Wat betekenen RBAC en least privilege precies?

Rolgebaseerde toegang, in het Engels role based access control of RBAC, betekent dat je rechten toekent aan rollen en mensen aan rollen koppelt, in plaats van elk individu losse rechten te geven. Een behandelaar, een beleidsmedewerker en een teamleider hebben elk een eigen profiel met de toegang die bij die functie hoort. Least privilege is het bijbehorende uitgangspunt: iemand krijgt niet meer toegang dan strikt nodig is voor het werk.

Samen zorgen deze principes ervoor dat toegang verklaarbaar wordt. Je kunt voor elke medewerker laten zien waarom hij bepaalde rechten heeft, namelijk omdat de rol dat vereist. Dat is precies wat de Baseline Informatiebeveiliging Overheid vraagt.

Hoe vertaal je functies naar rollen bij een gemeente?

De praktische start is een rollenoverzicht dat aansluit op de functies zoals die in het personeelssysteem staan. Breng per functie in kaart welke applicaties en gegevens nodig zijn en leg dat vast in een autorisatieprofiel. Houd het aantal rollen beheersbaar door te kijken naar wat functies gemeen hebben, en voeg afdeling of organisatieonderdeel toe waar dat de toegang bepaalt. Vermijd uitzonderingen op individueel niveau, want die ondermijnen het overzicht en zijn lastig te verantwoorden.

Een gemeente heeft vaak een groot applicatielandschap, van zaaksystemen tot kantoorautomatisering. Door de rollen centraal te beheren en niet per afdeling apart, voorkom je versnippering waardoor niemand nog het totaaloverzicht heeft.

Hoe houd je het beheer centraal en aantoonbaar?

RBAC werkt alleen als de toekenning en intrekking van rollen betrouwbaar gebeurt. Daarom is het verstandig het personeelssysteem de bron van waarheid te maken en een orchestratielaag de rollen automatisch te laten toepassen in de werkomgeving. Joinly van KoppelHet werkt als zo'n laag boven Microsoft Entra ID of Google Workspace: bij indiensttreding krijgt de medewerker de rol die bij de functie hoort, een functiewijziging leidt automatisch tot de juiste aanpassing, en bij vertrek vervallen de rollen. Elke wijziging wordt gelogd.

Daarmee is least privilege geen eenmalige inrichting maar een doorlopend proces, en kun je periodiek aantonen dat de feitelijke toegang nog klopt met de bedoelde toegang. Dit geldt voor medewerkers; identiteiten van burgers vallen buiten deze opzet.

FAQ

Hoeveel rollen heb ik nodig? Zoveel als nodig om functies betekenisvol te onderscheiden, maar zo weinig mogelijk om het beheersbaar te houden. Begin met de grootste functiegroepen en verfijn waar de praktijk daarom vraagt.

Wat doe ik met uitzonderingen? Leg uitzonderingen vast als tijdelijke, herleidbare toekenningen met een einddatum, in plaats van als permanente individuele rechten. Zo blijft het overzicht intact.

Sluit RBAC aan op de BIO? Ja. De Baseline Informatiebeveiliging Overheid gaat uit van rolgebaseerde toegang en least privilege; RBAC is daarvan de directe invulling.