Simpel en snel een autorisatiematrix opstellen

autorisatiematrix opstellen

Met een autorisatiematrix regel je de toegangsrechten. Oftewel: wie heeft toegang tot welke informatie en vanaf welk device? Maar waarvoor is dat nodig? En hoe stel je een autorisatiematrix op? Dat lees je hier.

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) is het voor organisaties nog belangrijker te verantwoorden welke gegevens ze verwerken, met welke reden ze dat doen en hoe de data wordt beveiligd. Autorisatiebeheer is daarbij onmisbaar. Met een goede autorisatiematrix behoud je het overzicht en voorkom je datalekken en eventuele boetes. Maar wat is zo’n matrix en hoe stel je hem op?

Persoonsgegevens verwerken

Vrijwel iedere organisatie werkt met persoonsgegevens. Dat zijn bijvoorbeeld namen, (e-mail)adressen en telefoonnummers die onderdeel uitmaken van de personeelsadministratie of klantbestanden.

Sinds de invoering van AVG geldt een documentatieplicht, die voorschrijft dat organisaties onder meer moeten kunnen aantonen op welke manier data wordt verzameld, voor welke doeleinden, welke personen binnen en buiten de organisatie betrokken zijn en welke rechten ze hebben.

Autorisatiematrix geeft inzicht

Een autorisatiematrix is een handig hulpmiddel om dat laatste inzichtelijk te maken. Kort gezegd geeft een autorisatiematrix inzicht in wie binnen de organisatie welke rechten heeft (inzien, bewerken etc.), en voor welke persoonsgegevens die rechten gelden. De matrix legt dus vast wie bij welke gegevens kan en waarom.

Ook wordt bijgehouden hoe vaak de autorisaties worden gecontroleerd op juistheid. Wanneer toegangsrechten niet correct worden toegewezen, kan dat beveiligingsrisico’s opleveren. Het is natuurlijk onwenselijk en onnodig dat een receptioniste toegang heeft tot dezelfde klantgegevens als een accountmanager of directeur.

Toegangsrechten controleren

Het is belangrijk dat de autorisatiematrix goed wordt bijgehouden, want als een medewerker een andere functie krijgt, kan dat betekenen dat voor hem toegang tot persoonsgegevens niet meer noodzakelijk is. Hetzelfde geldt als iemand uit dienst gaat. Kies daarom vaste momenten (bijvoorbeeld één keer per week) waarop de matrix wordt gecontroleerd en vaste personen die de controle uitvoeren.

Vaak zijn het de managers die het best weten wie er binnen de afdeling werkt, wat hun functie is en welke toegangsrechten ze nodig hebben. Eventueel kan de controle achteraf worden gedaan met behulp van access logs. Daarmee wordt gecheckt of iemand rechtmatig toegang heeft (gekregen) en daar geen misbruik van heeft gemaakt.

Problemen en oplossingen

Een autorisatiematrix maakt voor iedereen duidelijk wat zijn of haar toegangsrechten zijn tot applicaties, bestanden en soms zelfs fysieke locaties op kantoor. Een veelvoorkomend probleem is dat rechten vaak per individu worden toegekend op basis van een aanvraag, in plaats van per team of rol. Dat maakt autorisatiebeheer complex en rommelig.

Om niet elke individuele autorisatie te hoeven beheren, is het goed om rechten toe te kennen aan groepen. Zo voorkom je een opeenstapeling van rechten bij individuele medewerkers die van functie wisselen.

Voorbeeld autorisatiematrix

Hieronder vind je een eenvoudig voorbeeld van een autorisatiematrix op basis van vijf algemene rollen. In de vakjes staat aangegeven of de desbetreffende rol toegang heeft tot de data en welke rechten daaraan gekoppeld zijn. Hierbij staat ‘A’ voor alle rechten, ‘L’ voor lezen, ‘B’ voor bewerken en ‘-’ voor geen toegang.

autorisatiematrix voorbeeld

Need-to-know’ versus ‘open, tenzij’

Doorgaans werkt een autorisatiematrix volgens het need-to-know-principe. Medewerkers hebben alleen toegang tot de data die ze voor hun functie nodig hebben.

Een ander principe is ‘open, tenzij’, waarbij rechten alleen beperkt worden op onderdelen die zeer gevoelige informatie bevatten. Voor welk principe je gaat is afhankelijk van de organisatie, maar in de meeste gevallen verdient need-to-know de voorkeur.

Aantal rollen vaststellen

Het is aan te raden om niet teveel rollen met verschillende permissies te onderscheiden, zodat de autorisatiematrix niet onnodig ingewikkeld wordt.

Verder is het belangrijk dat binnen de organisatie één locatie (afdeling) is die de aanvraag en verwerking van autorisatie-gerelateerde verzoeken op zich neemt. Dat schept duidelijkheid, voorkomt fouten en versnelt het proces van rechtentoewijzing.

Meer weten over het opstellen van een autorisatiematrix en hoe je achterhaalt welk type werknemers je hebt? Download dan de gratis whitepaper ‘Welk type werknemers heb jij?’ En lees ook: