Dataherstel na een Microsoft 365-incident: waarom retentiebeleid geen vervanging is voor een backupstrategie
- 15 april, 2026
- 3:12 pm
Waarom Microsoft 365 je data niet automatisch beschermt – en hoe je dat wel goed regelt
Drie dingen die je moet weten
• Microsoft 365 biedt beschikbaarheid, geen herstelbare backup. Verwijderde of beschadigde data is na het verstrijken van retentieperiodes niet automatisch terug te halen.
• Kleine organisaties hebben een gestructureerde maar lichte aanpak nodig: drie componenten, minimale overhead, geen eigen IT-afdeling vereist.
• Er bestaat een praktisch kader dat Exchange Online, SharePoint, OneDrive en Teams beschermt zonder complexe infrastructuur.
Het probleem: een misvatting die duur kan uitpakken
Een klein accountantskantoor met twaalf medewerkers verliest na een ransomware-aanval toegang tot twee jaar aan klantcorrespondentie. De SharePoint-omgeving is versleuteld. De IT-leverancier stelt hen gerust: “Jullie zitten op Microsoft 365, jullie data is veilig.” Twee weken later blijkt dat de ingebouwde retentiebeleidsregels verlopen waren en er geen onafhankelijke backup bestond. De data is weg.
Dit scenario is niet uitzonderlijk. Veel kleine organisaties – doorgaans tussen de 10 en 200 medewerkers – gaan ervan uit dat een Microsoft 365-abonnement gelijkstaat aan een backup. Microsoft beschermt inderdaad tegen infrastructuuruitval en biedt beperkte retentie-tooling, maar dit is iets anders dan herstelbare backup bij gebruikersfouten, kwaadwillige verwijdering of een ransomware-incident.
Het goede nieuws: kleine organisaties hebben geen enterprise-infrastructuur nodig om Microsoft 365-data effectief te beschermen. Wat ze nodig hebben is een helder kader: drie componenten, gedefinieerde hersteldoelstellingen en een getest proces.
Waarom Microsoft 365 geen vervanging is voor een echte backup
Microsoft werkt volgens een model van gedeelde verantwoordelijkheid. Microsoft is verantwoordelijk voor de infrastructuur – de servers, het netwerk, de beschikbaarheid van de dienst. De organisatie zelf is verantwoordelijk voor de data. Microsoft 365 bevat functies zoals de Prullenbak, versiegeschiedenis en het retentiebeleid in het Compliance Center. Deze zijn ontworpen voor compliance en herstel bij ongelukken, binnen vaste tijdvensters – doorgaans 30 tot 93 dagen afhankelijk van de functie. Na afloop van deze periodes wordt data permanent verwijderd.
Wat Microsoft niet biedt:
• Bescherming tegen ransomware die bestanden binnen Microsoft’s eigen omgeving overschrijft of versleutelt
• Herstel na beheerdersfouten die volledige mailboxen of SharePoint-sites verwijderen
• Langetermijnarchivering die voldoet aan wettelijke verplichtingen voorbij de standaard retentieperiodes
• Granulaire, punt-in-tijd-herstel met gegarandeerde hersteltijden
Volgens de ENISA-richtlijnen voor cybercrisisbeheer moeten organisaties onderscheid maken tussen beschikbaarheid (de uptime van een dienst) en herstelbaarheid (het vermogen om data te herstellen na een verliesgebeurtenis). Microsoft 365 garandeert het eerste. Het tweede vereist een onafhankelijke backupoplossing.
Wat moet een kleine organisatie precies back-uppen?
Microsoft 365 bevat verschillende datatypes met elk een eigen operationele en juridische betekenis. Niet alle vereisen hetzelfde beschermingsniveau.
Exchange Online (e-mail en agenda)
E-mail is doorgaans de hoogstprioritaire workload. Het wordt gebruikt voor contracten, klantcommunicatie en auditsporen. Een herstelvenster van 30 dagen is onvoldoende voor de meeste organisaties die verplicht zijn gegevens 5 tot 7 jaar te bewaren.
SharePoint Online en OneDrive
Hier staan documenten, projectbestanden en operationele data. Versiegeschiedenis bestaat, maar beschermt niet tegen het verwijderen van volledige mappen of sites, en evenmin tegen ransomware die bestanden langzaam aanpast voordat de aanval wordt ontdekt.
Microsoft Teams
Teams slaat chatgeschiedenis en bijlagen op verspreid over Exchange en SharePoint. In backupplanning wordt Teams-data vaak over het hoofd gezien, terwijl het voor veel organisaties een primair samenwerkingskanaal is.
Microsoft 365 Groups en Planner
Minder kritisch voor de meeste kleine organisaties, maar het overwegen waard als deze tools worden gebruikt voor projectcoördinatie. Voor organisaties die vallen onder de NIS2-richtlijn kan al het bovenstaande worden aangemerkt als essentiële data die binnen vastgestelde termijnen herstelbaar moet zijn.
Een praktisch stappenplan in drie stappen
Het volgende kader is ontworpen voor organisaties zonder eigen IT-afdeling. De eenmalige inrichting kost circa een halve dag en het doorlopende beheer is minimaal.
Stap 1: Bepaal hoeveel dataverlies en uitvaltijd acceptabel zijn
Voordat je een tool kiest, stel je twee vragen:
1. Recovery Time Objective (RTO): Hoe lang kan de organisatie functioneren zonder e-mail of documenten? Voor de meeste kleine bedrijven is 4 tot 24 uur een realistisch maximum.
2. Recovery Point Objective (RPO): Hoeveel dataverlies is acceptabel? Dagelijkse backup volstaat voor de meeste behoeften; kritische workloads kunnen frequentere snapshots vereisen.
Schrijf dit op. Dit zijn de eisen van de organisatie – geen marketingbelofte van een leverancier.
Stap 2: Kies een backupoplossing die specifiek voor Microsoft 365 is gebouwd
Gebruik een oplossing die specifiek voor Microsoft 365 is ontwikkeld, en geen generiek bestandsback-upsysteem. Beoordelingscriteria:
1. Maakt backup van Exchange, SharePoint, OneDrive en Teams vanuit één interface
2. Bewaart backupdata op een locatie die losstaat van Microsoft’s infrastructuur (aparte cloud of on-premises)
3. Ondersteunt granulaire herstel (individuele e-mail, bestand of site – niet alleen volledig herstel)
4. Biedt duidelijke retentieconfiguratie (minimaal 1 jaar; 7 jaar voor gereguleerde sectoren)
Mindtime’s Microsoft Cloud Backup is gebouwd op deze uitgangspunten en ontworpen voor organisaties die betrouwbare bescherming nodig hebben zonder complexe infrastructuur te beheren.
Stap 3: Test het herstelproces en leg het vast
Een backup die nooit is getest, is geen backup – het is een aanname. Plan elk kwartaal een hersteltest en documenteer het volgende:
1. Wie het herstel initieert
2. Welk systeem wordt gebruikt
3. Verwachte hersteltijd
4. Wat er getest is en wat het resultaat was
Deze documentatie is ook relevant voor verzekeringsdoeleinden en, in gereguleerde sectoren, voor NIS2-naleving.
Wat kost goede backup een kleine organisatie?
Microsoft 365-backup is aanzienlijk goedkoper dan de meeste organisaties verwachten. Voor organisaties met 10 tot 50 gebruikers kosten specifiek gebouwde backupoplossingen doorgaans tussen de 2 en 5 euro per gebruiker per maand. Vergelijk dit met de kosten van één dataverliesdrangeval: de gemiddelde herstelkosten van een ransomware-incident voor een mkb-organisatie – inclusief uitvaltijd, IT-herstelkosten en productiviteitsverlies – bedragen meer dan 50.000 euro. Backup is geen IT-luxe. Voor kleine organisaties is het de goedkoopste beschikbare risicomaatregel. Een Backup as a Service-aanpak elimineert de behoefte aan eigen infrastructuur volledig, wat het bijzonder praktisch maakt voor organisaties zonder eigen IT-team.
Vier fouten die kleine organisaties vaak maken
Fout 1: Uitsluitend vertrouwen op Microsoft’s retentiebeleid Retentiebeleid dient een compliancefunctie, geen herstelfunctie. Het is niet ontworpen om data te herstellen na een kwaadwillig incident of een grote gebruikersfout.
Fout 2: Het herstelproces nooit testen
Organisaties die nooit een hersteltest hebben uitgevoerd, ontdekken vaak op het ergste moment dat hun backupproces verkeerd was geconfigureerd, dat inloggegevens verlopen waren, of dat een kritische workload was uitgesloten.
Fout 3: Teams en SharePoint over het hoofd zien
E-mailbackup is vaak geregeld, maar Teams-chats en SharePoint-sites worden regelmatig vergeten. In de praktijk bevatten deze vaak operationeel kritischere data dan e-mail.
Fout 4: Backupdata opslaan binnen Microsoft’s eigen ecosysteem
Sommige oplossingen bewaren backupdata in Azure of in dezelfde Microsoft-tenant. Dit creëert een enkelvoudig storingsrisico: als de tenant wordt gecompromitteerd, zijn zowel productiedata als backupdata in gevaar. Gebruik een oplossing die data opslaat in een onafhankelijke omgeving. Voor organisaties met zorgen over ransomwarebescherming is dit extra belangrijk – geïsoleerde backupopslag is een kernverdediging tegen versleutelingsaanvallen.
Conclusie: beschikbaarheid is niet hetzelfde als herstelbaarheid
Kleine organisaties stellen Microsoft 365-backup vaak uit omdat ze denken dat het complex, duur of al geregeld is door Microsoft. Geen van deze aannames klopt. Microsoft biedt beschikbaarheid – geen herstelbaarheid. Een praktisch backupkader vereist drie stappen, draait op de achtergrond met minimaal onderhoud, en kost een fractie van wat één herstelincident zou kosten. De vraag is niet of de organisatie zich Microsoft 365-backup kan veroorloven. De vraag is of ze het zich kan veroorloven om het niet te doen.
Veelgestelde vragen
Maakt Microsoft 365 automatisch een backup van mijn data? +
Nee. Microsoft 365 bevat functies zoals de Prullenbak en versiegeschiedenis, maar dit zijn beschikbaarheids- en retentietools, geen backup. Ze zijn ontworpen voor herstel binnen beperkte tijdvensters – doorgaans 30 tot 93 dagen. Na afloop van deze periodes wordt data permanent verwijderd. Microsoft’s model van gedeelde verantwoordelijkheid legt de verplichting voor dataherstel bij de klant, niet bij Microsoft.
Wat gebeurt er met Microsoft 365-data als de omgeving wordt gehackt of getroffen door ransomware? +
Als een aanvaller toegang krijgt tot een Microsoft 365-tenant – via een gecompromitteerd account of ransomware – kan hij data verwijderen, versleutelen of exfiltreren. Microsoft’s ingebouwde beveiliging garandeert geen herstel in deze scenario’s. Een onafhankelijke backup buiten het Microsoft-ecosysteem is de enige betrouwbare manier om data te herstellen na zo’n incident.
Hoe lang duurt het om Microsoft 365-backup in te richten voor een kleine organisatie? +
Een specifiek gebouwde Microsoft 365-backupoplossing kan voor een kleine organisatie doorgaans binnen enkele uren worden geconfigureerd. De initiële inrichting omvat het koppelen van de backuptool aan de Microsoft 365-tenant, bepalen welke workloads te beschermen, retentieperiodes instellen en de eerste backup plannen. Het doorlopende beheer is minimaal – voornamelijk monitoring en kwartaalse hersteltests.