Toegangspas en kantoorsleutelkaart op wit bureau, één kaart doorkruist door schaduw, laptop op achtergrond in grijsblauwe tinten.

Hoe voorkom je dat medewerkers bij een functiewijziging te veel toegangsrechten houden?

/in /door

Wanneer een medewerker van functie wisselt, worden oude toegangsrechten zelden direct ingetrokken. Het gevolg: iemand die nu op een andere afdeling werkt, heeft nog steeds toegang tot systemen, bestanden en data die helemaal niet meer bij zijn of haar nieuwe rol horen. Dit fenomeen heet privilege creep en is een van de meest onderschatte beveiligingsrisico’s binnen organisaties die met Microsoft 365 werken.

Onbeheerde toegangsrechten stapelen zich op zonder dat iemand het doorheeft

Elke functiewijziging, tijdelijke projectrol of interne verhuizing laat een spoor achter van rechten die nooit zijn opgeruimd. Na een jaar of twee heeft een medewerker toegang tot tientallen SharePoint-sites, Teams-omgevingen en applicaties die niets meer met zijn huidige werk te maken hebben. Dit is geen hypothetisch risico: het is een patroon dat in de praktijk bij veel organisaties zichtbaar is, zeker wanneer er geen gestructureerd rolbeheer is ingericht. De oplossing begint bij bewustwording: maak toegangsbeheer een vast onderdeel van het onboarding- en offboardingproces en koppel rechten altijd aan een specifieke rol in plaats van aan een persoon.

Een gebrek aan rolbeheer maakt je Microsoft 365-omgeving kwetsbaar van binnenuit

De meeste beveiligingsincidenten komen niet van buiten, maar van binnenuit. Niet altijd door kwade opzet, maar door medewerkers die per ongeluk toegang hebben tot data die ze niet nodig hebben. Wanneer er geen duidelijke structuur is voor toegangsbeheer in Microsoft 365, groeit de kans op datalekken, onbedoelde wijzigingen en complianceproblemen gestaag. Het least-privilegeprincipe biedt hier een concrete richting: geef medewerkers alleen toegang tot wat ze op dit moment daadwerkelijk nodig hebben, niet meer en niet minder.

Wat is privilege creep en waarom is het een risico?

Privilege creep is het geleidelijk opstapelen van toegangsrechten die een medewerker niet meer nodig heeft. Het ontstaat wanneer rechten worden toegevoegd bij een nieuwe taak of functie, maar nooit worden ingetrokken als die taak eindigt. Na verloop van tijd beschikt een medewerker daardoor over een verzameling rechten die ver buiten zijn huidige rol valt.

Het risico zit hem in de combinatie van breedte en onzichtbaarheid. Een medewerker met overtollige rechten vormt een groter doelwit als zijn account wordt gecompromitteerd. Een aanvaller die toegang krijgt tot dat account, heeft meteen toegang tot alle systemen en data waarvoor de rechten ooit zijn verleend, ook als die rechten al jaren niet meer actief worden gebruikt.

Daarnaast speelt er een compliancerisico. Binnen de AVG en andere regelgeving geldt dat toegang tot persoonsgegevens beperkt moet zijn tot wie die toegang echt nodig heeft. Overtollige rechten zijn daarmee niet alleen een technisch probleem, maar ook een juridisch risico.

Hoe ontstaan overtollige toegangsrechten bij een functiewijziging?

Overtollige rechten bij een functiewijziging ontstaan doordat nieuwe rechten worden toegevoegd voor de nieuwe rol, maar de rechten van de oude rol niet worden ingetrokken. Dit is een procesmatig probleem: er is geen standaardworkflow die ervoor zorgt dat rechten worden herzien op het moment dat iemand van functie wisselt.

In de praktijk ziet dit er zo uit: een medewerker gaat van de afdeling Finance naar HR. De IT-afdeling zet de nieuwe rechten klaar, maar de toegang tot financiële systemen, SharePoint-mappen en rapportageomgevingen blijft gewoon actief. Niemand vraagt er expliciet om die te verwijderen, en dus blijven ze staan.

Dit probleem wordt vergroot door projectmatig werken. Tijdelijke toegang voor een project wordt zelden ingetrokken na afloop. Na meerdere projecten heeft iemand een verzameling rechten opgebouwd die niet meer overeenkomt met zijn dagelijkse werk. Zonder periodieke review of geautomatiseerde controle blijft dit onzichtbaar.

Wat zijn de gevaren van te veel rechten voor de organisatie?

Te veel toegangsrechten vergroten het aanvalsoppervlak van een organisatie. Als een account met brede rechten wordt gecompromitteerd, kan een aanvaller meer schade aanrichten dan wanneer dat account beperkte toegang had. Bovendien verhoogt het de kans op datalekken door menselijke fouten, omdat medewerkers per ongeluk data kunnen wijzigen of delen waar ze eigenlijk geen toegang toe zouden mogen hebben.

Er zijn drie concrete gevaren die regelmatig terugkomen:

  • Datalek door onbedoeld delen: Een medewerker met toegang tot gevoelige documenten deelt per ongeluk informatie die buiten zijn rol valt.
  • Misbruik bij accountovername: Een gecompromitteerd account met brede rechten geeft een aanvaller veel meer bewegingsruimte binnen de omgeving.
  • Compliance-overtreding: Toegang tot persoonsgegevens zonder geldige zakelijke reden is een directe schending van de AVG.

Organisaties die geen zicht hebben op wie toegang heeft tot wat, kunnen bij een audit of incident moeilijk aantonen dat ze de juiste maatregelen hebben genomen. Dat vergroot niet alleen het risico, maar ook de mogelijke schade.

Hoe werkt het least-privilegeprincipe in de praktijk?

Het least-privilegeprincipe houdt in dat elke medewerker alleen de minimale toegangsrechten krijgt die nodig zijn om zijn werk te doen. Niet meer, niet minder. In de praktijk betekent dit dat rechten worden gekoppeld aan een functierol, niet aan een individu, en dat toegang automatisch vervalt of wordt herzien als de rol verandert.

Concreet werkt dit als volgt:

  1. Definieer functiepersona’s binnen de organisatie en koppel daaraan vaste rechtensets.
  2. Zorg dat bij elke functiewijziging een formeel proces wordt gestart waarbij de oude rechten worden ingetrokken en nieuwe rechten worden toegewezen op basis van de nieuwe rol.
  3. Stel tijdgebonden toegang in voor tijdelijke taken of projecten, zodat rechten automatisch vervallen na een bepaalde datum.
  4. Voer periodieke toegangsreviews uit waarbij managers bevestigen welke rechten hun teamleden daadwerkelijk nodig hebben.

Het least-privilegeprincipe werkt het beste wanneer het is ingebed in bestaande HR- en IT-processen. Een functiewijziging in het HR-systeem triggert dan automatisch een review van de bijbehorende rechten, in plaats van dat dit handmatig moet worden opgepakt.

Welke Microsoft 365-tools helpen bij het beheren van toegangsrechten?

Microsoft 365 biedt meerdere tools voor toegangsbeheer en Identity Governance. De belangrijkste zijn Microsoft Entra ID voor centraal identiteitsbeheer, Access Reviews voor periodieke controle van rechten en Privileged Identity Management voor het beheren van beheerdersrollen met tijdgebonden toegang.

Een overzicht van de meest relevante tools:

  • Microsoft Entra ID (voorheen Azure AD): Het centrale punt voor gebruikersbeheer en toegangscontrole. Hier worden groepen, rollen en rechten beheerd. Wijzigingen in functies kunnen direct worden doorgevoerd via dit platform.
  • Entra ID Access Reviews: Hiermee stel je periodieke beoordelingsrondes in waarbij managers of eigenaren bevestigen of toegang nog gerechtvaardigd is. Rechten die niet worden bevestigd, worden automatisch ingetrokken.
  • Privileged Identity Management (PIM): Specifiek voor beheerdersrollen. Toegang wordt alleen tijdelijk verleend op aanvraag, niet permanent. Dit beperkt het risico van accounts met hoge rechten die continu actief zijn.
  • Entitlement Management: Hiermee maak je toegangspakketten op basis van functies of projecten, inclusief automatische vervaldatums en goedkeuringsworkflows.

Deze tools zijn beschikbaar via Microsoft Entra ID P2, onderdeel van de hogere Microsoft 365-licentieniveaus. Voor organisaties die al werken met een moderne werkplekoplossing op basis van Microsoft 365 is de stap naar gestructureerd toegangsbeheer daarmee kleiner dan vaak gedacht.

Hoe voorkom je privilege creep structureel in jouw organisatie?

Privilege creep structureel voorkomen vraagt om een combinatie van duidelijke processen, technische automatisering en regelmatige controle. Het begint bij het koppelen van rechten aan functiepersona’s, gevolgd door geautomatiseerde workflows bij functiewijzigingen en periodieke reviews om afwijkingen te signaleren.

Een aanpak die in de praktijk werkt:

  1. Definieer rollen en rechtensets: Breng per functie in kaart welke toegang minimaal nodig is. Gebruik deze profielen als basis voor toewijzing en intrekking van rechten.
  2. Koppel HR-processen aan IT: Zorg dat een functiewijziging in het HR-systeem automatisch een actie triggert in het toegangsbeheer. Zo worden rechten niet vergeten.
  3. Automatiseer tijdgebonden toegang: Gebruik tools als Entitlement Management om tijdelijke rechten automatisch te laten vervallen.
  4. Plan periodieke toegangsreviews: Laat managers elk kwartaal of halfjaar bevestigen welke rechten hun medewerkers nodig hebben. Wat niet wordt bevestigd, vervalt.
  5. Monitor afwijkingen: Gebruik rapportages en alerts om ongebruikelijke toegangspatronen te signaleren voordat ze een probleem worden.

De sleutel is consistentie. Eenmalig opruimen helpt, maar zonder een structureel proces bouw je binnen een jaar opnieuw een achterstand op. Maak toegangsbeheer daarom een vast onderdeel van je beveiligingsbeleid, niet een incidentele actie.

Hoe Puur ICT helpt met toegangsbeheer en het voorkomen van privilege creep

Wij zien bij veel organisaties dat toegangsrechten pas worden herzien als er al iets mis is gegaan. Dat kan anders. Als Microsoft 365-specialist helpen wij organisaties om toegangsbeheer structureel goed in te richten, zodat privilege creep geen kans krijgt.

Wat wij voor je kunnen doen:

  • Inrichten van functiepersona’s en bijbehorende rechtensets in Microsoft Entra ID
  • Opzetten van geautomatiseerde workflows voor functiewijzigingen en onboarding en offboarding
  • Configureren van Access Reviews en Privileged Identity Management
  • Uitvoeren van een Microsoft 365-scan om de huidige staat van je toegangsbeheer in kaart te brengen
  • Begeleiden van je IT-team bij adoptie van Identity Governance-tools

We werken pragmatisch, in begrijpelijke taal en in concrete stappen die passen bij jouw organisatie. Wil je weten waar je nu staat en wat er beter kan? Neem contact met ons op voor een vrijblijvend gesprek.

Gerelateerde artikelen

De ICT Specialist uit het Noorden

De ICT specialist uit het Noorden; het kantoor van Puur ICT in Heerenveen mag dan wel gelegen zijn in Friesland, maar wij zijn actief in het hele land.

Met onze oplossingen om jouw ICT te versimpelen en bedrijfsprocessen te verbeteren ontzorgen wij onze klanten. Onze ICT specialisten nemen jou graag mee op reis naar de Microsoft 365 cloud om de ICT functionaliteit vanuit Microsoft 365 volledig te benutten.

Contactgegevens

Tel:  +31 (0) 88 165 2300
Email:  info@puurict.nl

Hoofdkantoor Heerenveen
Abe Lenstra Boulevard 62
8448 JB HEERENVEEN

Vestiging Amsterdam
Hullenbergweg 413
1101 CS AMSTERDAM

Cookieverklaring
Privacyverklaring
Algemene voorwaarden
Kennisbank

Volg ons ook op

LinkedIn

YouTube

© Copyright - Puur ICT | De Microsoft 365 specialist uit het Noorden