Vijf dingen over SharePoint, Office 365 en compliance

Buiten schijnt de zon New York - Foto: Markus Burgeren iedereen denkt aan vakantie, nietwaar? Met deze blog sluit ik een seizoen af. In alle drukte van dit half jaar ga ik helemaal voorbij aan het memoreren van tien jaar ‘eric burger document management’,  op 2 mei van dit jaar. En waar kon ik dat mooier vieren dan in Chicago bij de Microsoft Ignite conferentie? Maar goed, wat is mij nu de afgelopen periode het meest opgevallen rond SharePoint, Office 365 en compliance? Daarom vijf dingen op een rij.

  1. Het gaat zo snel

Ik krijg veel vragen over Office 365, spreek in mijn cursusssen en bij presentaties veel mensen uit verschillende disciplines uit verschillende organisaties en bedrijven. En hoewel je altijd personen tegen blijft komen die SharePoint nog steeds beoordelen op de capaciteiten uit de 2003 of 2007 release, valt me op dat je wel een hobbyist of freak moet zijn wil je het tempo van ontwikkeling rond Office 365 kunnen bijbenen. Je eens in de drie jaar verdiepen in de nieuwe features van een SharePoint on premise release is er hier niet bij. Zelfs met je neus boven op de Office 365 roadmap kan je overvallen worden door geheel nieuwe functionaliteiten (ik had dat pas nog, met Office Sway).

Het nemen van strategische beslissingen over de informatiehuishouding voor je organisatie en bedrijf kan alleen wanneer objectieve en actuele kennis voorhanden is en wanneer de richting van de productontwikkeling door de leverancier duidelijk is.

  1. Er zit een idee achter

Wij – de informatiewerkers en recordmanagers – zijn gewend geraakt aan de situatie dat digitale informatie en digitale documenten zich in verschillende systemen bevonden. Documenten op fileshares, e-mails in Exchange en daarnaast brachten we dan ons eigen document management systeem in stelling. Of we hadden inmiddels wel een ECM platform als SharePoint en de content was all over the place. Maar meestal niet in het DMS of RMA. Althans, wel de gedigitaliseerde content uit post. Maar e-mail archivering bleef ook na meer dan twintig jaar intern en extern zakelijk communiceren an archivist’s nightmare. Wat nu als we het handmatig verslepen naar afzonderlijke opslaglocaties achterwege konden laten? Niet langer afhankelijk waren van ondersteunende medewerkers in de uitvoering? (zeg nu zelf, stel dat echt alle archiefwaardige (waarover een andere keer meer) e-mailberichten door DIV-medewerkers naar de juiste plaats in het digitaal archief zouden moeten worden geloodst; opgelost was het werkloosheidsprobleem).

Daar komt bij dat als de afzonderlijke systemen al maatregelen toestaan voor compliance en beveiliging, deze op zijn best worden toegepast in één van die silo’s, het DMS/RMA. Op alle andere plekken waar documenten en berichten worden opgeslagen is versiebeheer, veiligheid, tijdige vernietiging of juist zorgvuldige bewaring, ver te zoeken.

Dat nu is waar Microsoft gestructureerd en vastberaden aan werkt: ‘unified policies and pervasive controls’ op compliance gebied. ‘Unified’ in de zin dat maatregelen voor alle toepassingen (Exchange, Onedrive4B, Lync, SharePoint, maar ook third party tooling zoals Yammer vanuit compliance optiek nog steeds is). En ‘pervasive’, omdat toe te passen maatregelen geldig moeten blijven, in het systeem, maar ook na verplaatsing of verzending. Waarbij een afzonderlijke omgeving voor records niet nodig is, omdat alle items ‘in place’ beschermd kunnen worden.

  1. Office 365 compliance groeispurt

Het idee spreekt me aan. Ik denk dat we te lang hebben geprobeerd om digitaal een papieren wereld na te bootsen, waarin we als recordsmanagers braaf aan de deur van ons archief de te archiveren dossiers stonden op te wachten. En we heer en meester waren achter die deur. Nog een tijd lang hebben we dat geprobeerd vol te houden achter de digitale deuren van ons DMS/RMA. Maar in de loop van jaren heeft de technologie ons ingehaald. Dat wil zeggen de technologie voor digitaal werken.

Microsoft kondigde vorig jaar maart op de laatste SharePoint Conference aan dat Office 365 zou worden uitgebreid met een Compliance Center. Eén console – sinds Q1 2015 in productie – van waaruit onder andere bewaren, vernietigen, legal hold en auditing ten aanzien van de verschillende workloads kan worden beheerd. In de loop van 2014 en nu in 2015 zijn er in hoog tempo zoveel ‘customer controls’ toegevoegd aan Office 365, check vooral de Office blogs, Channel 9 en video’s van Office Mechanics (en hier) voor alle (nieuwe) features: data loss prevention (DLP), Mobile Device Management (MDM), Information Rights Management (IRM), Compliance Search, Preservation, Deletion, Encryption, Auditing reports, E-discovery, Customer Lockbox, encryptie, etc. In de Channel 9 video’s van MSIgnite vind je ook demonstraties van functionaliteiten, ook als ze nog niet in productie zijn genomen.

  1. De veilige cloud

De aantrekkingskracht van Office 365 groeit, bezwaren tegen de vermeende onveiligheid verdampen snel. Twee dingen daarover: ik hoor veel obligate kritiek op ‘de cloud’ maar het is te vaak een beetje van klepel en klok enerzijds, splinter en balk anderzijds. Ook hier wreekt zich een gebrek aan actuele kennis. Misschien is het ook niet bevorderlijk dat Microsoft zijn producten voor cloudopslag OneDrive en OneDriveforBusiness heeft genoemd, maar ik hoor te vaak bezwaren tegen opslag in ‘de cloud’ terwijl de voorwaarden, ingebouwde beveiliging en compliance en customer controls van de consumer cloud (Googledrive, Dropbox, Onedrive e.d.) nogal verschillen van Office 365.

Komt bij dat ik zie dat management en medewerkers in organisaties bij gebrek aan beter volop gebruik maken van consumer cloud oplossingen. De manager downloadt hele directievergaderingen naar zijn cloudmail of cloudopslag (dat werkt fijner op zijn iPad) en de medewerker voert hele projecten uit met collega’s en externen via Googledrive en Dropbox. Om nog maar te zwijgen van de bedrijfspresentaties die achteloos in het überhippe Prezi worden gemaakt (nee niet in een betaald bedrijfsaccount) en vervolgens met cijfers en al online worden gegooid.

Je ziet, ik wind me op over de kortzichtigheid bij een gelijktijdig afwijzen van Office 365; de splinter en de balk dus. Wat overigens niet af doet aan de Amerikaanse claim op toegangsrecht tot onze informatie: hoewel de belangrijkste afluisterbepalingen van de Patriot Act met het expireren zijn vervallen blijft de Amerikaanse justitie toegang eisen tot informatie in de Microsoft datacenters (in Dublin, Ierland in deze zaak). En zal dit conflict pas in het hoogste college worden beslist. Over een paar jaar.

Met een digitale informatiehuishouding als een vergiet doet kritiek op Office 365 vaak wat pedant aan. Sara Manning Dawson, Group Program Manager Office 365 zei in de keynotes op MSIgnite: ‘Het heeft tijd nodig, voordat het besef komt dat de cloud veiliger is dan on premise: ‘What to leave behind: there is a lot of outdated security conventional wisdom.’

  1. Maar we zijn er nog niet

Wat me opgevallen is aan de nieuwe compliance maatregelen in Office 365. Die zijn nu nog niet allemaal zo ‘unified’: soms exclusief gericht op Exchange, soms exclusief SharePoint. Ze bedienen nog beperkte scenario’s, bijvoorbeeld ‘behoud de mailbox van gebruiker X’. De scenario’s voldoen ook niet aan een complexe realiteit, de voorbeelden in de demo’s zijn vooralsnog wat primitief. Dheepak Ramaswamy zei over recordsmanagement al op MSIgnite ‘We came a long way since (SP) 2010… Office 365 came a little late to the (recordsmanagement) party.’ Zo bevestigde hij wel dat ‘event based retention’ onderdeel zou worden van Office 365 recordsmanagement, maar hoe en wanneer is nog niet helder gemaakt in de roadmap. Zaakgericht archiveren zal dan een onderdeel kunnen worden van het standaard product, maar kunnen we daar op wachten? Het archiveren van content uit social applicaties (Yammer, maar ook uit Twitter, Facebook communicatie) is wel aangekondigd, voor Q4 2015. Ook lijken sommige functionaiteiten te overlappen in hun werking en lijkt er weinig verschil tussen een ‘legal hold’ functie die aan een termijn is te koppelen en een functie voor ‘deletion’.

Tot slot is er nog de frictie tussen de nieuwste collaboration features, zoals ‘Groups’ en – anderzijds – compliance. Groups doet vast de behoefte aan SharePoint teamsites en zijn complexe autorisatiefuncties vergeten. Dat de documenten in deze Groups super goed vindbaar (Delve!) zijn is mooi, maar ze verdwijnen wel in een verborgen site-collectie, want bij zoveel vindbaarheid hoef je als gebruiker niet meer te weten waar iets staat. Toch? Werk aan de winkel voor compliance officers en recordmanagers om die unified en pervasive policies te implementeren!

Mijn presentatie hieronder, 24 juni jl gehouden op uitnodiging van Sparked, Amsterdam, vat alles nog eens samen.

 
Reacties

Heerlijk lezende samenvatting die ook mijn beeld bevestigt. De laatste alinea over Groups, die is nieuw voor mij. Ik denk nog erg in teamsites en zie nu ineens veel meer efficiency met minder beheer.

Schrijf een reactie