Het begon als een simpele opruimactie.
We stonden op het punt om over te stappen naar een nieuw documentbeheersysteem. Een mooi moment om ook direct alle oude accounts, gedeelde mappen en gebruikersrollen eens op te schonen. Gewoon even kijken wie er nog in onze systemen zat.
En daar stond-ie: een stagiair van ruim tweeënhalf jaar geleden. Met volwaardige toegang tot klantdossiers. Admin-rechten. In mappen die allang gearchiveerd hadden moeten zijn.
Dat was ongemakkelijk. Want wat we daarna tegenkwamen, had zo in een datalek kunnen eindigen.
Iedereen dacht dat iemand anders het regelde
De check leverde een hele lijst op. Ex-werknemers met actieve e-mailadressen. Een voormalig zzp’er die nog toegang had tot gedeelde klantmappen in Google Drive. En een oud-projectmanager – al drie jaar uit dienst – die nog in SharePoint stond als eigenaar van een productomgeving.
Niemand had ooit formeel besloten: “Deze persoon mag dit blijven zien.” Het was gewoon… blijven staan.
IT beheerde de techniek. HR regelde onboarding. Maar offboarding? Die gebeurde vooral ad hoc. Als iemand eraan dacht. Of als iemand iets niet meer kon vinden.
We waren dus kwetsbaar. En niemand wist het.
Dat maakte het ook zo gevaarlijk: er was geen sprake van moedwillige fouten of nalatigheid. Geen datalek, geen misbruik. Maar alle ingrediënten lagen klaar.
We hadden 2FA aanstaan. Versleutelde laptops. Sterke wachtwoorden. En tóch had iemand met nul binding met de organisatie toegang tot privacygevoelige klantinformatie.
Wat dit liet zien: technische maatregelen zonder proces en overzicht zijn als een slot zonder deur.
Grip is niet hetzelfde als controle
We dachten dat we het geregeld hadden. Alles stond keurig in Excel. Iedereen had “ergens” een lijstje. Maar grip betekent niet dat je ergens een lijstje hebt – het betekent dat je weet wat er nú gebeurt. Dat je het kunt aantonen. Dat je weet wie waar toegang toe heeft en waarom.
Het grootste probleem zat in de structuur. Toegang was gekoppeld aan personen, niet aan rollen. Er was geen logging van wie wat aanpaste. En niemand keek periodiek terug of het systeem nog klopte met de werkelijkheid.
Wat we nu anders doen
Sindsdien hebben we het proces structureel ingericht. We voeren elke drie maanden een toegangsreview uit. Dat werkt voor ons prettig, maar het belangrijkste is: het gebeurt. Steeds opnieuw.
In CompliTrack hebben we een periodieke taak aangemaakt voor deze controles. Zo zorgen we dat we het overzicht bewaren. En we loggen wijzigingen, zodat we altijd kunnen terugzien wie wat wanneer heeft gedaan.
In de eerste review ontdekten we nog dat een oud-projectmanager toegang had tot twee klantomgevingen. Sindsdien is die controle onderdeel van ons ritme geworden.
Niet omdat het moet. Maar omdat het werkt.
Wat je vandaag al kunt doen
Je hoeft geen systeem in te richten voor duizend medewerkers. Maar je kunt wél beginnen met een simpele vraag: wie heeft er eigenlijk toegang tot onze klantdata? Tot oude projecten? Tot e-mailadressen die we niet meer gebruiken?
Want als je het nooit gecontroleerd hebt, is de kans groot dat je iets over het hoofd ziet.
En dát is precies waar risico’s ontstaan.
Lees ook: ISO 27001 Veelgemaakte fouten: 5 valkuilen en hoe je ze voorkomt
Geef een reactie