Een vertrekkende docent of conciërge die na de laatste werkdag nog bij de leeromgeving, de cijferadministratie of de gedeelde schijven kan, is een risico dat veel scholen herkennen. Handmatig accounts intrekken werkt zolang iemand eraan denkt, maar in de praktijk blijven rechten hangen. Dit artikel legt uit hoe je dat proces betrouwbaar automatiseert en welke normen daarom vragen.

Waarom blijven accounts van oud medewerkers vaak te lang actief?

De kern van het probleem is dat de personeelsadministratie en de ICT omgeving twee gescheiden werelden zijn. Het vertrek van een medewerker wordt eerst vastgelegd in het personeelssysteem, terwijl het account leeft in Microsoft Entra ID of Google Workspace. Zonder koppeling moet iemand het signaal handmatig overbrengen. Bij tijdelijke contracten, vervangers en wisselingen rond de zomervakantie gaat dat geregeld mis. Het gevolg is dat toegangsrechten langer bestaan dan de arbeidsrelatie, wat in strijd is met het uitgangspunt dat een medewerker alleen toegang heeft zolang die nodig is voor het werk.

Hoe automatiseer ik het intrekken van toegang op basis van het personeelssysteem?

De oplossing is om het personeelssysteem leidend te maken. Joinly van KoppelHet fungeert als orchestratielaag en automatiseringslaag boven Microsoft Entra ID of Google Workspace, gevoed door de gegevens uit het personeelssysteem. De werking is op te delen in drie stappen: de bron is het personeelssysteem, de orchestratielaag vertaalt elke wijziging naar accounts en rechten, en de werkomgeving is de plek waar de medewerker daadwerkelijk inlogt.

Bij uitstroom betekent dit dat een einddatum in het personeelssysteem automatisch een keten in gang zet. Op de afgesproken datum wordt het account uitgeschakeld, worden de rollen en groepslidmaatschappen ingetrokken en wordt de toegang tot applicaties beëindigd. Omdat dit op rollen is gebaseerd, hoeft niemand per medewerker uit te zoeken welke rechten weg moeten. Elke handeling wordt gelogd, zodat achteraf aantoonbaar is wanneer welke toegang is ingetrokken. Voor instroom en functiewijzigingen werkt dezelfde keten de andere kant op. Het beheer richt zich uitsluitend op medewerkers; leerlingaccounts vallen buiten deze scope.

Welke normen vragen om tijdige intrekking van toegang?

Voor het funderend onderwijs is het normenkader informatiebeveiliging en privacy van Kennisnet en SURF het richtsnoer. Toegangsbeheer is daarin een vast thema, met de eis dat toegangsrechten passen bij de functie en tijdig worden ingetrokken als die functie eindigt. In het hoger onderwijs wordt dit getoetst via het toetsingskader van SURFaudit, dat vijftien domeinen en bijbehorende beheersmaatregelen kent, waaronder toegangsbeveiliging. In de SURFaudit benchmark van 2023 deden een recordaantal van 103 instellingen mee en lag het gemiddelde volwassenheidsniveau op 2,3 op een schaal van vijf, terwijl de sector streeft naar niveau 3.

Daarnaast komt er nieuwe wetgeving aan. De Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese richtlijn NIS2, is op 15 april 2026 door de Tweede Kamer aangenomen en ligt nu bij de Eerste Kamer, met als beoogde ingangsdatum 1 juli 2026. Het kabinet heeft besloten het hoger onderwijs onder deze wet te brengen; het voortgezet onderwijs valt er op dit moment niet rechtstreeks onder. Toch is gecontroleerde offboarding een maatregel die in al deze kaders terugkomt, omdat verweesde accounts een bekende toegangsroute voor aanvallers vormen.

FAQ

Gaat dit ook over leerlingaccounts? Nee. Deze aanpak richt zich uitsluitend op medewerkers. Het beheer van leerlingaccounts valt buiten de scope.

Werkt dit met zowel Microsoft als Google? Ja. De orchestratielaag draait boven Microsoft Entra ID of Google Workspace en wordt in beide gevallen gevoed door het personeelssysteem.

Kan ik achteraf aantonen dat toegang is ingetrokken? Ja. Elke handeling wordt gelogd, zodat je per medewerker kunt laten zien wanneer welke rechten zijn beëindigd.