Simpel en snel een autorisatiematrix opstellen

Met een autorisatiematrix regel je de toegangsrechten. Oftewel: wie heeft toegang tot welke informatie en vanaf welk device? Maar waarvoor is dat nodig? En hoe stel je een autorisatiematrix op? Dat lees je hier.

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) is het voor organisaties nog belangrijker geworden om te verantwoorden welke gegevens ze verwerken. Daarnaast moeten ze aangeven waarom ze dat doen en hoe de data wordt beveiligd.

Autorisatiebeheer is daarbij onmisbaar. Met een goede autorisatiematrix behoud je het overzicht en voorkom je datalekken en eventuele boetes. Maar wat is zo’n matrix en hoe stel je hem op?

Persoonsgegevens verwerken

Bijna alle organisaties werken met persoonsgegevens. Denk maar aan je personeelsadministratie of klantenbestanden. Hierin staan bijvoorbeeld namen, (e-mail)adressen en telefoonnummers.

Sinds de invoering van AVG geldt een documentatieplicht. Dit wil zeggen dat organisaties bijvoorbeeld moeten kunnen aantonen:

  • Op welke manier data wordt verzameld.
  • Voor welke doeleinden dit wordt gedaan.
  • Welke personen binnen en buiten de organisatie betrokken zijn.
  • Welke rechten de betrokken medewerkers hebben.

Autorisatiematrix geeft inzicht

Een autorisatiematrix is een handig hulpmiddel om in dat laatste inzicht te krijgen. Kort gezegd kun je in een autorisatiematrix zien wie binnen de organisatie welke rechten heeft (inzien, bewerken etc.). Ook zie je direct voor welke persoonsgegevens die rechten gelden. De matrix legt dus vast wie bij welke gegevens kan en waarom.

Houd ook bij hoe vaak de autorisaties worden gecontroleerd op juistheid. Wanneer je toegangsrechten verkeerd toewijst, kan dat beveiligingsrisico’s opleveren.

Lees ook: Toegangsrechten regelen: wie geef je toegang tot welke informatie en vanaf welk device?

Het is bijvoorbeeld niet slim dat een receptioniste toegang heeft tot dezelfde klantgegevens als een accountmanager of directeur

Toegangsrechten controleren

Het is belangrijk dat de autorisatiematrix goed wordt bijgehouden. Krijgt een medewerker een andere functie? Dan kan dat betekenen dat voor toegang tot persoonsgegevens niet meer nodig is.

Hetzelfde geldt als iemand uit dienst gaat. Kies daarom vaste momenten (bijvoorbeeld één keer per week) waarop je de matrix controleert. Wijs ook vaste personen aan die de controles uitvoeren.

De taak van de manager

Vaak weten managers het beste wie er binnen de afdeling werkt, wat hun functie is en welke toegangsrechten ze nodig hebben. Eventueel kun je dit achteraf controleren met behulp van access logs. Daarmee check je of iemand rechtmatig toegang heeft (gekregen) en daar geen misbruik van maakt.

Problemen en oplossingen

Een autorisatiematrix maakt voor iedereen duidelijk wat zijn of haar toegangsrechten zijn. Die toegang kan zijn tot applicaties, bestanden en soms zelfs fysieke locaties op kantoor.

Vaak worden rechten per persoon toegekend op basis van een aanvraag, in plaats van per team of rol. Dat maakt autorisatiebeheer ingewikkeld en rommelig. Om niet elke individuele autorisatie te hoeven beheren, kun je rechten toekennen aan groepen. Zo voorkom je een opeenstapeling van rechten bij medewerkers die van functie wisselen.

Voorbeeld autorisatiematrix

Hieronder vind je een eenvoudig voorbeeld van een autorisatiematrix op basis van vijf algemene rollen. In de vakjes staat of een rol toegang heeft tot de data en welke rechten daaraan gekoppeld zijn.

Hierbij staat ‘A’ voor alle rechten, ‘L’ voor lezen, ‘B’ voor bewerken en ‘-’ voor geen toegang.

autorisatiematrix voorbeeld

Need-to-know’ versus ‘open, tenzij’

Meestal werkt een autorisatiematrix volgens het need-to-know-principe. Dit betekent dat medewerkers alleen toegang hebben tot de data die ze voor hun functie nodig hebben.

Een ander principe is ‘open, tenzij’. Hierbij beperk je alleen rechten op onderdelen die zeer gevoelige informatie bevatten. Voor welk principe je gaat is afhankelijk van de organisatie, maar vaak is need-to-know het meest geschikt.

Aantal rollen vaststellen

Maak niet teveel rollen met verschillende toegangen, zodat de autorisatiematrix niet te ingewikkeld wordt. Wijs vervolgens binnen de organisatie één afdeling aan over de autorisatiematrix gaat.

Alleen deze afdeling neemt dan de aanvraag en verwerking van autorisatie-gerelateerde vragen en verzoeken op zich. Dat geeft duidelijkheid, voorkomt fouten en versnelt het proces van rechtentoewijzing.

Meer weten over het opstellen van een autorisatiematrix en hoe je achterhaalt welk type werknemers je hebt? Download dan de gratis whitepaper ‘Welk type werknemers heb jij?’

Lees ook:

Veelgestelde vragen

Waarom is een autorisatiematrix nodig?

Door de Algemene Verordening Gegevensbescherming (AVG) is het voor organisaties nog belangrijker geworden om te verantwoorden welke gegevens ze verwerken. Ook moeten ze aangeven waarom ze dat doen en hoe de data wordt beveiligd. Autorisatiebeheer is daarbij onmisbaar. Met een goede autorisatiematrix behoud je het overzicht en voorkom je datalekken en eventuele boetes.

Hoe werkt een autorisatiematrix?

In een autorisatiematrix kun je zien wie binnen de organisatie welke rechten heeft (inzien, bewerken etc.). Ook zie je direct voor welke persoonsgegevens die rechten gelden. De matrix legt dus vast wie bij welke gegevens kan en waarom.

Wat is het verschil tussen de principes ‘Need-to-know’ en ‘open, tenzij’?

Een autorisatiematrix werkt meestal volgens het need-to-know-principe. Hierbij hebben medewerkers alleen toegang tot de data die ze voor hun functie nodig hebben. Met het ‘open, tenzij’-principe beperk je alleen rechten op onderdelen die zeer gevoelige informatie bevatten. Voor welk principe je gaat is afhankelijk van de organisatie, maar vaak is need-to-know het meest geschikt.

Wie gaat er over de autorisatiematrix?

Wijs binnen de organisatie één afdeling aan die over de autorisatiematrix gaat. Alleen deze afdeling neemt de aanvraag en verwerking van autorisatie-gerelateerde vragen en verzoeken op zich. Dat geeft duidelijkheid, voorkomt fouten en versnelt het proces van rechtentoewijzing.