Service accounts reviewen — de onzichtbare meerderheid

Naast echte medewerkers heb je service accounts: API-integraties, scheduled jobs, automation. Vaak zijn dit er meer dan menselijke users. Wie eigent ze en hoe review je ze?

Service accounts zijn non-menselijke identiteiten: de Zapier-integratie, de GitHub Actions-bot, de nightly backup-runner. Ze leven lang, hebben vaak brede rechten, en worden zelden gereviewd.

Inventariseer ze

• Alle M365/Entra-app-registraties: wat doen ze, wie heeft ze gemaakt?
• GitHub deploy-keys en app-installations.
• API-users in CRM, boekhouding, customer-portal.
• Database-users buiten je gebruikers-tabel.
• CI/CD-credentials.

Per service account leg je vast

• Menselijke eigenaar (naam, bij vertrek overdracht).
• Doel / wat doet dit account.
• Scope / rechten.
• Credentials-opslag-locatie.
• Einddatum (liefst) of review-datum.

Review-cadans

Minstens jaarlijks, liefst halfjaarlijks. Per item: nog nodig? Rechten nog minimaal? Credentials recent geroteerd?

Bij eigenaar-vertrek

Elk service account krijgt nieuwe menselijke eigenaar — anders sterft het in de offboarding zonder dat iemand merkt wat ermee samenhangt. Zie vault-overdracht.