Access matrix of RBAC: wat past bij jouw groeifase?

Een directe matrix (persoon × systeem) werkt tot ±30 medewerkers. Daarna ga je rol-gebaseerd. Hier zie je wanneer je de switch maakt en hoe je hem zonder big-bang doet.

Een toegangsmatrix is je startpunt. RBAC is waar je eindigt. Wanneer maak je de overstap?

Tekenen dat je matrix uit zijn voegen groeit

• Je hebt > 25 medewerkers — elke spreadsheet-update duurt 20 minuten.
• Nieuwe hires krijgen telkens dezelfde set — je kopieert per rol.
• Bij een review besluit je 80% van de tijd "keep, zoals bij anderen in Sales".
• Er komt een compliance-audit aan en je wil patronen kunnen laten zien.

Als 2+ van deze gelden: tijd voor rol-gebaseerd werken.

Hoe switch je zonder disruptie?

1. Houd de bestaande matrix actief. Je gooit hem niet weg.
2. Definieer je rollen op basis van wat je al ziet in de matrix — niet op basis van hoe het theoretisch zou moeten.
3. Koppel mensen aan rollen. Verschil tussen wat de rol zegt en wat ze nu hebben = uitzondering, expliciet gedocumenteerd.
4. Nieuwe hires → via rol. Bestaande mensen → via review-cyclus alignen (niet in één keer, over 2 kwartalen).

Wat als je M365 gebruikt?

Dan heeft je rollen al een natuurlijke plek: security-groups in Entra ID. Zie M365 governance voor hoe je groups ↔ AccessProfiles koppelt via directory-sync. Dat is de beste combinatie: mensen in Entra-groups zetten = automatische toegang toepassen.

Matrix blijft de validatie-laag

Ook na RBAC houd je de matrix. Rollen zijn bedoelde toegang; de matrix toont actuele toegang. Bij review vergelijk je ze: verschillen zijn waar onderzoek nodig is.