Verweesde accounts opsporen: hoe kraak je 3 jaar aan slordige offboarding?

Dat je vandaag beter wil offboarden helpt niet tegen de 23 actieve accounts van ex-medewerkers die er al staan. Hier hoe je die groep opruimt zonder wekenlang werk.

Iedereen heeft ze: verweesde accounts. Mensen die jaren geleden vertrokken maar nog op has_access staan in je CRM, cloud-storage, of random SaaS. Dit is de opruim-operatie.

De drie hoofdbronnen

1. M365 / Google Workspace: filter op "last sign-in > 90 dagen" — dat is meestal de aanvang van je verdwenen-accounts-lijst.
2. Individuele SaaS: logs per tool. Moeilijker omdat er niet altijd een standaard-filter is.
3. Shared spaces: Dropbox, SharePoint, Drive — mensen die nog als editor zijn toegevoegd.

De cleanup-sprint

1. Dag 1: per systeem een lijst trekken van accounts waarvan je twijfelt.
2. Dag 2-3: cross-check met HR: wie is hier nog wel / niet in dienst?
3. Dag 4: bulk-disable van actuele ex-medewerkers, 30 dagen wachten voor verwijderen.
4. Dag 5: documenteren en een formeel offboarding-record maken, ook voor ex-medewerkers van jaren terug.

Risk-flag als blijvende oplossing

Implementeer een terugkerende check die wekelijks of maandelijks rapporteert: "deze persoon is inactive volgens HR maar heeft nog access-cellen op has_access". In AccessGuard heet dat orphan_access risk (sev 5) — de scanner doet dit automatisch elke nacht.

Zie ook: offboarding pillar, periodieke access reviews.