Veel ondernemers gebruiken Microsoft 365 dagelijks voor e-mail, Teams-vergaderingen, bestanden in SharePoint en OneDrive en samenwerkingen in Exchange Online. Toch roept dit vaak vragen op over persoonsgegevens, bewaartermijnen en wie er precies verantwoordelijk is onder de GDPR.
In dit artikel leggen we helder uit wat je als ondernemer moet regelen binnen Microsoft 365, van licentiebeheer tot praktische instellingen in Teams, SharePoint en Exchange Online. We geven concrete voorbeelden en direct toepasbare tips zodat je GDPR-proof aan de slag kunt.
Waarom GDPR belangrijk is voor Microsoft 365-gebruik
GDPR gaat over het beschermen van persoonsgegevens van klanten, leveranciers en medewerkers. Microsoft 365 bevat vaak die persoonsgegevens: e-mails in Exchange Online, bestanden in SharePoint en OneDrive, en chatberichten in Teams.
Als je dit niet goed organiseert, loop je risico op datalekken, boetes en reputatieschade. Daarom is het belangrijk om technische en organisatorische maatregelen te treffen die aansluiten op de wetgeving.
Wie is verantwoordelijk? Verwerkingsverantwoordelijke vs verwerker
Als ondernemer ben je vaak verwerkingsverantwoordelijke: jij bepaalt waarom en hoe persoonsgegevens worden verwerkt. Microsoft fungeert meestal als verwerker voor diensten zoals Exchange Online, SharePoint en Teams.
Dat verandert niets aan jouw verplichtingen: jij moet de rechtsgrond, minimale dataverwerking en beveiliging aantonen. Microsoft levert tools en contracten, maar de configuratie en het gebruik zijn jouw verantwoordelijkheid.
Praktische tip: zorg voor een verwerkersovereenkomst
- Controleer of je organisatie een geldige verwerkersovereenkomst (DPA) met Microsoft heeft via je MSA of CSP.
- Documenteer welke subverwerkers zijn toegestaan en welke data-incident procedures gelden.
Wat Microsoft 365 regelt en wat jij moet doen (shared responsibility)
Microsoft zorgt voor fysieke beveiliging, infrastructuurbeveiliging en veel platformfuncties. Jij bent verantwoordelijk voor tenantconfiguratie, gebruikersbeheer, toegangsrechten en het juiste gebruik van compliance-tools.
Zie het als gedeelde verantwoordelijkheid: Microsoft biedt functies (zoals Data Loss Prevention en sensitivity labels), maar jij moet ze inschakelen en toepassen op je data.
Praktische tip: beheer je tenant als een proces
- Wijs duidelijke admin-rollen toe (minimaal aantal Global Admins).
- Stel life-cycle processen op voor gebruikers: onboarding, rolwissel, offboarding.
- Documenteer standaardconfiguraties (sharing, retentie, audit) en voer periodieke controles uit.
Exchange Online — e-mail, retentie en eDiscovery
E-mail bevat vaak gevoelige persoonsgegevens: offertes, facturen en HR-communicatie. Exchange Online biedt retentiebeleid, mailbox auditing en eDiscovery om aan GDPR-eisen te voldoen.
Gebruik retentiepolicies om e-mails niet langer te bewaren dan nodig is en zet mailboxaudit en mailboxrechten goed in voor forensisch onderzoek en bewijsvoering.
Praktische tip: DLP en retentiepolicies voor e-mail
- Activeer DLP (Data Loss Prevention) om gevoelige informatie (zoals BSN of creditcardnummers) te detecteren en te blokkeren of te waarschuwen.
- Stel retentie- en bewaarbeleid in via Microsoft Purview zodat e-mails automatisch gearchiveerd of verwijderd worden.
SharePoint en OneDrive — delen en datalekken voorkomen
SharePoint en OneDrive zijn krachtig voor samenwerking, maar externe sharing en permissiemismatchen zijn bekende bronnen van datalekken. Een verkeerd ingestelde bibliotheek kan gevoelige documenten publiek toegankelijk maken.
Beperk externe sharing, controleer permissies en gebruik sensitivity labels om gegevens op documentniveau te classificeren en te beschermen.
Praktische tip: stel externe sharing en permissies strak in
- Beperk sharing op site- of tenant-niveau en zet standaard delen op ‘intern’ tenzij strikt nodig.
- Gebruik het principe van minimale rechten: geef alleen de benodigde toegang (view/edit) en controleer externe gasten regelmatig.
- Activeer ‘sharing reports’ en review audit logs voor verdachte activiteiten.
Teams — gesprekken, bestanden en gasten
Teams slaat chatlogs, bestanden en vergaderopnames op en kan externe gasten uitnodigen. Deze content kan persoonsgegevens bevatten en moet onder toezicht staan van je compliance-beleid.
Zorg dat opnamebeleid, gasttoegang en bewaartermijnen helder zijn; anders kun je niet adequaat reageren op verzoeken van betrokkenen of op incidenten.
Praktische tip: opname- en compliance-instellingen
- Beperk opname-mogelijkheid tot specifieke rollen en bewaak wie opnames kan downloaden.
- Configureer retentionpolicies voor chat en kanaalberichten in Teams.
- Beperk guest access en gebruik Conditional Access voor externe devices.
Licentiebeheer en compliance-functies
Niet elke Microsoft 365-licentie heeft dezelfde compliance- of securityfeatures. Functies zoals advanced DLP, eDiscovery, sensitivity labels en Defender for Office 365 zitten vaak in E3/E5 of add-ons.
Goed licentiebeheer zorgt dat je niet betaalt voor onnodige functies en dat je wel de juiste tools hebt voor GDPR-compliance.
Praktische tip: kies licenties op basis van compliancebehoefte
- Breng in kaart welke compliance-functies je nodig hebt (DLP, eDiscovery, audit, retention).
- Kies E3 of E5 of combineer met add-ons waar nodig; documenteer kosten en functies in je IT-budget.
- Controleer regelmatig of licenties overeenkomen met actieve gebruikers en hun rol.
Technische maatregelen die je direct kunt instellen
Er zijn concrete instellingen in Microsoft 365 die je snel kunt toepassen om risico’s te verkleinen en GDPR-eisen te ondersteunen.
- Activeer Multi-Factor Authentication (MFA) voor alle accounts.
- Gebruik Conditional Access om toegang te beperken op basis van locatie of apparaatstatus.
- Stel sensitivity labels en automatische encryptie in voor gevoelige documenten en e-mails.
- Configureer DLP-regels en bewaarbeleid via Microsoft Purview.
- Schakel organisatie-brede audit logs en alerting in.
- Implementeer externe back-up (third-party) want Microsoft biedt geen langdurige point-in-time back-up voor verwijderde items.
Audit, documentatie en verwerkingsregister
GDPR vraagt niet alleen technische maatregelen maar ook aantoonbare documentatie. Houd een verwerkingsregister bij en leg verantwoording af over genomen maatregelen.
Documenteer DPIA’s (Data Protection Impact Assessments) voor risicovolle verwerkingen, bewaar verwerkersovereenkomsten en test periodiek je incident response.
Praktische tip: simpele auditflow
- Maak een verwerkingsregister met systemen (Exchange Online, Teams, SharePoint, OneDrive).
- Noteer verwerkingstypes, bewaartermijnen en rechtsgrond per dataset.
- Plan jaarlijkse reviews en random checks op permissies en externe sharing.
AllesOverHosting helpt organisaties met tenant-audits, licentieadvies en het inrichten van security- en compliance-instellingen binnen Microsoft 365. Wil je dat wij meedenken over jouw configuratie? Vraag een praktische tenant-check aan.
Praktische check die je nu direct kunt doen: controleer of alle accounts MFA hebben, review externe sharing-instellingen voor SharePoint/OneDrive en bevestig dat je een geldige verwerkersovereenkomst (DPA) met Microsoft hebt ondertekend.