Volwassenheidsniveau 3 bereiken voor toegangsbeheer

Marcel van Beek

3min read

Wat betekent volwassenheidsniveau 3?

Volwassenheidsniveaus beschrijven hoe goed een maatregel is geborgd, niet of die er is. Niveau 3 is in beide kaders het afgesproken streefniveau: maatregelen zijn gedocumenteerd en worden consistent toegepast, zodat de kans en de impact van incidenten flink afnemen.

Voor het funderend onderwijs geldt niveau 3 als de norm die uiterlijk 1 januari 2030 op alle normen bereikt moet zijn. In het mbo en hoger onderwijs is niveau 3 via SURFaudit de gezamenlijk afgesproken ambitie.

Hoe ziet niveau 3 eruit voor toegangsbeheer?

Vertaald naar toegangsbeheer herken je niveau 3 aan vier dingen:

  • Vastgelegd beleid. Er staat op papier wie welke toegang krijgt, op basis van rol, functie en school.

  • Geautomatiseerde levenscyclus. Accounts ontstaan, bewegen mee en gaan uit zonder handwerk, op basis van het personeelssysteem.

  • Periodieke controle. Met vaste tussenpozen wordt gecontroleerd of de toegang nog klopt, en worden afwijkingen ingetrokken.

  • Aantoonbaarheid. Logging en rapportage laten zien wie wanneer toegang had en waarom.

Het verschil met lagere niveaus zit vooral in consistentie en bewijs: niet incidenteel goed geregeld, maar altijd, en aantoonbaar.

Hoe kom je daar?

Werk projectmatig en begin bij de grootste risico's:

  1. Breng de huidige situatie in kaart. Hoe ontstaan en verdwijnen accounts nu, en waar zitten de gaten?

  2. Maak het personeelssysteem de bron en automatiseer de levenscyclus met een orchestratielaag.

  3. Standaardiseer rollen per functie en school, zodat least privilege vanzelf gebeurt.

  4. Richt periodieke controles in met een vaste cadans.

  5. Zorg dat alles logt, zodat je het bewijs automatisch opbouwt.

Automatiseren is hierbij de versneller: een geautomatiseerd proces is per definitie consistenter en beter aantoonbaar dan handwerk, en dat is precies wat niveau 3 vraagt.

Veelgestelde vragen

Geldt niveau 3 voor het hele onderwijs? Het is het streefniveau in zowel het Normenkader IBP als SURFaudit, dus van het primair onderwijs tot het hoger onderwijs.

Moet ik op alle normen tegelijk op niveau 3 zitten? Nee, je werkt via een groeipad. Je dekt eerst de grootste risico's af en breidt daarna stap voor stap uit.

Versnelt automatisering het bereiken van niveau 3? Ja. Geautomatiseerde provisioning, vaste rollen en logging dekken meerdere normen tegelijk af en maken consistentie en bewijs vanzelfsprekend.

Explore more blogs

Insights Image

De zelfevaluatie van het Normenkader IBP voorbereiden (vóór 2027)

Insights Image

De zelfevaluatie van het Normenkader IBP voorbereiden (vóór 2027)

Insights Image

Normenkader IBP of Cyberbeveiligingswet: wat is het verschil?

Insights Image

Normenkader IBP of Cyberbeveiligingswet: wat is het verschil?

Insights Image

Je personeelssysteem koppelen aan Microsoft 365 of Entra ID: AFAS, Visma of HR2day

Insights Image

Je personeelssysteem koppelen aan Microsoft 365 of Entra ID: AFAS, Visma of HR2day

Browsing is free

Schedule a no-obligation demo

In 30 minutes, we would love to show you how Joinly adds value for the entire organization.

Schedule a demo

Browsing is free

Schedule a no-obligation demo

In 30 minutes, we would love to show you how Joinly adds value for the entire organization.

Schedule a demo

Browsing is free

Schedule a no-obligation demo

In 30 minutes, we would love to show you how Joinly adds value for the entire organization.

Schedule a demo