Permission creep ontstaat wanneer medewerkers telkens nieuwe toegangsrechten ontvangen maar oude rechten nooit worden ingetrokken. Na jaren van rolwijzigingen, projectdeelname en tijdelijke uitzonderingen beschikken gebruikers dan over veel bredere toegang dan nodig. Wordt zo'n account misbruikt, dan bereikt een aanvaller direct gevoelige systemen en gegevens.
Access certification-campagnes doorbreken dit patroon. Door periodiek per applicatie, groep of rol te toetsen of toegang nog gerechtvaardigd is, verwijdert u verouderde rechten en voorkomt u dat permissies zich blijven opstapelen. Elke review-cyclus versterkt zo de least-privilegehouding en verkleint de impact van een gecompromitteerd account.
Azure AD (Entra ID) Access Reviews biedt de technische basis om campagnes uit te rollen, maar succes valt of staat met heldere criteria, betrokken reviewers en soepele workflows. In deze tutorial ontdekt u hoe u campagnes ontwerpt, reviewers voorbereidt en remediatie automatiseert zodat identity governance aantoonbaar op orde is.
Deze tutorial behandelt de complete implementatie van access certification: campagnes plannen, reviewers selecteren, efficiënte workflows opzetten, remediatie automatiseren, niet-reagerende reviewers opvolgen en bewijs documenteren. Zo bouwt u aan aantoonbare access governance.
Segmenteer reviews op basis van gevoeligheid. Eén kwartaalcyclus voor alle bronnen leidde bij een provincie tot reviewer-moeheid omdat duizenden rechten elk kwartaal moesten worden bevestigd. Pas liever een risicogebaseerde cadans toe: financiële en mission-critical systemen per kwartaal, samenwerkingstools jaarlijks en administratieve hulpmiddelen halfjaarlijks. Zo richt u aandacht op de grootste risico’s en houdt u de belasting beheersbaar.
Campagneontwerp: zinvolle reviews orkestreren
Een goede campagne vindt het evenwicht tussen grondigheid en uitvoerbaarheid zodat reviewers niet alleen afvinken maar daadwerkelijk beslissingen nemen.
Begin met een scherpe scope: welke groepen, applicatierollen, SharePoint-sites of bevoorrechte rollen vallen binnen deze ronde? Een te brede aanpak overweldigt reviewers, daarom werkt segmentatie – bijvoorbeeld eerst alle privileged rollen, daarna projectgroepen – beter dan alles tegelijk.
Kies reviewers die de zakelijke context kennen. Leidinggevenden beoordelen toegang van hun direct reports, terwijl applicatie- of proceseigenaren beslissen over gevoelige systemen. Voor kritieke platforms kunt u een tweede beoordelingslaag toevoegen (bijvoorbeeld een security officer na de manager) om consistentie te borgen.
Plan de frequentie op basis van risico. Hoogwaardige data en kritieke processen controleert u elk kwartaal, reguliere samenwerking jaarlijks. Vermijd piekperiodes (begroting, verkiezingen) zodat reviewers tijd hebben. Een voorspelbaar ritme helpt teams vooruit plannen.
Geef reviewers concrete criteria: welke toegangscombinaties horen bij een rol, wanneer moet tijdelijke toegang worden ingetrokken, welke uitzonderingen zijn toegestaan? Voeg voorbeeldbeslissingen en rationale toe zodat het auditspoor helder blijft.
Automatiseer afhandeling van niet-reagerende reviewers. Stel een SLA in, verstuur herinneringen en escaleer naar een manager of security office. Reageert niemand, verwijder dan standaard de toegang en registreer de maatregel. Zo blijven campagnes niet eindeloos in afwachting.
Access certification-campagnes geven Nederlandse overheidsorganisaties een reproduceerbaar mechanisme om toegangsrechten te valideren en permission creep te voorkomen. Door reviews risicogebaseerd te plannen en remediatie te automatiseren blijft de administratieve last beheersbaar terwijl de controlekwaliteit stijgt.
Het is geen puur IT-project: business owners moeten bereid zijn beslissingen te nemen, bewijs vastleggen en verbeterpunten aandragen. Training, duidelijke richtlijnen en toegankelijke tooling creëren die betrokkenheid.
Maak van elke campagne een leermoment. Analyseer responstijden, veelvoorkomende afwijzingen en escalaties om de volgende ronde efficiënter te maken. Zo groeit access governance van incidentele opschoning naar een volwassen, voorspelbare routine.