BG Beter Geregeld ICT
Toegangsbeheer · 2 min leestijd · 13 October 2025

Privileged access management voor het MKB

Global Admin, AWS root, Salesforce system admin — dat zijn de rollen waar de meeste ellende vandaan komt. Wat je kunt doen zonder een dure PAM-tool te kopen.

Privileged Access Management (PAM) klinkt als iets voor banken en overheden. Voor het MKB vertaal ik het simpel: welke accounts kunnen, als ze gecompromitteerd worden, je hele bedrijf platleggen? Dat zijn er in de praktijk 5 tot 15, en die verdienen een aparte behandeling.

Inventariseer je privileged accounts

Loop dit rijtje langs:

  • M365 / Entra Global Administrator(s)
  • Google Workspace super admin
  • AWS root user
  • Boekhoudpakket admin (Exact, Moneybird enz.)
  • Salesforce system admin
  • GitHub/GitLab org owner
  • Domein-registrar (TransIP, Hover, Namecheap)
  • DNS-provider (Cloudflare)
  • Password manager admin
  • Hostingpaneel (Plesk, cPanel)
  • Bankrekening ("rechten hebben om te betalen")

Schrijf deze op met per account: wie heeft de credentials, in welke vault staan ze, wie is backup. Zie ook SaaS-inventaris opstellen.

De drie regels van privileged access

  1. Niet voor dagelijks werk. Je Global Admin mailt en vergadert met een gewone user-account. Alleen voor admin-taken wissel je naar het privileged account. Dedicated admin accounts noemen we dat.
  2. MFA is verplicht, geen optie. Voor normale users is MFA sterk aanbevolen, voor privileged accounts is het niet onderhandelbaar. Gebruik bij voorkeur een hardware token (YubiKey) voor deze set.
  3. Minstens twee personen kennen de root-credentials. Eén persoon = single point of failure. Drie = te veel. Twee is goud.

Just-in-time access: het volwassen patroon

In Entra ID kun je PIM (Privileged Identity Management) configureren: Global Admin-rechten zijn NIET standaard actief, iemand moet ze activeren voor een sessie van max. 8 uur, met goedkeuring van een collega. Dat reduceert het aanvalsoppervlak enorm. Zie de M365 governance-gids voor de setup.

Review en rotatie

Elk kwartaal: loop de privileged-lijst na. Twee vragen per regel: "heeft deze persoon dit nog nodig?" en "wanneer was het laatste gebruik?" Rekening: als een Global Admin 95 dagen niet heeft ingelogd, is dat een risico (access review).

Van alle categorieën in je toegangsbeheer is dit de categorie waar je het minste van maar de meeste aandacht aan besteedt. Zo hoort het ook.

Onderwerpen

#iam #pam #privileged-access #admin #security

Volledige gids: Toegangsbeheer voor het MKB: de complete gids (2026)

Dit artikel is onderdeel van onze uitgebreide Toegangsbeheer-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Toegangsbeheer

Toegangsbeheer voor het MKB: de complete gids (2026)

Van de eerste toegangsmatrix tot periodieke reviews en directory-sync — alles wat je moet weten als je bedrijf groeit voorbij 10 mensen maar nog geen IT-afdeling heeft.

3 min
Toegangsbeheer

Externe partijen toegang geven zonder de deur open te laten

Consultant, boekhouder, freelance dev, partner-bedrijf. Allemaal mensen die geen medewerker zijn maar wel ergens in moeten. Hier een patroon dat werkt zonder dat je na 2 jaar 47 spook-accounts hebt.

2 min
Toegangsbeheer

Gedeelde wachtwoorden: hoe je ze beheert zonder nachtmerrie

Die ene admin-login voor de domeinregistrar, de social-media-accounts, de customer-portal. Die wachtwoorden ken je met 3 mensen, delen via een Excel is fout — dit is de rechtzetting.

2 min
Toegangsbeheer

Access matrix of RBAC: wat past bij jouw groeifase?

Een directe matrix (persoon × systeem) werkt tot ±30 medewerkers. Daarna ga je rol-gebaseerd. Hier zie je wanneer je de switch maakt en hoe je hem zonder big-bang doet.

2 min
Toegangsbeheer

SaaS-inventaris opstellen: wat draait er eigenlijk in je bedrijf?

Het gemiddelde MKB heeft 47 actieve SaaS-abonnementen. De helft weet niemand van. Zonder inventaris kun je geen toegangsbeheer doen, want je weet niet welke deuren je moet controleren.

2 min
Toegangsbeheer

Onboarding IT-checklist: wat moet er klaar staan op dag 1?

De beste eerste werkdag is een saaie. Laptop werkt, accounts staan klaar, mappen zijn gedeeld. Deze checklist dekt het dichte MKB-scenario van 12 systemen en 4 rollen.

2 min
← Alle artikelen in "Toegangsbeheer"