Simpel en snel een autorisatiematrix opstellen

Met een autorisatiematrix regel je de toegangsrechten. Oftewel: welke werknemer heeft toegang tot welke informatie in jouw bedrijf en vanaf welk device? Waarvoor is een autorisatiematrix nodig en hoe stel je er een op? Dat lees je hier.

Persoonsgegevens verwerken

Met de komst van de GDPR is het sinds 25 mei 2018 voor organisaties belangrijk te verantwoorden welke persoonsgegevens ze verwerken. Daarnaast moeten ze aangeven waarom ze dat doen en hoe de data wordt beveiligd.

Bijna alle organisaties werken met persoonsgegevens, denk maar aan je personeelsadministratie of klantenbestanden. Hierin staan bijvoorbeeld namen, (e-mail)adressen en telefoonnummers.

Documentatieplicht

Een belangrijk onderdeel uit de AVG is de documentatieplicht. Dit wil zeggen dat organisaties bijvoorbeeld moeten kunnen aantonen:

  • Op welke manier data wordt verzameld.
  • Voor welke doeleinden dit wordt gedaan.
  • Welke personen binnen en buiten de organisatie betrokken zijn.
  • Welke rechten de betrokken medewerkers hebben.

Autorisatiebeheer is daarbij onmisbaar. Met een goede autorisatiematrix behoud je het overzicht en voorkom je datalekken en eventuele boetes. Maar wat is zo’n matrix en hoe stel je hem op?

Autorisatiematrix geeft inzicht

Een autorisatiematrix is een handig hulpmiddel om inzicht te krijgen. Kort gezegd kun je in een autorisatiematrix zien wie binnen de organisatie welke toegangsrechten heeft (inzien van data, bewerken etc.). Ook zie je direct voor welke persoonsgegevens die rechten gelden. De matrix legt dus vast wie bij welke gegevens kan en waarom.

Let op! Houd ook bij hoe vaak de autorisaties worden gecontroleerd op juistheid. Wanneer je toegangsrechten verkeerd toewijst, kan dat beveiligingsrisico’s opleveren. Het is bijvoorbeeld niet slim dat een receptioniste toegang heeft tot dezelfde klantgegevens als een accountmanager of directeur.

Toegangsrechten controleren

Het is belangrijk dat de autorisatiematrix goed wordt bijgehouden. Krijgt een medewerker een andere functie? Dan kan dat betekenen dat voor toegang tot persoonsgegevens niet meer nodig is. Hetzelfde geldt als iemand uit dienst gaat.

Kies daarom vaste momenten (bijvoorbeeld één keer per maand) waarop je de matrix controleert. Wijs ook vaste personen aan die de controles uitvoeren.

Nieuwe benadering van beveiliging vereist voor hybride werken

De beveiliging van endpoints moet beter worden om hybride werken veilig te ondersteunen. Organisaties kunnen risico’s verminderen door een nieuwe architectuur toe te passen…

De taak van de manager

Vaak weten managers het beste wie er binnen de afdeling werkt, wat hun functie is en welke toegangsrechten ze nodig hebben. Eventueel kun je dit achteraf controleren met behulp van access logs. Daarmee check je of iemand rechtmatig toegang heeft (gekregen) en daar geen misbruik van maakt.

Inzicht in toegangsrechten

Een autorisatiematrix maakt voor iedereen duidelijk wat zijn of haar toegangsrechten zijn. Die toegang kan zijn tot:

  • applicaties,
  • bestanden en
  • soms zelfs fysieke locaties op kantoor.

Vaak worden rechten per persoon toegekend op basis van een aanvraag, in plaats van per team of rol. Dat maakt autorisatiebeheer ingewikkeld en rommelig. Om niet elke individuele autorisatie te hoeven beheren, kun je rechten toekennen aan groepen. Zo voorkom je een opeenstapeling van rechten bij medewerkers die van functie wisselen.

Voorbeeld autorisatiematrix

Hieronder vind je een eenvoudig voorbeeld van een autorisatiematrix op basis van vijf algemene rollen. In de vakjes staat of een rol toegang heeft tot de data en welke rechten daaraan gekoppeld zijn.

Legenda:
R = Lezen (Read)
W = Schrijven (Write)
E = Bewerken (Edit)
A = Maken (Create)
D = Verwijderen (Delete)
X = Toegang geweigerd

Systeem 1Systeem 2Systeem 3Gegevensbron 1Gegevensbron 2
AdminRWEADRWEADRWEADRWEADRWEAD
FinanciënRWERWERWRX
HRRWERERWEADRX
VerkoopRWERWERXX
ITRWEADRWEADRWEADRWEADRWEAD
Download hier het hele autorisatiematrix template

Need-to-know’ versus ‘open, tenzij’

Meestal werkt een autorisatiematrix volgens het need-to-know-principe. Dit betekent dat medewerkers alleen toegang hebben tot de data die ze voor hun functie nodig hebben.

Een ander principe is ‘open, tenzij’. Hierbij beperk je alleen rechten op onderdelen die zeer gevoelige informatie bevatten. Voor welk principe je gaat, is afhankelijk van de organisatie, maar vaak is need-to-know het meest geschikt.

Aantal rollen vaststellen

Maak niet te veel rollen met verschillende toegangen, zodat de autorisatiematrix niet te ingewikkeld wordt. Wijs vervolgens binnen de organisatie één afdeling aan over de autorisatiematrix gaat.

Alleen deze afdeling neemt dan de aanvraag en verwerking van autorisatie-gerelateerde vragen en verzoeken op zich. Dat geeft duidelijkheid, voorkomt fouten en versnelt het proces van rechtentoewijzing.