Waarom neemt het belang van toegangsbeheer in het onderwijs toe?

Onderwijsinstellingen draaien op een groeiend aantal applicaties, van de digitale leeromgeving tot administratie, samenwerking en clouddiensten. Elke medewerker heeft toegang nodig tot precies de juiste systemen, en die behoefte verandert voortdurend door instroom, functiewijzigingen en uitstroom. Tegelijkertijd neemt de digitale dreiging toe. In het Dreigingsbeeld Cybersecurity 2025 benoemt Kennisnet vijf belangrijke dreigingen voor scholen: aanvallen die systemen onbereikbaar maken, afhankelijkheid van leveranciers, infostealers, phishing en ransomware. Het aantal aanvallen op het primair en voortgezet onderwijs stijgt sinds 2023, en de Rijksoverheid riep schoolbesturen in november 2025 op om sneller werk te maken van digitale veiligheid.

In veel van deze dreigingen is een account de ingang. Een gestolen wachtwoord of een vergeten account van een vertrokken medewerker geeft een aanvaller een legitiem ogende toegang. Daarmee verschuift toegangsbeheer van een administratieve taak naar een beveiligingsmaatregel van de eerste orde.

Wat maakt accountbeheer in het onderwijs zo foutgevoelig?

Het onderwijs kent uitgesproken pieken. Rond de start van het schooljaar moeten veel nieuwe medewerkers tegelijk toegang krijgen, terwijl vertrekkende medewerkers juist tijdig moeten worden uitgezet. Daarbij komen functiewijzigingen, tijdelijke contracten en externen die kort meedraaien. Als dit handmatig in meerdere systemen gebeurt, ligt een fout op de loer: een account dat te laat klaarstaat, of erger, een account dat na vertrek actief blijft met oude rechten.

Die foutgevoeligheid is precies waar Identity en Access Management op ingrijpt. Door één betrouwbare bron leidend te maken en de vertaling naar accounts te automatiseren, verdwijnt het handmatige overtypen en daarmee een groot deel van de fouten.

Welke eisen stellen wet en kaders aan toegangsbeheer?

Onderwijsinstellingen moeten kunnen aantonen dat zij toegang beheerst toekennen en intrekken. Het toetsingskader van SURFaudit verlangt voor het hoger onderwijs dat rechten niet ruimer zijn dan nodig en dat ze worden gewijzigd of ingetrokken zodra het dienstverband verandert of eindigt, en dat dit aantoonbaar gebeurt. Voor het funderend onderwijs speelt het normenkader informatiebeveiliging en privacy een vergelijkbare rol. Daarnaast komt de Cyberbeveiligingswet eraan, de Nederlandse uitwerking van de Europese richtlijn NIS2, die naar verwachting in het tweede kwartaal van 2026 in werking treedt en voor aangewezen instellingen een zorgplicht meebrengt. Beheerst toegangsbeheer met sluitende logging is in al deze kaders een terugkerende eis. Aantoonbaarheid is daarbij net zo belangrijk als de maatregel zelf: je moet kunnen laten zien wie welke toegang kreeg, op welke grond en wanneer die is ingetrokken.

Wat automatiseer je het beste eerst, en hoe past Joinly daarin?

Begin bij de levensloop van het medewerkersaccount, want daar zitten het hoogste risico en de meeste handmatige last. Joinly van KoppelHet legt hiervoor een laag voor orchestratie en automatisering boven Microsoft Entra ID of Google Workspace, gevoed door het personeelssysteem. De redenering is eenvoudig: het personeelssysteem weet wie in dienst is, in welke rol en tot wanneer. Zodra daar iets verandert, vertaalt de orchestratielaag dat naar de juiste accounts en rechten in de werkomgeving.

Concreet loopt het van bron naar werkomgeving:

• Instroom: een nieuwe medewerker in het personeelssysteem krijgt automatisch een account met rolgebaseerde rechten, klaar op de juiste datum.

• Doorstroom: een functiewijziging leidt tot aanpassing van rechten, zonder dat oude toegang blijft hangen.

• Uitstroom: uitdiensttreding leidt tot gecontroleerde intrekking op de juiste datum, met een logregel als bewijs.

Elke stap wordt gelogd, zodat de bewijslast richting SURFaudit, het normenkader en de zorgplicht gedragen wordt. Het gaat hierbij uitsluitend om medewerkers; het beheer van accounts voor leerlingen of studenten valt buiten deze scope. Wie hier begint, pakt in één beweging de grootste foutbron, het grootste beveiligingsrisico en een flink deel van de aantoonbaarheidseis aan.

Veelgestelde vragen

Is Identity en Access Management alleen iets voor grote instellingen? Nee. Ook kleinere instellingen hebben te maken met instroom, doorstroom en uitstroom en met dezelfde kaders. De omvang bepaalt de schaal, niet de noodzaak.

Vervangt een orchestratielaag mijn bestaande Entra ID of Google Workspace? Nee. Entra ID of Google Workspace blijft de werkomgeving waarin identiteiten en toegang leven. De orchestratielaag bepaalt op basis van het personeelssysteem wat daar moet gebeuren en voert dat gecontroleerd en gelogd uit.

Waarom beginnen met medewerkers en niet met alles tegelijk? Omdat de levensloop van het medewerkersaccount het hoogste risico en de meeste handmatige last combineert. Daar boek je de snelste winst in veiligheid en aantoonbaarheid.