Waterdichte offboarding in 12 stappen

Iemand gaat weg. In het MKB is dit waar de meeste datalekken ontstaan. Hier is een checklist die dekt wat je écht moet doen — met termijnen, verantwoordelijken, en valkuilen.

Voor onboarding vinden ondernemers het normaal om 3 uur in te plannen. Voor offboarding vaak 20 minuten op de laatste werkdag. Dat is waar het misgaat.

De 12 stappen — in volgorde van belangrijkheid

1. Disable eerst, verwijder later. Op de laatste werkdag: account op disabled zetten, niet verwijderen. Je wilt e-mail nog kunnen lezen, bestanden nog kunnen terughalen.
2. Trek privileged access direct in. Global Admin, AWS root, boekhoud-admin — die gaan meteen weg, niet op einddag. Zie privileged access.
3. Verander gedeelde wachtwoorden. Alles in je password-vault waar deze persoon bij kon. Ja, allemaal. Zie gedeelde wachtwoorden beheer.
4. Zet e-mail forwarding aan. Naar manager of opvolger, voor 30 dagen. Zie e-mail forwarding na vertrek.
5. Autoreply instellen. "Ik werk hier niet meer. Neem contact op met X."
6. Laptop innemen. Zie device retrieval.
7. Zet MFA-tokens uit. Authenticator-apps, hardware-tokens, SMS-nummers.
8. Revoke van individuele SaaS accounts. Alles wat niet via SSO loopt (SaaS-inventaris).
9. Klant- en projectoverdracht. Zie klantoverdracht.
10. Vault-items overzetten.
11. 30 dagen later: e-mail archiveren en account verwijderen. Zie 30-dagen-regel.
12. Loggen wat je hebt gedaan. Eén pagina per offboarding, bewaard voor audit-bewijs.

Wie doet wat?

HR triggert. IT / office-manager voert uit. Manager doet de klant/project-overdracht. Directie tekent af op stappen 1-3 (de high-impact).

Maak er een proces van, niet een checklist

Zet het als proces in je tool, met per stap: verantwoordelijke, SLA, bewijs.

Verder: juridisch kader, onboarding-offboarding parity, script voor de laatste werkdag.