Wat is identiteits- en toegangsbeheer (IAM)?

Identiteits- en toegangsbeheer (IAM) is het geheel van beleidsregels, processen en technologieën dat ervoor zorgt dat de juiste personen de juiste toegang hebben tot de juiste bronnen, op het juiste moment en om de juiste redenen. IAM omvat de volledige identiteitslevenscyclus: provisioning, authenticatie, autorisatie, monitoring en deprovisioning van gebruikerstoegang tot alle systemen en applicaties.

Wat is het verschil tussen authenticatie en autorisatie?

Authenticatie verifieert wie u bent (identiteitsverificatie) — uw identiteit bewijzen met inloggegevens zoals wachtwoorden, MFA-tokens of biometrie. Autorisatie bepaalt wat u mag doen (toegangscontrole) — definiëren welke bronnen, acties en gegevens een geverifieerde identiteit mag benaderen. Authenticatie komt altijd eerst; autorisatie volgt daarna.

Wat is single sign-on (SSO) en waarom is het belangrijk voor beveiliging?

SSO stelt gebruikers in staat om eenmalig te authenticeren en vervolgens meerdere applicaties te benaderen zonder opnieuw inloggegevens in te voeren. Het verbetert de beveiliging door wachtwoordmoeheid te verminderen (minder wachtwoorden betekent minder zwakke of hergebruikte wachtwoorden), gecentraliseerde toegangscontrole en -monitoring mogelijk te maken, MFA-afdwinging over alle applicaties te vereenvoudigen en offboarding te versnellen door het uitschakelen van één account om alle toegang in te trekken.

Wat is het principe van minimale rechten?

Het principe van minimale rechten houdt in dat gebruikers alleen de minimaal noodzakelijke toegangsrechten krijgen om hun taken uit te voeren — niets meer. Dit verkleint het bereik van gecompromitteerde accounts, beperkt de impact van insiderdreigingen en wordt expliciet vereist door ISO 27001 (A.8.2), SOC 2 (CC6.1), NIS2 (Artikel 21) en DORA (Artikel 9).

Wat is het verschil tussen RBAC en ABAC?

Role-Based Access Control (RBAC) wijst rechten toe op basis van vooraf gedefinieerde rollen (bijv. 'Financieel Analist' krijgt toegang tot financiële systemen). Attribute-Based Access Control (ABAC) neemt toegangsbeslissingen op basis van meerdere attributen (afdeling, locatie, apparaatcompliance, tijdstip, dataclassificatie). RBAC is eenvoudiger te implementeren; ABAC biedt fijnmazigere, contextgevoelige controle.

Hoe vaak moeten toegangsbeoordelingen worden uitgevoerd?

Best practice: driemaandelijkse toegangsbeoordelingen voor alle gebruikers, maandelijkse beoordelingen voor geprivilegeerde accounts en onmiddellijke beoordeling bij rolwijziging of beëindiging van het dienstverband. ISO 27001 vereist periodieke beoordeling van toegangsrechten (A.5.18), SOC 2 vereist periodieke evaluatie (CC6.2) en DORA vereist regelmatige beoordeling van ICT-toegangsrechten (Artikel 9). Automatiseer beoordelingen waar mogelijk om handmatige inspanning te verminderen en volledigheid te waarborgen.

Welke compliance-frameworks vereisen IAM-maatregelen?

Alle grote frameworks vereisen IAM: ISO 27001 (A.5.15-A.5.18, A.8.2-A.8.5 — Toegangscontrolebeleid, gebruikerstoegansbeheer, authenticatie), SOC 2 (CC6.1-CC6.3 — Logische en fysieke toegangscontroles), NIS2 (Artikel 21(2)(d) — Toegangscontrolebeleid), DORA (Artikel 9(4) — Identiteitsbeheer, authenticatie, toegangscontrole) en PCI DSS (Eisen 7-8 — Toegangscontrole en authenticatie).

Wat is identity governance and administration (IGA)?

IGA is het beleidskader en de tooling die de volledige identiteitslevenscyclus beheert: onboarding (toegang toewijzen op basis van rol), doorlopend (toegangsbeoordelingen, certificeringscampagnes, role mining) en offboarding (tijdige deprovisioning van alle toegang). IGA-tools automatiseren toegangsverzoeken, goedkeuringen, beoordelingen en compliancerapportage, en leveren het auditspoor dat compliance-frameworks vereisen.

Identiteits- en toegangsbeheer (IAM): de complete gids voor beveiligings- en complianceteams

Published 8 mrt 2026

By Emre Salmanoglu

Identiteits- en toegangsbeheer (IAM): de complete gids voor beveiligings- en complianceteams

Leer hoe u identiteits- en toegangsbeheer implementeert dat voldoet aan ISO 27001, SOC 2, NIS2 en DORA. Behandelt SSO, MFA, RBAC, ABAC, privileged access, identiteitsgovernance en auditbewijs.

IAM

identiteitsbeheer

toegangscontrole

MFA

compliance

Wat is identiteits- en toegangsbeheer?

Identiteits- en toegangsbeheer (IAM) is de discipline die ervoor zorgt dat de juiste personen de juiste toegang hebben tot de juiste bronnen om de juiste redenen. Het omvat de beleidsregels, processen en technologieën die digitale identiteiten beheren en de toegang tot organisatiesystemen en -gegevens controleren gedurende de volledige identiteitslevenscyclus.

Een volwassen IAM-programma gaat verder dan eenvoudige gebruikersaccounts en wachtwoorden en implementeert gecentraliseerde identiteitsgovernance, risicogebaseerde authenticatie, fijnmazige autorisatie en continue toegangsmonitoring.

IAM-kerncomponenten

Component	Wat het doet	Compliancewaarde
Levenscyclusbeheer van identiteiten	Provisioning, wijziging en deprovisioning van accounts	Bewijs van instromers/doorstromers/uitstromers
Authenticatie	Gebruikersidentiteit verifiëren (wachtwoorden, MFA, biometrie, certificaten)	Bewijs van sterke authenticatie
Single sign-on (SSO)	Eén authenticatie geeft toegang tot meerdere applicaties	Gecentraliseerde toegangscontrole
Autorisatie	Definiëren en afdwingen wat geauthenticeerde gebruikers mogen benaderen	Bewijs van minimale rechten
Toegangsbeoordelingen	Periodieke verificatie dat toegang nog steeds passend is	Bewijs van hercertificering
Privileged access management	Beheerders- en verhoogde toegang controleren en monitoren	Bewijs van geprivilegeerde toegang
Directory-diensten	Centraal identiteitsregister (Active Directory, Entra ID, Okta)	Bron van waarheid voor identiteiten
Auditlogging	Alle authenticatie- en toegangsgebeurtenissen registreren	Bewijs van auditspoor

Authenticatiemethoden

Methode	Beveiligingsniveau	Gebruikerservaring	Beste voor
Alleen wachtwoord	Laag	Gemiddelde frictie	Verouderde systemen (niet aanbevolen)
Wachtwoord + SMS OTP	Gemiddeld	Gemiddelde frictie	Basis MFA-compliance
Wachtwoord + authenticator-app	Hoog	Gemiddelde frictie	Standaard MFA
Wachtwoord + hardwaretoken (FIDO2)	Zeer hoog	Lage frictie na opzet	Hoogbeveiligde omgevingen
Wachtwoordloos (FIDO2/passkeys)	Zeer hoog	Lage frictie	Moderne applicaties
Op certificaten gebaseerd	Zeer hoog	Transparant na opzet	Machine-identiteiten, VPN
Biometrie + apparaatbinding	Zeer hoog	Lage frictie	Mobiel en geprivilegeerde toegang

Autorisatiemodellen

Model	Hoe het werkt	Voordelen	Nadelen
RBAC	Toegang op basis van toegewezen rollen	Eenvoudig, auditeerbaar, goed begrepen	Rolexplosie in complexe organisaties
ABAC	Toegang op basis van attributen (gebruiker, bron, context)	Fijnmazig, contextgevoelig	Complex om te implementeren en te auditen
PBAC	Toegang op basis van beleidsregels die rollen en attributen combineren	Flexibel, centraal beheerd	Overhead van beleidsbeheer
ReBAC	Toegang op basis van relaties tussen entiteiten	Natuurlijk voor hiërarchische gegevens	Nieuwer, minder tooling-ondersteuning
Just-in-time (JIT)	Tijdelijke verhoogde toegang op verzoek	Minimaliseert permanente privileges	Vereist goedkeuringsworkflows

Levenscyclusbeheer van identiteiten

Fase	Activiteiten	Kernmaatregelen
Instroom	Identiteit aanmaken, rolgebaseerde toegang toewijzen, accounts provisioneren	Geautomatiseerde provisioning vanuit HR-systeem
Doorstroom	Toegang bijwerken bij rol- of afdelingswijziging	Toegangsbeoordelingstriggers bij rolwijziging
Uitstroom	Accounts deactiveren, alle toegang intrekken, bedrijfsmiddelen terughalen	Geautomatiseerde deprovisioning binnen 24 uur
Externe medewerker	Tijdgebonden toegang met vervaldatums	Automatisch verlopen van toegang, geen permanente accounts
Dienstaccount	Niet-menselijke identiteiten voor systeem-naar-systeemcommunicatie	Eigenaarstoewijzing, rotatie, monitoring

Best practices voor toegangsbeoordelingen

Type beoordeling	Reikwijdte	Frequentie	Beoordelaar
Gebruikerstoegangsboordeling	Alle gebruikersrechten over systemen heen	Driemaandelijks	Lijnmanagers
Beoordeling geprivilegeerde toegang	Beheerders- en verhoogde accounts	Maandelijks	Beveiligingsteam + systeemeigenaren
Dienstaccountbeoordeling	Niet-menselijke accounts en API-sleutels	Driemaandelijks	Systeemeigenaren
Applicatieautorisatiebeoordeling	Fijnmazige rechten binnen applicaties	Halfjaarlijks	Applicatie-eigenaren
Audit van uitgestroomde gebruikers	Verifiëren dat alle toegang is verwijderd voor vertrokken medewerkers	Maandelijks	HR + IT

Compliance-eisen

Framework-mapping

Vereiste	ISO 27001	SOC 2	NIS2	DORA
Toegangscontrolebeleid	A.5.15	CC6.1	Art. 21(2)(d)	Art. 9(4)(a)
Gebruikersregistratie/-deregistratie	A.5.16	CC6.2	Art. 21(2)(d)	Art. 9(4)(a)
Provisioning van toegangsrechten	A.5.18	CC6.2	Art. 21(2)(d)	Art. 9(4)(a)
Beoordeling van toegangsrechten	A.5.18	CC6.2	Art. 21(2)(d)	Art. 9(4)(b)
Multi-factor-authenticatie	A.8.5	CC6.1	Art. 21(2)(d)	Art. 9(4)(d)
Privileged access management	A.8.2	CC6.1	Art. 21(2)(d)	Art. 9(4)(c)
Minimale rechten	A.8.2	CC6.1	Art. 21(2)(d)	Art. 9(4)(a)
Authenticatiebeheer	A.8.5	CC6.1	Art. 21(2)(d)	Art. 9(4)(d)

Auditbewijs

Type bewijs	Beschrijving	Framework
Toegangscontrolebeleid	Gedocumenteerd beleid met rollen, verantwoordelijkheden en procedures	Alle frameworks
Provisioning-registraties	Tickets/workflows die goedkeuring en provisioning tonen	ISO 27001, SOC 2
Toegangsbeoordelingsrapporten	Afgeronde driemaandelijkse beoordeling met beslissingen en acties	Alle frameworks
MFA-implementatierapport	Dekking over alle gebruikers en systemen	Alle frameworks
Deprovisioningbewijs	Tijdige intrekking van toegang voor vertrokken medewerkers	Alle frameworks
Inventaris van geprivilegeerde accounts	Lijst van alle beheerdersaccounts met rechtvaardiging	ISO 27001, SOC 2, DORA
SSO-configuratie	Gecentraliseerde authenticatie voor alle applicaties	SOC 2
Wachtwoordbeleid	Gedocumenteerd beleid dat voldoet aan framework-eisen	Alle frameworks

Veelgemaakte fouten

Fout	Risico	Oplossing
Geen geautomatiseerde deprovisioning	Voormalige medewerkers behouden toegang	IAM integreren met HR-systeem voor geautomatiseerde offboarding
Gedeelde accounts	Geen individuele verantwoording	Gedeelde accounts elimineren, individuele identiteiten gebruiken
Geen MFA op kritieke systemen	Accountcompromittering via diefstal van inloggegevens	MFA overal afdwingen, geprivilegeerde toegang prioriteren
Ophoping van verouderde toegang	Gebruikers verzamelen onnodige rechten in de loop der tijd	Driemaandelijkse toegangsbeoordelingen met herstelacties implementeren
Geen governance van dienstaccounts	Verweesd dienstaccounts met brede toegang	Eigenaren toewijzen, rotatie implementeren, gebruik monitoren
Handmatige provisioning	Langzaam, foutgevoelig, geen auditspoor	Provisioning automatiseren via IAM-platform
Alleen wachtwoordauthenticatie	Eenvoudig te compromitteren via phishing	Wachtwoordloze of sterke MFA implementeren

Hoe Orbiq IAM-compliance ondersteunt

Orbiq helpt u identiteits- en toegangsbeheermaatregelen aan te tonen:

Bewijsverzameling — Centraliseer toegangsbeoordelingsrapporten, MFA-implementatiebewijs en deprovisioningregistraties
Continue monitoring — IAM-maatregeleffectiviteit en compliancepercentages volgen
Trust Center — Uw IAM-status delen via uw Trust Center
Compliancemapping — IAM-maatregelen koppelen aan ISO 27001, SOC 2, NIS2 en DORA
Auditgereedheid — Kant-en-klare bewijspakketten voor auditorenreview

Verder lezen

Toegangscontrole — Gedetailleerde toegangscontrolemodellen en implementatie
Zero Trust-architectuur — Identiteitsgecentreerd beveiligingsmodel
SIEM — Authenticatie- en toegangsgebeurtenissen monitoren
Beveiligingsbewustzijnstraining — Gebruikersgedrag en inloggegevenshygiëne
Encryptie — Inloggegevens en tokens beschermen
ISMS — IAM binnen het informatiebeveiligingsmanagementsysteem