Kwartaal-cadans voor access reviews: planning en ritme

Vier keer per jaar een review klinkt veel. In praktijk kost het 3-4 uur per kwartaal bij goede opzet. Hier de cadans die werkt voor een 40-mans MKB.

Een kwartaal-cadans is de natuurlijke ritme voor access reviews bij een MKB tot ±100 medewerkers. Minder is niet ISO-compliant, meer is onnodig werk.

De 3-weken-cyclus per kwartaal

• Week 1: snapshot + scope (30 min). Vaak op de eerste werkdag van het kwartaal.
• Week 2: managers beslissen over hun teams (30 min per manager).
• Week 3: IT voert revoke/change uit. Rapport wordt getekend en gearchiveerd.

Jaarkalender

• Q1 review: 2e week januari, rapport eind januari.
• Q2: 2e week april.
• Q3: 2e week juli.
• Q4: 2e week oktober — tevens input voor management review.

Wie doet de coördinatie?

Eén persoon is "review-owner". Vaak de security-officer of operations lead. Niet de CEO — dat schaalt niet.

Escalatie

Manager reageert niet binnen 5 werkdagen: escalatie naar directie. Consistentie hier is belangrijker dan de inhoud — als managers merken dat deadlines niet serieus worden genomen, raakt het hele proces achterop.

Zie ook: review-pillar, managers betrekken.