Externe partijen toegang geven zonder de deur open te laten

Consultant, boekhouder, freelance dev, partner-bedrijf. Allemaal mensen die geen medewerker zijn maar wel ergens in moeten. Hier een patroon dat werkt zonder dat je na 2 jaar 47 spook-accounts hebt.

Externe partijen zijn de categorie waar access-hygiene het meest uit de hand loopt. Ze staan niet in je HR-systeem, hun onboarding is informeel, hun vertrek merk je vaak pas als iemand zegt "oh die doen we al een half jaar niet meer".

Zes regels die het voorkomen

1. Aparte naming-conventie. ext.jan.dejong@jouwbedrijf.nl of via de naam van de externe partij. Visueel direct duidelijk.
2. Einddatum verplicht. Zie tijdelijke toegang. Niet "onbekend" invullen — een datum, eventueel over 12 maanden, maar een datum.
3. Minimale scope. Niet hun eigen M365-account met volle rechten; liever guest-access op specifieke SharePoint-sites of één gedeelde mailbox.
4. Geen privileged access. Consultant mag dingen bekijken, niet admin-beslissingen doorvoeren (of alleen met expliciete scope + einddatum).
5. Aparte password-vault-sectie. Niet mengen met interne shared credentials.
6. Eigenaar bij naam. Per externe: wie binnen jouw bedrijf is verantwoordelijk? Bij diens vertrek is er iemand nodig om het over te pakken.

Het review-patroon

Elk kwartaal bij je review: sectie "externe partijen" apart. Vraag de interne contactpersoon: "nog relevant? einddatum nog actueel?" Pending antwoord = inactiveer tot er reactie is.

Wat met accountants en boekhouders?

Die vallen onder "externe partij" maar met een langlopende relatie. Patroon: alleen toegang tot boekhouding-app, geen e-mail-account in jouw tenant, jaarlijkse review tegen de contract-duur. Zie ook externe accountant toegang regelen.