Microsoft 365 maakt geen back-up zoals jij die bedoelt: verwijderde bestanden in SharePoint en OneDrive zijn na in totaal 93 dagen prullenbak definitief weg (Microsoft Support) en een verwijderde mailbox is standaard 30 dagen te herstellen. Microsoft beschermt de dienst; jouw data blijft jouw verantwoordelijkheid — het gedeelde-verantwoordelijkheidsmodel. Dit artikel legt uit wat de standaard wél dekt, waar de gaten zitten en welke back-uproutes er zijn: retentiebeleid, Microsoft 365 Backup of een externe leverancier.
Waarom heeft Microsoft 365 een eigen back-up nodig?
Omdat Microsoft de infrastructuur beschermt, maar jij verantwoordelijk blijft voor je data — het zogenoemde gedeelde-verantwoordelijkheidsmodel. Microsoft zorgt dat de dienst draait en herstelt na storingen aan hun kant; tegen verwijderde bestanden, overschreven documenten, vertrokken medewerkers, ransomware of een kwaadwillende beheerder beschermt het platform maar beperkt en tijdelijk. De prullenbakken en bewaartermijnen zijn herstelvoorzieningen, geen back-up.
Het praktische verschil: een back-up is een onafhankelijke kopie, buiten de invloed van degene (of de malware) die het origineel kan beschadigen, met een bewaartermijn die jíj kiest. De standaardvoorzieningen van Microsoft 365 zijn dat niet — ze leven in dezelfde omgeving en lopen na weken af.
Wat bewaart Microsoft 365 standaard?
Kort: weken, geen jaren. Verwijderde bestanden in SharePoint en OneDrive blijven in totaal 93 dagen in de prullenbak (eerste en tweede fase samen; Microsoft Support). Een verwijderde mailbox is standaard 30 dagen te herstellen. Binnen die termijnen is herstel van een los bestand of mailtje prima te doen; daarbuiten is het weg.
Drie scenario's waar je met alleen de standaard niet uitkomt: een verwijdering die pas na maanden wordt ontdekt (een ex-medewerker wiens account met inhoud en al is opgeruimd), ransomware die bestanden versleutelt en de versiegeschiedenis mee vervuilt, en bewaarplichten — administratieve gegevens moeten in Nederland zeven jaar bewaard blijven, ver voorbij elke prullenbaktermijn. Retentiebeleid (Purview) kan dat laatste deels ondervangen, maar vraagt de juiste licenties en een bewuste inrichting — en het blijft binnen dezelfde tenant.
Welke back-upopties zijn er?
Drie routes, oplopend in onafhankelijkheid. Eén: retentiebeleid binnen Microsoft 365 zelf — geen extra kosten bij de juiste licentie, maar geen kopie buiten de tenant. Twee: Microsoft 365 Backup, de back-updienst van Microsoft zelf, met snelle hersteltijden maar opslag binnen het Microsoft-ecosysteem en afrekening naar verbruik. Drie: een externe back-upleverancier (bekende namen zijn onder meer Veeam, Acronis en Dropsuite) die mail, OneDrive, SharePoint en Teams-data periodiek naar eigen, gescheiden opslag kopieert — de meest complete scheiding tussen platform en back-up.
Welke route past, hangt af van je risicoprofiel en bewaarplichten. De vuistregels: herstel moet per item kunnen (één mailbox, één bestand, niet alleen alles-of-niets), de bewaartermijn moet bij jouw verplichtingen passen, en herstel moet getest worden — een back-up die nooit een testherstel heeft gehad, is een aanname. Prijzen verschillen per leverancier en aantal gebruikers; reken op een bedrag per gebruiker per maand en vraag actuele prijzen op bij de leverancier.
En Google Workspace?
Voor Google Workspace geldt hetzelfde principe: de prullenbak van Drive en Gmail is een herstelvoorziening met beperkte termijn, geen back-up. Ook daar is de driedeling gelijk — ingebouwde retentie (Google Vault, voor archivering en e-discovery), versus een externe back-up met eigen opslag en eigen bewaartermijnen. Wie van platform wisselt, doet er goed aan de back-upstrategie in de migratie mee te ontwerpen in plaats van erna; zie ons migratiestappenplan.
In beide ecosystemen is de denkfout dezelfde: 'het staat in de cloud, dus het is veilig'. De cloud beschermt tegen kapotte harde schijven — niet tegen menselijke fouten, kwade opzet of verplichtingen die langer lopen dan een prullenbak.
Zo regel je het praktisch
Vier stappen. Eén: bepaal per datasoort de gewenste bewaartermijn (administratie zeven jaar; projectdata en mail naar eigen beleid). Twee: kies de route — retentiebeleid, Microsoft 365 Backup of een externe leverancier — en leg vast wat er wél en niet onder valt (vergeet gedeelde mailboxen en Teams niet). Drie: automatiseer de dekking, zodat nieuwe medewerkers en nieuwe sites automatisch worden meegenomen. Vier: plan een periodiek testherstel en leg het resultaat vast.
Back-up is bovendien een vast onderdeel van de NIS2-zorgplicht (bedrijfscontinuïteit); de volledige maatregelenlijst staat in de NIS2-checklist voor het mkb. Onder ons Microsoft 365-beheer richten we dit in en bewaken we het — inclusief dat testherstel.
Kort samengevat
- Microsoft werkt met gedeelde verantwoordelijkheid: zij beschermen de dienst, jij blijft verantwoordelijk voor je data.
- Standaardtermijnen zijn weken, geen jaren: 93 dagen prullenbak voor SharePoint/OneDrive (Microsoft Support), 30 dagen voor een verwijderde mailbox.
- Drie routes: retentiebeleid (binnen de tenant), Microsoft 365 Backup (Microsofts eigen dienst) of een externe back-upleverancier met gescheiden opslag.
- Toets elke oplossing op herstel per item, passende bewaartermijn (administratie: zeven jaar) en een periodiek testherstel.
- Hetzelfde geldt voor Google Workspace: prullenbak en Vault zijn geen onafhankelijke back-up.
Meer lezen
- Microsoft 365-beheer door RiverFlows
- NIS2 voor het mkb: wat regel je vóór 1 juli 2026?
- Teams, OneDrive en SharePoint: wat gebruik je waarvoor?
- Overstappen van IT-partner: zo werkt het
- Wat kost IT-beheer?
Veelgestelde vragen
Maakt Microsoft zelf geen back-up van mijn data?
Microsoft beschermt de dienst en herstelt na storingen aan hun kant, maar werkt met een gedeelde verantwoordelijkheid: jouw data blijft jouw verantwoordelijkheid. De ingebouwde voorzieningen zijn herstelopties met beperkte termijnen — onder meer 93 dagen prullenbak voor SharePoint/OneDrive-bestanden en 30 dagen voor een verwijderde mailbox — geen onafhankelijke back-up.
Hoe lang kan ik een verwijderd bestand of mailbox terughalen?
Bestanden in SharePoint en OneDrive: in totaal 93 dagen via de prullenbak (eerste en tweede fase samen; Microsoft Support). Een verwijderde mailbox is standaard 30 dagen te herstellen. Daarna is herstel zonder eigen back-up niet meer mogelijk.
Is retentiebeleid (Purview) niet genoeg?
Retentiebeleid voorkomt dat data binnen de gekozen termijn echt verdwijnt en helpt bij bewaarplichten, maar het blijft binnen dezelfde tenant: het beschermt niet tegen een gecompromitteerde omgeving en vraagt de juiste licenties en inrichting. Voor veel organisaties is het een deel van de oplossing, naast een onafhankelijke kopie.
Wat kost een Microsoft 365-back-up?
Externe back-updiensten rekenen doorgaans een bedrag per gebruiker per maand; de hoogte verschilt per leverancier, bewaartermijn en datavolume. Vraag actuele prijzen op bij leveranciers (bekende namen zijn onder meer Veeam, Acronis en Dropsuite) en reken het mee in je totale werkplekkosten per gebruiker.
Geldt dit ook voor Google Workspace?
Ja, hetzelfde principe: prullenbakken en Vault zijn herstel- en archiveringsvoorzieningen, geen onafhankelijke back-up. Wie zeker wil kunnen herstellen na fouten, kwade opzet of ransomware, regelt ook daar een externe kopie met eigen bewaartermijnen.
Liever dit soort inzichten in je inbox?
Laat je e-mailadres achter, dan zetten we je op de lijst en mailen we je zodra de eerstvolgende editie over IT, automatisering en dashboards uitkomt. Uitschrijven kan altijd met één mailtje.