Privacy

18 jul, 2023

Simpel en snel een autorisatiematrix opstellen

Met een autorisatiematrix regel je de toegangsrechten. Oftewel: wie heeft toegang tot welke informatie in jouw bedrijf en vanaf welk device? Waarvoor is een autorisatiematrix nodig en hoe stel je er een op? Dat lees je hier.

3 minuten
Autorisatiematrix opstellen voorbeeld

Wil je direct naar één van de onderwerpen? Klik dan op één van de links hieronder:

  1. Persoonsgegevens verwerken
  2. Autorisatiematrix geeft inzicht
  3. Toegangsrechten controleren
  4. Voorbeeld matrix

Persoonsgegevens verwerken

Met de Algemene Verordening Gegevensbescherming (AVG) is het voor organisaties nog belangrijker geworden om te verantwoorden welke gegevens ze verwerken. Daarnaast moeten ze aangeven waarom ze dat doen en hoe de data wordt beveiligd.

Bijna alle organisaties werken met persoonsgegevens, denk maar aan je personeelsadministratie of klantenbestanden. Hierin staan bijvoorbeeld namen, (e-mail)adressen en telefoonnummers. Sinds de invoering van AVG geldt een documentatieplicht. Dit wil zeggen dat organisaties bijvoorbeeld moeten kunnen aantonen:

  • Op welke manier data wordt verzameld.
  • Voor welke doeleinden dit wordt gedaan.
  • Welke personen binnen en buiten de organisatie betrokken zijn.
  • Welke rechten de betrokken medewerkers hebben.

Autorisatiebeheer is daarbij onmisbaar. Met een goede autorisatiematrix behoud je het overzicht en voorkom je datalekken en eventuele boetes. Maar wat is zo’n matrix en hoe stel je hem op?

Persona’s voor medewerkers

Wil je dat je medewerkers prettig en productief werken? Dan kom je er tegenwoordig niet meer mee weg om bij iedereen dezelfde desktop op het bureau te zetten. Lees in deze whitepaper alles over het segmenteren van je werknemers om de productiviteit te verhogen.

Downloaden
personas-voor-medewerkers

Autorisatiematrix geeft inzicht

Een autorisatiematrix is een handig hulpmiddel om in dat laatste inzicht te krijgen. Kort gezegd kun je in een autorisatiematrix zien wie binnen de organisatie welke rechten heeft (inzien, bewerken etc.). Ook zie je direct voor welke persoonsgegevens die rechten gelden. De matrix legt dus vast wie bij welke gegevens kan en waarom.

Houd ook bij hoe vaak de autorisaties worden gecontroleerd op juistheid. Wanneer je toegangsrechten verkeerd toewijst, kan dat beveiligingsrisico’s opleveren. Het is bijvoorbeeld niet slim dat een receptioniste toegang heeft tot dezelfde klantgegevens als een accountmanager of directeur.

Lees ook: Toegangsrechten regelen: wie geef je toegang tot welke informatie en vanaf welk device?

Toegangsrechten controleren

Het is belangrijk dat de autorisatiematrix goed wordt bijgehouden. Krijgt een medewerker een andere functie? Dan kan dat betekenen dat voor toegang tot persoonsgegevens niet meer nodig is. Hetzelfde geldt als iemand uit dienst gaat. Kies daarom vaste momenten (bijvoorbeeld één keer per week) waarop je de matrix controleert. Wijs ook vaste personen aan die de controles uitvoeren.

De taak van de manager

Vaak weten managers het beste wie er binnen de afdeling werkt, wat hun functie is en welke toegangsrechten ze nodig hebben. Eventueel kun je dit achteraf controleren met behulp van access logs. Daarmee check je of iemand rechtmatig toegang heeft (gekregen) en daar geen misbruik van maakt.

Inzicht in toegangsrechten

Een autorisatiematrix maakt voor iedereen duidelijk wat zijn of haar toegangsrechten zijn. Die toegang kan zijn tot applicaties, bestanden en soms zelfs fysieke locaties op kantoor.

Vaak worden rechten per persoon toegekend op basis van een aanvraag, in plaats van per team of rol. Dat maakt autorisatiebeheer ingewikkeld en rommelig. Om niet elke individuele autorisatie te hoeven beheren, kun je rechten toekennen aan groepen. Zo voorkom je een opeenstapeling van rechten bij medewerkers die van functie wisselen.

Voorbeeld autorisatiematrix

Hieronder vind je een eenvoudig voorbeeld van een autorisatiematrix op basis van vijf algemene rollen. In de vakjes staat of een rol toegang heeft tot de data en welke rechten daaraan gekoppeld zijn.

Legenda:
R = Lezen (Read)
W = Schrijven (Write)
E = Bewerken (Edit)
A = Maken (Create)
D = Verwijderen (Delete)
X = Toegang geweigerd

Systeem 1Systeem 2Systeem 3Gegevensbron 1Gegevensbron 2
AdminRWEADRWEADRWEADRWEADRWEAD
FinanciënRWERWERWRX
HRRWERERWEADRX
VerkoopRWERWERXX
ITRWEADRWEADRWEADRWEADRWEAD

Download hier het hele autorisatiematrix template

Need-to-know’ versus ‘open, tenzij’

Meestal werkt een autorisatiematrix volgens het need-to-know-principe. Dit betekent dat medewerkers alleen toegang hebben tot de data die ze voor hun functie nodig hebben.

Een ander principe is ‘open, tenzij’. Hierbij beperk je alleen rechten op onderdelen die zeer gevoelige informatie bevatten. Voor welk principe je gaat is afhankelijk van de organisatie, maar vaak is need-to-know het meest geschikt.

Aantal rollen vaststellen

Maak niet teveel rollen met verschillende toegangen, zodat de autorisatiematrix niet te ingewikkeld wordt. Wijs vervolgens binnen de organisatie één afdeling aan over de autorisatiematrix gaat.

Alleen deze afdeling neemt dan de aanvraag en verwerking van autorisatie-gerelateerde vragen en verzoeken op zich. Dat geeft duidelijkheid, voorkomt fouten en versnelt het proces van rechtentoewijzing.

Neem contact op

Heb je een vraag die (nog) niet in een artikel beantwoord wordt of wil je gericht advies voor jouw organisatie? Vul dan het formulier in en wij brengen jou vrijblijvend in contact met één van onze HP-experts.

Contact
Contact HP

Lees ook: