Gratis demo Contact
Nog niet IAM compliant?

Nog niet IAM compliant?

Door: Ron Kuper 23 april 2025

Is jouw rechtenbeheer nog (groten)deels handmatig georganiseerd? Heb je geen heldere beleidsregels over welke medewerkers welke IT-licenties, gebruikersaccounts en toegangsrechten moeten krijgen? Kortom, heb je rondom je identity en access management je compliance nog niet op orde? In dat geval geven we hieronder wat handvatten om hiermee aan de slag te gaan.

betekenis van compliance

De betekenis van compliance

Bij compliance gaat het niet alleen om het naleven van algemene wet- en regelgeving. Het kan ook om richtlijnen gaan die binnen een specifieke sector zijn afgesproken en interne beleidsregels van organisaties. In de praktijk kan die compliance betrekking hebben op een veelheid van onderwerpen, variërend van financiële kaders en de privacywetten tot en met de arbo richtlijnen en de milieuwetgeving. De algemene trend daarbij is dat de aandacht verschuift van het puur controleren op en bestraffen van ongewenst gedrag naar het afdwingen van gewenst gedrag. De nadruk komt steeds meer op transparantie van de bedrijfsvoering, proactieve compliance en due diligence.

Rondom privacy en informatiebeveiliging bijvoorbeeld kom je dus niet pas in beeld als je onverhoopt een datalek veroorzaakt. In plaats daarvan zijn er duidelijke beveiligingsrichtlijnen voor organisaties en moet je eenduidig kunnen aantonen dat je daaraan voldoet. Naast de AVG moeten overheidsorganisaties bijvoorbeeld voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) en binnen de zorg is NEN 7510 een verplichte richtlijn. En bij het onderwijs werkt men tegenwoordig met beveiligingsnormen zoals het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP FO). Voor essentiële en belangrijke sectoren is ook de NIS2 (Network and Information Security 2) een belangrijke norm om compliant mee te zijn.

Je moet dan als organisatie minimaal bij compliance audits eenduidig kunnen aantonen dat je aan de regels voldoet maar je kunt in het geval van de ISO 27001 en de NEN 7510 ook kiezen voor certificatie. Veel bedrijven doen bijvoorbeeld alleen nog onderling zaken met leveranciers die ISO 27001 gecertificeerd zijn. Zo werken we met elkaar toe naar een situatie waarin de aandacht verschuift van controle achteraf naar aantoonbare compliance vooraf.  

compliance belangrijk binnen een organisatie

Belangrijk om compliant te zijn?

We stellen dus met elkaar steeds hogere eisen en de compliance van organisaties ligt steeds meer onder een vergrootglas. Dat betekent automatisch dat non-compliance grote impact kan hebben:

  • Non-compliance kan stevige sancties opleveren en juridische gevolgen hebben. Als partijen bijvoorbeeld doelbewust de privacywetgeving overtreden kan de Autoriteit Persoonsgegevens (AP) boetes uitdelen tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.

  • Daar komt nog bij dat ook marktpartijen elkaar onderling kunnen aanspreken. Bij een datalek kun je naast sancties van de AP ook schadeclaims van slachtoffers verwachten. Dat kunnen klantorganisaties zijn, maar ook particulieren die zich verzamelen in massaclaims.

  • Los van die financiële impact is het natuurlijk desastreus als je als organisatie het nieuws haalt, omdat je je informatiebeveiliging en privacy niet op orde hebt.

  • En we noemden al dat je sowieso voor veel partijen tegenwoordig al geen gesprekspartner meer bent als je niet aantoonbaar voldoet aan de richtlijnen. Een ISO 27001 certificaat is tegenwoordig vaak een harde randvoorwaarde bij aanbestedingen.

Compliance is tegenwoordig dus niet een puur juridische verplichting maar een strategische noodzaak. Organisaties die hun compliance goed op orde hebben, bouwen vertrouwen op bij klanten, partners en investeerders, beperken risico’s en versterken hun marktpositie.

Hoe helpt je IAM oplossing om compliant te worden?

Hoe kun je op het gebied van je Identity en Access Management compliant worden met de relevante privacy- en informatiebeveiligingsnormen. Naast de AVG zul je afhankelijk van jouw sector compliant moeten zijn met bijvoorbeeld de BIO, de NEN 7510, normen binnen het onderwijs of de generieke ISO 27001. Een deel van de vereiste beheersmaatregelen in die normen hebben betrekking op je account- en rechtenbeheer. Tools4ever heeft daarom meerdere checklist beschikbaar waarin we nagaan hoe die maatregelen met behulp van je IAM functionaliteit kunnen worden ingevuld. Zonder die maatregelen hier in detail door te nemen zijn er een paar algemene uitgangspunten om je account en toegangsbeheer compliant te maken met de gangbare wet- en regelgeving. Die werken we hieronder wat uitgebreider uit aan de hand van ons HelloID platform.

extra beveiliging met compliancy
Extra beveiligde toegang

Toegangsbeveiliging begint met authenticatie en autorisatie maar veiligheidsnormen stellen daarbij vaak specifieke eisen. Bijvoorbeeld over de vereiste sterkte van wachtwoorden of over het gebruik van extra beveiligingsmaatregelen. Ter aanvulling van reguliere directory services ondersteunt HelloID bijvoorbeeld Multi-Factor Authenticatie met verschillende gratis methoden als FIDO, Push-to-Verify, sms en e-mail. Daarnaast integreert de module naadloos met zowel de Microsoft als de Google Authenticator en kun je je bestaande MFA-methodes en tokens blijven gebruiken. Ook ondersteunen we Single Sign-On omdat je beter één sterk werkwoord kan gebruiken dan per applicatie een zwak wachtwoord. Zo combineren we toegangsbeveiliging én gebruiksvriendelijkheid.

standaard provisioning en duidelijke beleidsregels
Gestandaardiseerde provisioning met duidelijke beleidsregels

Binnen het Zero Trust Security-concept is een van de sleutelprincipes het ‘Principle of Least Privilege’. Dat betekent dat medewerkers alleen de hoogstnoodzakelijke toegang mogen krijgen tot applicaties en data, afhankelijk van iemands taken en verantwoordelijkheden. Zo mag een zorgmedewerker bijvoorbeeld in een zorgsysteem alleen toegang krijgen tot medicatielijsten als hij of zij daarvoor is bevoegd; en ook alleen toegang krijgen tot patiënten waarvoor deze medewerker verantwoordelijk voor is.

Binnen HelloID automatiseren we daarom de provisioning van accounts en rechten op basis van gebruikersgegevens zoals iemands functie en afdeling zoals die zijn vastgelegd in het HR-systeem. Op basis van deze zogeheten Atribute Based Access Control (ABAC) krijgt iedere nieuwe medewerker bij onboarding automatisch de gebruikersaccounts en toegangsrechten die passen bij zijn of haar werkzaamheden. Verandert iemand van functie of afdeling, dan past HelloID automatisch direct de toegangsrechten aan. En wordt het dienstverband beëindigd, dan wordt het gebruikersaccount automatisch geblokkeerd zodat de vertrekkende medewerker geen toegang meer heeft. Met deze automatisering garanderen we dat alleen de hoogstnoodzakelijke rechten worden verstrekt en er ook nooit onnodige rechten worden opgestapeld. Door ook bijvoorbeeld specifieke bronsystemen te koppelen voor inhuurmedewerkers kunnen we ook garanderen dat flexkrachten just-in-time access krijgen tot systemen en gegevens. Zo is het ‘Principle of Least Privilege’ organisatie breed geborgd en ook worden alle wijzigingen geregistreerd ten behoeve van tussentijdse (security) audits.

compliance geborgde beheerprocessen
Geborgde beheerprocessen

Goede informatiebeveiliging leunt dus op duidelijke beleidsregels, heldere processen en zo weinig mogelijk uitzonderingen. Hierboven beschreven we hoe we accounts en rechten zoveel mogelijk automatisch verstrekken aan de hand van standaard regels, rekening houdend met bijvoorbeeld iemands functie en afdeling.

Toch zijn er altijd uitzonderingen nodig. Bijvoorbeeld als iemand een extra licentie nodig heeft voor een tijdelijk project of iemand moet worden toegevoegd aan een projectmap. En daarnaast zijn er nog tal van andere individuele verzoeken mogelijk, variërend van een e-mail naamwijziging tot de aanmaak van een groepsmailbox of het resetten van iemands password. Hiervoor moeten serviceprocessen zo worden ingeregeld dat ze volledig voldoen aan de beveiligingsnormen.

Binnen de HelloID Service Automation module ondersteunen we deze processen zo gebruiksvriendelijk mogelijk. Waar gewenst hoeven de handelingen niet te worden uitgevoerd door een tweedelijnsbeheerder maar kunnen helpdeskmedewerkers zelf verzoeken afhandelen. Ook kunnen managers zelf via gedelegeerde formulieren wijzigingen doorvoeren voor hun teamleden en bieden we ook een self-service portaal waarin medewerkers eenvoudige wijzigingen zelf kunnen regelen.

Crux bij die self-service is dat we de achterliggende processen zo kunnen configureren dat altijd de relevante managers en resource eigenaren online om toestemming worden gevraagd. Zodra het verzoek is bevestigd, zorgt het platform dat de verdere activering veilig wordt doorgevoerd in de betrokken backend systemen. Bij iedere aanvraag wordt automatisch geregistreerd wie het verzoek heeft ingediend en wie deze heeft goedgekeurd en op ieder moment kan het systeem een overzicht geven van licenties, applicaties, shares, et cetera die in gebruik zijn.

compliance monitoring en governance
Monitoring en Governance

Belangrijk voor je IAM compliance is dus dat je volledige identity lifecycle auditable is. Alle acties moeten traceerbaar zijn vanaf het creëren, inschakelen en updaten van accounts en toegangsrechten tot en met het deactiveren en verwijderen ervan. Ook bij individueel doorgevoerde wijzigingen die we met behulp van Service Automation hebben uitgevoerd moeten we exact kunnen bepalen wie een wijziging heeft aangevraagd, welke persoon het verzoek heeft goedgekeurd en tot welke wijzigingen in achterliggende systemen dit heeft geleid.

Met de HelloID Governance module brengen we je compliance naar een nog hoger niveau. Met deze functionaliteit zorg je dat je niet alleen compliant wordt maar dat je ook compliant terwijl je IT-omgeving gaandeweg complexer wordt en ook de beveiligingseisen steeds toenemen. Daarvoor biedt de module features als reconciliation, recertification en toxic rules beheer waarmee we interne mismatches tussen het IAM platform en doelsystemen herkennen en oplossen, meer grip houden op het gebruik van onder andere self-service producten en we conflicterende business rules automatisch kunnen herkennen en oplossen.

Meer weten?

Identity Management vormt vandaag de dag een centrale rol binnen je IT beveiliging. Om compliant te zijn met de gangbare informatiebeveiligingsrichtlijnen en privacy wetgeving is het onder andere noodzakelijk dat medewerkers, partners en cliënten alleen nog met een eigen account toegang krijgen tot applicaties en data. Rechten moeten altijd worden verstrekt aan de hand van het ‘Principle of Least Privilege’ en alle IT activiteiten moeten tot het niveau van individuele gebruikers traceerbaar zijn. Tools4ever heeft daarvoor de juiste oplossingen en we hebben checklist voor onder andere ISO 27001, BIO en de NEN 7510 om na te gaan hoe we binnen ons HelloID platform invulling geven aan de eisen op het gebied van account- en rechtenbeheer en je helpen compliant te worden en blijven. We vertellen je er graag meer over.

Laat je adviseren
Ron Kuper

Geschreven door:
Ron Kuper

Ron is Business Consultant bij Tools4ever en richt zich met name op het matchen van de business vraagstukken met de mogelijkheden vanuit de software. Daarbij maakt hij gebruik van zijn ervaringen in proces ontwerp, project aanpak en past dit toe in best practices voor de verschillende marktsegmenten.