Identity & Access Management (IAM) binnen gemeenten is niet alleen een technische uitdaging, maar ook een organisatorisch vraagstuk. In veel gemeenten speelt de helpdesk een cruciale rol in het verstrekken en beheren van gebruikersrechten, vaak met een tool zoals Topdesk als centraal loket. Toch ontstaat hier een grijs gebied: de helpdesk regelt de initiële uitgifte van accounts, maar applicatiebeheerders nemen vaak zelfstandig de verdere rechtenverdeling over. Dit leidt tot verlies van controle en verhoogde beveiligingsrisico’s.
De helpdesk als eerste lijn voor IAM
In veel gemeenten verloopt de aanvraag voor een account via de helpdesk. Een medewerker of manager dient een ticket in via Topdesk, waarna de helpdesk zorgt voor:
- Aanmaken van accounts in Active Directory en andere kernsystemen
- Toekennen van basisrechten (bijvoorbeeld e-mail, standaardapplicaties, toegang tot het gemeentelijk netwerk)
- Registratie van wijzigingen en afmeldingen van medewerkers
Dit proces biedt een gestructureerde en gecontroleerde manier om toegang te beheren, mits het goed wordt nageleefd.
Waar gaat het mis? De schaduwbeheerstructuur
Hoewel de helpdesk een centrale rol speelt in IAM, is er een probleem: veel applicaties worden beheerd door afzonderlijke functioneel of technisch beheerders binnen verschillende afdelingen. Deze beheerders krijgen vaak uitgebreide rechten om zelf gebruikers toe te voegen en autorisaties toe te kennen.
Dit leidt tot de volgende risico’s:
Geen centrale controle – De helpdesk ziet niet welke rechten worden toegekend in specifieke applicaties, waardoor er geen totaaloverzicht is van wie welke toegang heeft.
Ongecontroleerde groeiprocessen – Applicatiebeheerders geven vaak meer rechten dan nodig (‘voor het gemak’), zonder een formeel proces of controlemechanisme.
Geen periodieke herziening – Accounts blijven soms bestaan na functiewijzigingen of uitdiensttreding, omdat de helpdesk geen automatische terugkoppeling krijgt van afdelingen.
Bypass van securitybeleid – Als er geen strikte regels zijn voor rollen en rechten, kunnen medewerkers toegang krijgen tot gevoelige informatie zonder dat dit wordt geregistreerd in een centraal IAM-systeem.
Hoe krijg je de controle terug?
Om dit probleem aan te pakken, moeten gemeenten een structurele aanpak kiezen die zowel procesmatig als technisch grip biedt op IAM. Hier zijn vier essentiële verbeteringen:
1. IAM als centraal proces inrichten
- IAM moet niet alleen een IT-aangelegenheid zijn, maar een organisatiebrede verantwoordelijkheid.
- Stel duidelijke richtlijnen op: wie mag rechten toekennen en onder welke voorwaarden?
- Leg vast welke rollen en rechten nodig zijn per functie en pas het ‘least privilege’-principe toe (geef medewerkers alleen de rechten die ze echt nodig hebben).
2. De helpdesk een controlerende rol geven
- Zorg ervoor dat alle aanvragen via de helpdesk of een gecentraliseerd IAM-portaal lopen, inclusief applicatiespecifieke rechten.
- Beperk de rechten van applicatiebeheerders door ze alleen wijzigingen te laten doorvoeren die zijn goedgekeurd via een centraal proces.
- Koppel Topdesk aan een IAM-oplossing, zodat er automatische workflows zijn voor goedkeuring en logging van wijzigingen.
3. Inzicht en rapportage verbeteren
- Introduceer een periodieke controle waarbij managers en beheerders moeten bevestigen dat de toegekende rechten nog steeds nodig zijn.
- Gebruik dashboards en rapportages om inzicht te krijgen in wie welke rechten heeft en wanneer deze zijn toegekend.
- Zorg voor een audit-trail, zodat er altijd terug te vinden is wie welke toegang heeft verleend.
4. Automatisering en zelfservice, maar met controle
- Implementeer een IAM-systeem waarbij medewerkers zelf rechten kunnen aanvragen, maar met een goedkeuringsflow via leidinggevenden en de helpdesk.
- Automatiseer onboarding en offboarding, zodat medewerkers automatisch de juiste rechten krijgen en deze bij uitdiensttreding direct worden ingetrokken.
- Zorg ervoor dat koppelingen met HR-systemen real-time updates geven aan IAM-systemen, zodat functiewijzigingen direct leiden tot aanpassingen in toegangsrechten.
Als laatste
Veel gemeenten verliezen de controle over IAM doordat applicatiebeheerders zelfstandig rechten toekennen buiten de helpdesk om. Dit creëert beveiligingsrisico’s, gebrek aan overzicht en een onbeheerbare IAM-omgeving. Door IAM centraal te organiseren, de helpdesk een controlerende rol te geven, inzicht te verbeteren en processen te automatiseren, kan een gemeente weer grip krijgen op IAM.
IAM is geen IT-oplossing, maar een strategisch proces. Het begint met heldere afspraken, gevolgd door de juiste technische ondersteuning. Alleen zo kan een gemeente IAM inzetten als een solide fundament voor digitale veiligheid en efficiënt toegangsbeheer.
