list zie je de verschillende documenten en met content view kan je ze ook inzien.
De drie inrichtingskeuzes
In deel 1 beschreven we drie manieren om je archief in te richten. Hieronder laten we zien hoe elk van die aanpakken er technisch uitziet in Purview.
Aanpak 1: op basis van bewaartermijnen
Dit is de eenvoudigste aanpak. Je maakt retentie labels aan per bewaartermijn bijvoorbeeld 1 jaar, 10 jaar, 30 jaar en publiceert deze via een label policy naar SharePoint. Medewerkers zien de labels verschijnen in de documentbibliotheek en kiezen zelf het juiste label.
Wanneer de bewaartermijn verloopt, wordt het document automatisch vernietigd of aangeboden voor een disposition review door een aangewezen functionaris. Die functionaris kan het document goedkeuren voor verwijdering, her-labelen of de termijn verlengen.
Aanpak 2: op basis van documenttypes
Bij deze aanpak koppel je retentie labels aan specifieke documenttypen zoals ‘CV’, ‘Overeenkomst’ of ‘Rapport’. Purview biedt hiervoor twee mechanismen:
- Op basis van gevoelige informatie typen: zoals BSN-nummers of IBAN-nummers die typerend zijn voor een bepaald documenttype
- Op basis van trainable classifiers: Purview leert op basis van voorbeelddocumenten herkennen wat een ‘Overeenkomst’ of ‘Rapport’ is
De AVG stelt dat cv’s van afgewezen kandidaten uiterlijk na vier weken verwijderd moeten zijn. Door Purview automatisch cv’s te laten herkennen en labelen, wordt deze beleidsregel automatisch afgedwongen zonder dat een medewerker eraan hoeft te denken. Wij mensen vergeten wel eens wat.
Aanpak 3: op basis van metadatagegevens
Een andere methode is werken via een metadata label in SharePoint. Je koppelt retentie aan een statuswaarde gekoppeld aan het werkproces. Zodra een medewerker een document markeert als ‘Afgerond’, wordt automatisch het retentie label toegepast. Dit is een proces van Microsoft wat wekelijks deze document voorziet van de retentie label.
Een bijkomend voordeel is dat het metadata label collega’s ook inzicht in de status van een document geven en je kan in bulk documenten metadateren.
Hoe je dit van A tot Z moet inrichten heb ik gedocumenteerd en kan ik desgevraagd met je delen.
Wanneer begint de retentieperiode?
Ongeacht de gekozen aanpak, is de startdatum van retentie een cruciaal besluit. Purview biedt een aantal opties: aanmaakdatum, datum van laatste wijziging, datum van label-toepassing, en event-based retentie. Binnenkort komt daar een zeer gewenste optie bij namelijk “laatst geopend”. Zie de uitleg van Eric Burger hier over: https://ericburger.nl/microsoft365/microsoft-365-recordsmanagement-archiveren-obv-laatst-geopend/
De principes van retentie
Wanneer meerdere retentie instellingen van toepassing zijn op hetzelfde item, geldt altijd: bewaren gaat voor vernietigen, de langste bewaartermijn prevaleert en een label op item niveau wint altijd van een policy op container niveau. De volledige beslisboom staat in de officiële Microsoft documentatie.
Conclusie
De drie methodes sluiten elkaar niet uit en het is goed mogelijk om ze te combineer. Elke aanpak heeft voor- en nadelen. Hieronder een overzicht van de opties met mijn mening 😉.
Aanpak 1: op basis van bewaartermijnen
Deze methode is eenvoudig te implementeren omdat ze uitgaat van vaste bewaartermijnen. Medewerkers begrijpen deze aanpak doorgaans goed, maar het vraagt wel om hun actieve inzet.
Aanpak 2: op basis van documenttypes
Dit is een volledig automatisch proces, geen eindgebruiker handeling nodig. Het vereist een goede informatieanalyse vooraf en het trainen van je documenten kost tijd. Adoptie is ook essentieel want er gebeurt iets automatisch en de medewerkers moeten dit begrijpen (en vertrouwen).
Aanpak 3: op basis van metadatagegevens
Werken met metadata labels, gekoppeld aan een werkproces, geeft eindgebruikers inzicht in de status van de documenten. De retentie labels worden indirect, via de metadata labels, gezet op de documenten en dit kan ook in bulk worden gedaan. Het vereist wel een eindgebruikershandeling. Toch is dit mijn voorkeur hoewel het natuurlijk altijd situatie afhankelijk is.
Net als bij iedere verandering is het belangrijk om groot te denken, maar klein te beginnen. Kies de methode die het beste aansluit bij je doel en bouw dit vervolgens verder uit. Retentie is op zichzelf niet ingewikkeld, maar kan snel complex worden wanneer er te veel elementen tegelijkertijd worden geïmplementeerd.
En vergeet niet: Copilot is afhankelijk van de inhoud in je omgeving. Een goed ingericht retentiebeleid zorgt dat Copilot werkt met actuele en betrouwbare informatie.