BG Beter Geregeld ICT
Toegangsbeheer · 2 min leestijd · 02 december 2025

Shadow IT opruimen zonder revolutie

De marketeer betaalt Canva Pro privé. Sales heeft een eigen LinkedIn-scraper. Dev gebruikt ChatGPT Team via privé-mail. Dat is shadow IT — en het is bijna nooit kwaadwillend.

Shadow IT is tools die in gebruik zijn binnen het bedrijf zonder dat IT of management er weet van hebben. In het MKB is het de regel, niet de uitzondering — en meestal niet kwaadwillend. Mensen willen hun werk doen, de officiële tool kan niet of is te langzaam, er is een alternatief voor €15/maand, ze klikken op "abonneren".

De schade

  • Data lekt. Klant-data die in een privé-account staat is niet onder bedrijfs-beheer, overleeft offboarding niet, kan niet worden geëxporteerd of gewist.
  • Geen MFA, geen password-policy. Accounts die buiten SSO vallen zijn het meest kwetsbaar.
  • Dubbele kosten. Je betaalt al voor HubSpot maar sales gebruikt Pipedrive. Nu betaal je voor beide.
  • Bij audit of incident ken je de scope niet. "Welke systemen hebben klant-X data?" → geen antwoord.

Opruimen zonder confrontatie

Shadow IT is bijna altijd een signaal dat je officiële stack iets niet biedt. Ga dus niet meteen verbieden — begrijp eerst waarom het is ontstaan.

  1. Amnestie-ronde. "We gaan inventariseren. Geen straf, iedereen krijgt 2 weken om zijn tools te melden."
  2. Maak een SaaS-inventaris. Zie stappenplan.
  3. Per tool beslis: formaliseren (upgrade naar team-abonnement + SSO), vervangen (door iets in je bestaande stack), of accepteren als exception.
  4. Biedt alternatieven aan. Als je Canva Pro ontmoedigt, zorg dan dat er een werkbaar alternatief is. Mensen kiezen tools voor een reden.
  5. Maak aanvragen makkelijk. Ik wil een nieuwe SaaS → formulier → binnen 3 werkdagen antwoord. Zo voorkom je dat shadow IT weer groeit.

Tooling voor detectie

Zero-trust gateways (Cloudflare Access, Zscaler) laten zien welke domeinen worden bezocht. Voor het MKB is dat vaak overkill — een kwartaalenquête werkt ook. Zie SaaS-inventaris voor de praktische aanpak.

Onderwerpen

#governance #saas #shadow-it

Volledige gids: Toegangsbeheer voor het MKB: de complete gids (2026)

Dit artikel is onderdeel van onze uitgebreide Toegangsbeheer-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Toegangsbeheer

Toegangsbeheer voor het MKB: de complete gids (2026)

Van de eerste toegangsmatrix tot periodieke reviews en directory-sync — alles wat je moet weten als je bedrijf groeit voorbij 10 mensen maar nog geen IT-afdeling heeft.

3 min
Toegangsbeheer

SaaS-inventaris opstellen: wat draait er eigenlijk in je bedrijf?

Het gemiddelde MKB heeft 47 actieve SaaS-abonnementen. De helft weet niemand van. Zonder inventaris kun je geen toegangsbeheer doen, want je weet niet welke deuren je moet controleren.

2 min
Toegangsbeheer

Tijdelijke toegang: hoe je hem geeft én weer intrekt

Een consultant voor 6 weken, een developer die alleen de migratie moet doen, een vervanger tijdens zwangerschapsverlof. Tijdelijke toegang is makkelijk geven — moeilijk intrekken.

2 min
Toegangsbeheer

Het least-privilege-beginsel uitgelegd voor ondernemers

Geef zo min mogelijk toegang voor zo kort mogelijk. Dat klinkt alsof het productiviteit kost — in de praktijk bespaart het je van een datalek dat je maanden kost om uit te leggen.

2 min
Access reviews

Periodieke access reviews: proces, frequentie, bewijsvoering

Een access review is een audit-vereiste waar bijna elk MKB mee worstelt. De tweede keer hoef je er geen week meer voor uit te trekken — als je het de eerste keer goed opzet.

2 min
Offboarding

Waterdichte offboarding in 12 stappen

Iemand gaat weg. In het MKB is dit waar de meeste datalekken ontstaan. Hier is een checklist die dekt wat je écht moet doen — met termijnen, verantwoordelijken, en valkuilen.

2 min
← Alle artikelen in "Toegangsbeheer"