Certificeringen zoals ISO 27001 zijn voor veel organisaties een belangrijke stap richting volwassen informatiebeveiliging. Met de komst van de NIS2-richtlijn worden de eisen zelfs nog zwaarder, omdat organisaties niet alleen moeten aantonen dat ze veilig werken, maar dat die veiligheid structureel en continu geborgd is.

Beide normen leggen een sterke focus op identiteiten en toegangsbeheer. En dat is niet vreemd. Toegang bepaalt immers welke medewerkers, externen, systemen en processen bij bedrijfsdata kunnen komen. Zolang dat beheer versnipperd is, blijft veiligheid kwetsbaar.

Veel organisaties hebben al tooling, beleid en procedures, maar merken tijdens audits dat het niet genoeg is. De auditor stelt simpele vragen, zoals:

• Kun je uitleggen waarom deze persoon toegang heeft tot dit systeem?

• Hoe weet je zeker dat externen tijdig worden afgesloten?

• Hoe toon je aan dat rechten structureel worden beheerd?

• Waar staat vastgelegd wanneer iemand toegang kreeg of kwijtraakte?

Zonder IAM kost het dagen of weken om dit aan te tonen. Met IAM kost het minuten. En dat verschil bepaalt of audits soepel verlopen of een jaarlijkse worsteling worden.

Waarom ISO 27001 en NIS2 IAM zo belangrijk vinden

Hoewel ISO 27001 en NIS2 verschillend zijn qua opzet, draait het bij beide kaders om dezelfde basis: organisaties moeten aantonen dat toegang tot informatie logisch, veilig en controleerbaar is.

ISO 27001 vraagt onder andere om:

• duidelijke beleidsregels voor toegang

• functiescheiding en het minimaliseren van rechten

• correcte en tijdige deprovisioning

• logging van toegangsverlening en wijzigingen

• periodieke reviews van alle toegangsrechten

NIS2 verplicht organisaties om:

• strikte toegangscontrole te implementeren

• externe toegang te reguleren en te monitoren

• cybersecurityprocessen continu te verbeteren

• risico's in de keten te beheersen

• incidenten te voorkomen en adequaat te kunnen verantwoorden

IAM vormt de brug tussen deze eisen en de praktijk. Zonder IAM kun je nauwelijks aantonen dat toegang op een gecontroleerde manier wordt beheerd.

De praktijk: waarom organisaties vaak vastlopen tijdens audits

Veel bedrijven hebben hun technische beveiliging op orde. Firewalls, encryptie, virusbescherming, multi-factor authenticatie. Maar wanneer een auditor begint over toegangsrechten, ontstaan de grootste problemen.

Typisch scenario zonder IAM:

• HR heeft een spreadsheet met medewerkers, maar geen koppeling met IT.

• IT beheert accounts handmatig in AD en losse SaaS-apps.

• Externen worden geregistreerd via e-mail of inkoop, maar niet formeel afgesloten.

• Rechten worden toegewezen op basis van verzoeken, niet op basis van beleid.

• Niemand weet precies welke historische rechten iemand heeft opgebouwd.

• Licenties lopen door, ook als accounts inactief zijn.

• Auditvragen worden beantwoord met screenshots en exports.

Dit leidt tot stress, risico’s en een groot gebrek aan vertrouwen in het proces.

IAM lost die problemen structureel op door toegang niet te corrigeren, maar te automatiseren.

Hoe IAM helpt om wél goed door ISO 27001 en NIS2 audits te komen

IAM verandert het volledige fundament van toegangsbeheer. Niet meer afhankelijk van personen, processen of losse systemen, maar één centrale laag die toegang consistent bepaalt en verwerkt.

1. Eén bron van identiteit door HR-integratie

HR blijft werken in het HR-systeem, zoals YouServe, AFAS, Personio of Deel. Joinly synchroniseert alle relevante identiteitsgegevens, zoals functies, afdelingen, locaties en contractvormen. Hierdoor ontstaat een betrouwbaar startpunt voor alle toegangsbeslissingen.

2. Toegang wordt bepaald volgens beleid via RBAC en ABAC

In Joinly bepaal je toegang niet per persoon, maar op basis van beleid.
RBAC maakt gebruik van rollen, bijvoorbeeld:

• HR medewerker

• Marketing lead

• IT beheerder

ABAC gebruikt kenmerken zoals:

• Locatie

• Type medewerker (intern, extern)

• Certificeringsniveau

• Projecttoewijzing

Dit model is niet alleen technisch efficiënt, maar ook auditproof. Auditors willen begrijpen waarom toegang is verleend, en RBAC/ABAC biedt precies dat inzicht.

3. Provisioning en deprovisioning gebeuren automatisch

Een van de grootste risico’s bij audits zijn vergeten accounts. IAM elimineert dat risico volledig. Joinly zorgt voor:

• automatische aanmaak van accounts

• automatische intrekking bij vertrek

• automatische aanpassing bij functiewijzigingen

• automatische opschoning van licenties

• uniforme verwerking van externe toegang

Auditors zien hierdoor dat er niet vertrouwd wordt op handwerk, maar op gecontroleerde processen.

4. Alles wordt gelogd en is direct aantoonbaar

Joinly legt automatisch alle toegangsbeslissingen en wijzigingen vast. Geen screenshots. Geen Excel-lijsten. Geen papieren dossiers.

Voor auditors is dit ideaal. Ze hoeven alleen maar te zien hoe het proces werkt. De bewijslast is ingebouwd.

5. Externe toegang is volledig onder controle

NIS2 stelt extra zware eisen aan leveranciers en ketenpartners. Veel organisaties hebben juist daar risico’s. Externen blijven te lang actief, hebben te brede rechten of worden niet structureel beheerd.

Joinly maakt externen onderdeel van hetzelfde IAM-proces.
Ze krijgen:

• gecontroleerde onboarding

• beperkte, beleidsgedreven rechten

• automatische offboarding op basis van einddatum

Dit sluit perfect aan op NIS2.

Waarom Joinly certificering versnelt in plaats van vertraagt

Met Joinly wordt IAM geen technisch project, maar een strategische bouwsteen voor security. Het platform maakt organisaties aantoonbaar veiliger en auditklaar zonder dat teams extra werk krijgen. Identiteiten zijn consistent, rechten zijn uitlegbaar, processen zijn geautomatiseerd en rapportages zijn direct beschikbaar.

Het resultaat:

• audits kosten minder tijd

• auditor-bevindingen nemen drastisch af

• risico’s worden eerder zichtbaar

• beveiliging wordt proactief in plaats van reactief

• compliance wordt continu in plaats van jaarlijks

Joinly maakt ISO 27001 en NIS2 structureel haalbaar.

IAM als fundament voor moderne security

ISO 27001 en NIS2 zijn geen vinklijstjes, maar kaders die organisaties veiliger moeten maken. IAM is daarin geen klein onderdeel, maar de basis waarop alle beveiliging rust. Zonder centraal, automatisch, uitlegbaar toegangsbeheer is geen enkele organisatie echt veilig of auditklaar.

Joinly zorgt ervoor dat IAM begrijpelijk, schaalbaar en controleerbaar wordt. Precies wat nodig is om in een moderne digitale omgeving aan de hoogste veiligheidsnormen te voldoen.