Wat staat er precies in het toetsingskader over toegang van medewerkers?

Het toetsingskader van SURFaudit is opgebouwd uit vijftien domeinen en bevat 69 statements die beschrijven welke beheersmaatregelen relevant zijn om een beheersdoel te bereiken. Toegangsbeveiliging is een van die domeinen. De kern is dat gebruikers en beheerders unieke inloggegevens hebben, dat gedeelde accounts niet zijn toegestaan, en dat toegang beperkt blijft tot precies die systemen en diensten waarvoor iemand expliciet is geautoriseerd.

Belangrijk voor medewerkers is het beginsel van minimale rechten: ken niet meer toegang toe dan nodig is voor de taakuitvoering. Daar hoort onlosmakelijk bij dat rechten worden gewijzigd of ingetrokken zodra het dienstverband of contract verandert of eindigt. Een account dat na vertrek actief blijft, of een medewerker die na een interne overstap oude rechten behoudt, is precies wat dit domein wil voorkomen.

Wat betekent volwassenheidsniveau 3 voor dit proces?

SURF en de onderwijskoepels hebben afgesproken te streven naar een gemiddeld volwassenheidsniveau 3 over de domeinen heen. Niveau 3 staat voor gedocumenteerd, formeel en aantoonbaar. Het is dus niet genoeg dat toegangsbeheer in de praktijk wel goed loopt; je moet kunnen laten zien dat er beleid is, dat het proces vastligt en dat de uitvoering aantoonbaar is.

Voor toegangsbeheer betekent dat in de praktijk een sluitende registratie: wie kreeg welke rechten, op welke grond, wanneer gewijzigd en wanneer ingetrokken. Handmatige processen via formulieren en losse afspraken halen dat niveau zelden, omdat de bewijsvoering versnipperd raakt en intrekkingen vertraging oplopen. Let op: SURF heeft het toetsingskader sinds oktober 2025 tijdelijk in onderhoud, met een verkenning van het toekomstperspectief; de onderliggende principes rond toegangsbeheer blijven inhoudelijk onveranderd, maar controleer de actuele status bij SURF voordat je een audit plant.

Hoe verhoudt dit zich tot de Cyberbeveiligingswet en NIS2?

Naast SURFaudit komt de Cyberbeveiligingswet eraan, de Nederlandse uitwerking van de Europese richtlijn NIS2. De wet treedt naar verwachting in het tweede kwartaal van 2026 in werking. Voor aangewezen instellingen gelden de registratieplicht en de meldplicht direct; de zorgplicht kent voor delen van de onderwijssector een ruimere invoeringstermijn. Beheerst toegangsbeheer, met aantoonbare toekenning en gecontroleerde intrekking, valt onder die zorgplicht en sluit naadloos aan op wat SURFaudit al vraagt. Eén goed ingericht proces dient dus beide kaders. Wetgeving en regelgeving op dit terrein veranderen snel.

Hoe automatiseer je toegangsbeheer voor medewerkers?

Hier komt orchestratie in beeld. Joinly van KoppelHet legt een laag voor orchestratie en automatisering boven Microsoft Entra ID of Google Workspace, gevoed door het personeelssysteem. De redenering is eenvoudig: het personeelssysteem is de bron van waarheid over wie in dienst is, in welke rol en tot wanneer. Zodra daar een wijziging plaatsvindt, vertaalt de orchestratielaag dat naar de juiste accounts en rechten in de werkomgeving.

Concreet loopt het van bron naar werkomgeving: een nieuwe medewerker in het personeelssysteem leidt tot een account met rolgebaseerde rechten, een functiewijziging tot aanpassing van die rechten, en uitdiensttreding tot gecontroleerde intrekking op de juiste datum. Elke stap wordt gelogd, zodat je richting een audit kunt aantonen wat er is gebeurd en waarom. Daarmee verschuift toegangsbeheer van een handmatige, foutgevoelige reeks acties naar een herhaalbaar en aantoonbaar proces, precies wat niveau 3 verlangt. Het gaat hierbij uitsluitend om medewerkers; beheer van studentaccounts valt buiten deze scope.

De winst zit in drie dingen: minder vergeten intrekkingen, consistente rechten op basis van rol in plaats van losse toekenningen, en een logboek dat de bewijslast voor SURFaudit en de zorgplicht draagt.

Veelgestelde vragen

Verplicht SURFaudit automatisering van toegangsbeheer? Nee. Het toetsingskader schrijft geen specifiek product of techniek voor. Het verlangt dat het proces gedocumenteerd, formeel en aantoonbaar is. Automatisering is een effectieve manier om dat niveau te bereiken, maar geen letterlijke eis.

Geldt dit ook voor tijdelijke medewerkers en externen? Ja. Het beginsel van minimale rechten en tijdige intrekking geldt voor iedereen met toegang. Juist bij kortlopende contracten en externen is een einddatum vanuit de bron waardevol, omdat intrekking dan automatisch op tijd gebeurt.

Wat is het verschil tussen Entra ID en een orchestratielaag daarboven? Entra ID of Google Workspace beheert identiteiten en toegang binnen de werkomgeving. De orchestratielaag bepaalt op basis van het personeelssysteem wat er in die werkomgeving moet gebeuren en voert dat gecontroleerd en gelogd uit.