Je eerste toegangsmatrix bouw je in een middag

De simpelste stap in toegangsbeheer is meteen ook de belangrijkste: schrijf eens op wie waar toegang toe heeft. Hier is het receptje voor een werkbare eerste versie binnen vier uur.

Veel MKB-bedrijven beginnen aan toegangsbeheer door meteen een tool te vergelijken. Dat is de verkeerde eerste stap. Begin met een matrix: een simpele grid waarop je in één oogopslag ziet wie waar toegang toe heeft. Bouwtijd: één middag als je het volgende recept volgt.

Stap 1: Lijst van personen (20 minuten)

Open een spreadsheet. Zet in kolom A iedereen op de loonlijst. Voeg een kolom "type" toe: employee, contractor, of external (bijv. accountant die toegang tot Exact heeft). Voeg status toe: actief, ingepland, inactief.

Tip: start vanuit je HR-systeem of — als je geen HR hebt — de lijst uit je boekhoudpakket. Vergeet oud-medewerkers van het laatste jaar niet. Die komen we later tegen als "verweesde toegang".

Stap 2: Lijst van systemen (30 minuten)

Nu de andere as: welke systemen verwerken gevoelige of bedrijfskritische data? Begin niet met alles. Begin met het volgende rijtje:

• E-mail / Microsoft 365 / Google Workspace
• Je CRM (Salesforce, Pipedrive, HubSpot)
• Boekhouding (Exact, Moneybird, Twinfield, TeamLeader)
• Cloud-infrastructuur (AWS, Azure, GCP)
• Code-repositories (GitHub, GitLab, Bitbucket)
• Password vault (1Password, Bitwarden)
• Communicatie (Slack, Teams)
• Bestandsopslag (Dropbox, OneDrive, Google Drive)

Later breid je uit naar tier-2 systemen (design-tools, marketing-tools, specifieke SaaS). Zie ook: SaaS-inventaris opstellen.

Stap 3: Vul de cellen in (2 uur)

Per persoon × systeem schrijf je één van vier waardes:

• has_access — heeft toegang, je weet het zeker
• no_access — geen toegang, je weet het zeker
• needs_review — twijfelgeval, moet gecheckt
• unknown — nooit over nagedacht

Probeer eerst vanuit je eigen hoofd. Loop daarna per systeem na wat de admin-interface zegt (zie M365 governance voor hoe je dat in Entra doet). Waar je het niet weet: needs_review. Daar vul je later een hele middag mee.

Stap 4: Markeer de afwijkingen (30 minuten)

Loop de matrix één keer horizontaal af. Vraag jezelf per rij: "heeft deze persoon toegang tot systemen die ik raar vind?" Typische vondsten in een eerste matrix:

• Iemand die al 8 maanden weg is staat nog op has_access voor Dropbox — offboarding gat
• De marketeer is Global Admin in M365 "omdat het makkelijk was" — zie least privilege
• Je externe accountant heeft toegang tot HR-mailbox die niet in scope hoort — classificeer dit als privileged access

Van spreadsheet naar tool

Na een paar maanden merk je dat de spreadsheet uit de hand loopt: versies in e-mail, tabbladen per jaar, niemand weet welke de laatste is. Dat is het moment om een tool te nemen. Begin met iets dat dezelfde structuur heeft (persoon × systeem × status + notitie) — zoals AccessGuard — zodat je niet opnieuw hoeft te beginnen.

Je kunt je eerste matrix in de publieke demo live zien staan, met 6 medewerkers × 6 systemen en 2 automatisch gevlagde risico's.