Homepage Blog Trends en valkuilen rondom Identity & Access Management (IAM)

Trends en valkuilen rondom Identity & Access Management (IAM)

11 maart 2025

In het huidige digitale landschap is het belangrijker dan ooit dat gevoelige en kritieke gegevens beschermd zijn om klanten en medewerkers veilig te houden én de strenger wordende wet- en regelgeving na te leven. Met de komst van steeds innovatievere technologische oplossingen is ook het beheer van gebruikerstoegang complexer geworden.

Met de inzet van Identity & Access Management (IAM) zorg je als organisatie dat de juiste personen op het juiste moment toegang hebben tot de juiste middelen. In deze blog delen we de laatste trends op het gebied van IAM en laten we zien hoe je de veel voorkomende valkuilen tijdens de implementatie vermijdt.

Beheer van MFA tot PAM

Identity & Access Management fungeert als paraplu voor verschillende componenten van identiteitsbeheer. Deze veiligheidstool integreert geavanceerde technologieën om de vereiste beveiliging van moderne en complexe digitale omgevingen op orde te brengen. Met behulp van multi-factor authenticatie (MFA) krijgen gebruikers het minimale toegangsniveau dat nodig is voor hun specifieke rollen en verantwoordelijkheden. Single sign-on (SSO) biedt medewerkers toegang tot meerdere applicaties met één set inloggegevens. Om ongeoorloofde toegang tot gevoelige systemen en gegevens via accounts met bepaalde privileges tegen te gaan zet je privileged access management (PAM) in. IAM beheert digitale entiteiten en toegangsrechten gedurende hun hele levenscyclus met identity governance & administration (IGA). Hierbij wordt rekening gehouden met de naleving van wettelijke vereisten. Customer identity & access management (CIAM) biedt veilige en naadloze toegang tot klantgerichte applicaties en diensten. Via bring your own identity (BYOI) loggen medewerkers in met hun persoonlijke (social)account om toegang te krijgen.

Opkomende trends in IAM

Rechtenbeheer in IAM gaat verder dan het principe van de minste bevoegdheden (least privileges). Het richt zich op het verlenen van specifieke gebruikersrechten die zijn afgestemd op rollen en verantwoordelijkheden. Deze aanpak helpt escalatie van bevoegdheden en ongeoorloofde toegang te voorkomen. Door artificial intelligence (AI) en machine learning te integreren in IAM-processen automatiseren organisaties beheertaken, zoals gebruikersprovisioning, toegangscertificering en realtime detectie van gedragsafwijkingen. Deze proactieve aanpak verbetert de beveiliging en operationele efficiëntie. Het zero trust-model hanteert het ‘never trust, always verify’, waarbij standaard geen enkele gebruiker of apparaat wordt vertrouwd. Deze aanpak vereist continue authenticatie en autorisatie, waardoor het risico op datalekken en ongeoorloofde toegang wordt verkleind. Het is wel belangrijk dat identiteiten en autorisaties correct zijn ingevoerd en beheerd. Met identity threat detection and response (ITDR) identificeren organisaties identiteitsgebaseerde bedreigingen in realtime, zodat ze hier direct op kunnen reageren. Het biedt zo een extra beveiligingslaag tegen geavanceerde cyberaanvallen.

Wet- en regelgeving

De implementatie van IAM helpt organisaties aan wet- en regelgeving te voldoen door te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot gevoelige gegevens en systemen. Deze afstemming op wettelijke vereisten versterkt de beveiligingshouding van de organisatie en verkleint het risico op datalekken en juridische sancties. In Nederland moeten organisaties zich houden aan specifieke regelgeving:

ISO 27001-standaard: vereist dat organisaties uitgebreide beveiligingscontroles implementeren om gevoelige informatie te beschermen.
Algemene Verordening Gegevensbescherming (AVG): legt strenge gegevensbeschermingsmaatregelen op om de persoonsgegevens van personen te beschermen.
NEN 7510-norm: richt zich op informatiebeveiliging in de gezondheidszorg en zorgt voor de bescherming van gevoelige patiëntgegevens.
BIO-kader: regelt de beveiliging van digitale communicatie binnen de Nederlandse overheid.
Normenkader Informatiebeveiliging en Privacy: biedt een kader voor informatiebeveiliging en privacy in onderwijsinstellingen.
NIS2-richtlijn: introduceert nieuwe cyberbeveiligingsvereisten voor organisaties in verschillende sectoren.

Veel voorkomende valkuilen

Een van de grootste valkuilen is het gebrek aan tijd en budget, doordat IAM-oplossingen vaak technisch complex zijn en de integratie met bestaande systemen en applicaties ingewikkeld is. Het is bovendien een tijdrovende klus om het autorisatiemodel met alle systemen en gebruikersrollen op te stellen, vanwege de enorme dataset en hoeveelheid betrokkenen binnen de organisatie. We adviseren een agile aanpak, waarbij je door klein te beginnen stapsgewijs kan opschalen. Hierdoor speel je beter in op veranderingen zonder de gehele omgeving om te moeten gooien. Bovendien kan het gebruik van externe expertise – zoals IAM-consultants of managed serviceproviders – helpen technische uitdagingen te overwinnen en een succesvolle implementatie te garanderen. Het is daarnaast aan te raden een multifunctioneel IAM-team samen te stellen met vertegenwoordigers van alle relevante afdelingen, zoals IT, HR en financiën. Regelmatige communicatie en samenwerking tussen teamleden helpt barrières overwinnen en aan alle behoeften te voldoen.

IAM in de praktijk

Identity & access management is belangrijk voor organisaties in elke sector. We laten dit graag zien met een aantal voorbeelden.

De zorg

Een zorgorganisatie met duizenden werknemers en meerdere systemen had moeite een samenhangend autorisatiemodel te implementeren. Dankzij een agile aanpak begonnen ze met een klein proefproject gericht op een enkele applicatie en breidden ze de reikwijdte geleidelijk uit. Deze stapsgewijze aanpak stelde hen in staat uitdagingen in een vroeg stadium te identificeren en aan te pakken, wat zorgde voor een soepeler implementatieproces.

De overheid

De technische complexiteit van de integratie van IAM-oplossingen met bestaande legacysystemen was een flinke worsteling voor een gemeentelijke organisatie. Door gebruik te maken van externe expertise en te investeren in IAM-tools met naadloze integratiemogelijkheden hebben ze met succes een robuust IAM-raamwerk geïmplementeerd dat voldoet aan de wettelijke vereisten en zorgde voor een verbetering in de beveiliging.

Het onderwijs

Een onderwijsinstelling werd geconfronteerd met uitdagingen bij het beheren van een groot aantal identiteiten en rechten voor verschillende rollen, waaronder studenten, werknemers en ouders (of wettelijke vertegenwoordigers). Het grote aantal veranderingen in de bronsystemen moest worden weerspiegeld in doelsystemen, zoals elektronische leeromgevingen. Door een IGA-oplossing te implementeren automatiseerden ze de processen voor het in- en uitschrijven van gebruikers, zodat toegangsrechten snel werden verleend en ingetrokken. Deze automatisering verbeterde de beveiliging en operationele efficiëntie.

De zakelijke markt

Voor een financiële instelling was het een uitdaging om de kosten en tijd die nodig waren voor IAM-implementatie in te schatten. Door een risicobeoordeling uit te voeren om kritieke systemen en gegevens te identificeren kozen ze voor een agile aanpak die gericht was op toenemende verbeteringen en prioriteit gaf aan risicogebieden. Deze strategie stelde hen in staat middelen effectiever toe te wijzen en een succesvolle IAM-implementatie te realiseren binnen de gewenste tijdlijn en budget.

Ondersteuning bij implementatie

Identity & Access Management is een cruciaal onderdeel van de beveiligingsinfrastructuur van een organisatie. Door robuuste IAM-oplossingen te implementeren beschermen organisaties gevoelige gegevens, handhaven naleving van de regelgeving en verbeteren de operationele efficiëntie. De opkomende trends in IAM bieden nieuwe mogelijkheden om de beveiligingshouding te versterken en de evoluerende cyberdreigingen voor te blijven. Door een agile aanpak te hanteren wordt de IAM-implementatie succesvol en creëer je een veerkrachtige en veilige digitale omgeving die beschermt tegen ongeoorloofde toegang en datalekken. Acknowledge heeft de expertise in huis om jouw organisatie hierbij te ondersteunen.

Lees meer

Mike van Eck

CISSP-gecertificeerd securityspecialist Meer van Mike