BG Beter Geregeld ICT
Toegangsbeheer · 2 min leestijd · 19 October 2025

Het least-privilege-beginsel uitgelegd voor ondernemers

Geef zo min mogelijk toegang voor zo kort mogelijk. Dat klinkt alsof het productiviteit kost — in de praktijk bespaart het je van een datalek dat je maanden kost om uit te leggen.

"Geef mensen de toegang die ze nodig hebben, niet meer." Dat is het least-privilege-beginsel in één zin. Het lijkt een no-brainer maar in de praktijk is de verleiding groot om "iets meer" te geven: want anders krijg je weer een helpdesk-ticket als hij het nodig heeft.

Waarom het ertoe doet

Wanneer een account gecompromitteerd wordt (phishing, hergebruikt wachtwoord, gestolen cookie), gaat de aanvaller zo diep als dat account toelaat. Een marketeer met Global Admin = hele tenant over. Een marketeer met alleen Marketing-app-toegang = beperkte schade.

Datzelfde geldt intern: een ontevreden medewerker in zijn laatste 2 weken met meer toegang dan nodig = een probleem dat je niet wil hebben.

Hoe implementeer je het zonder bureaucratie?

  1. Default = minimaal. Bij onboarding alleen birthright + rol (uitleg). Alles daarbuiten moet aangevraagd en goedgekeurd.
  2. Tijdgebonden toegang waar mogelijk. "Ik heb een week AWS-toegang nodig voor de migratie" → geef het voor een week, niet permanent. Zet een herinnering om weer in te trekken. Zie tijdelijke toegang-workflow.
  3. Downgrade automatisch bij rol-wissel. Van sales naar customer-success? CRM-admin-rechten weg. Dit is waar je reviews voor dienen.
  4. "Maak me even admin" mag niet. De zin alleen al is een red flag. Vraag: wat probeer je te doen? Waarom heb je daar admin voor nodig?

Uitzonderingen zijn OK — als je ze logt

Soms IS tijdelijke admin-toegang gewoon de praktische oplossing. Dan doe je het, maar je noteert: wie, wanneer, waarom, tot wanneer. Dat log is je audit-bewijs dat het niet zomaar gebeurde.

Least privilege en privileged access

Het principe is het sterkst bij privileged accounts. Een extra recht op een gewone user is een ongemak; een extra recht op een admin is een ramp-in-wording.

Dit beginsel is de rode draad door de hele toegangsbeheer-gids. Als je 1 regel onthoudt uit al onze artikelen, is het deze.

Onderwerpen

#iam #governance #security #least-privilege

Volledige gids: Toegangsbeheer voor het MKB: de complete gids (2026)

Dit artikel is onderdeel van onze uitgebreide Toegangsbeheer-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Toegangsbeheer

Toegangsbeheer voor het MKB: de complete gids (2026)

Van de eerste toegangsmatrix tot periodieke reviews en directory-sync — alles wat je moet weten als je bedrijf groeit voorbij 10 mensen maar nog geen IT-afdeling heeft.

3 min
Toegangsbeheer

Externe partijen toegang geven zonder de deur open te laten

Consultant, boekhouder, freelance dev, partner-bedrijf. Allemaal mensen die geen medewerker zijn maar wel ergens in moeten. Hier een patroon dat werkt zonder dat je na 2 jaar 47 spook-accounts hebt.

2 min
Toegangsbeheer

Gedeelde wachtwoorden: hoe je ze beheert zonder nachtmerrie

Die ene admin-login voor de domeinregistrar, de social-media-accounts, de customer-portal. Die wachtwoorden ken je met 3 mensen, delen via een Excel is fout — dit is de rechtzetting.

2 min
Toegangsbeheer

Access matrix of RBAC: wat past bij jouw groeifase?

Een directe matrix (persoon × systeem) werkt tot ±30 medewerkers. Daarna ga je rol-gebaseerd. Hier zie je wanneer je de switch maakt en hoe je hem zonder big-bang doet.

2 min
Toegangsbeheer

Shadow IT opruimen zonder revolutie

De marketeer betaalt Canva Pro privé. Sales heeft een eigen LinkedIn-scraper. Dev gebruikt ChatGPT Team via privé-mail. Dat is shadow IT — en het is bijna nooit kwaadwillend.

2 min
Toegangsbeheer

SaaS-inventaris opstellen: wat draait er eigenlijk in je bedrijf?

Het gemiddelde MKB heeft 47 actieve SaaS-abonnementen. De helft weet niemand van. Zonder inventaris kun je geen toegangsbeheer doen, want je weet niet welke deuren je moet controleren.

2 min
← Alle artikelen in "Toegangsbeheer"