De verborgen risico’s van externe identiteiten

Christian Sullivan

15 januari 2026

De verborgen risico’s van externe identiteiten

Organisaties werken meer dan ooit samen met externe partijen, zoals leveranciers en partners, maar ook met stagiairs, zzp’ers of vrijwilligers. Dergelijke externe gebruikers hebben in verschillende mate toegang nodig tot systemen en data, maar vallen vaak buiten de scope van traditionele HR-processen zoals bij on- en off-boarding of functiewijzigingen. Veel Identity-modellen zijn echter gebaseerd op deze HR-processen, wat het beheer van externe identiteiten zowel complex als risicovol maakt. Externe accounts blijven soms langer actief dan nodig, krijgen ongemerkt te veel rechten of worden niet tijdig gedeactiveerd wanneer iemand vertrekt. Daardoor ontstaan er blinde vlekken in het Identity- en toegangsbeheer die organisaties niet snel kunnen detecteren. Juist dit soort verborgen externe identiteiten vormen een aantrekkelijk doelwit voor aanvallers.

Wat zijn externe identiteiten?

Externe identiteiten zijn alle personen, organisaties of systeemaccounts die toegang nodig hebben tot de systemen of data van een organisatie, maar die geen vaste werknemers of interne systemen zijn. Denk bijvoorbeeld aan freelancers, ketenpartners en leveranciers, Managed Service Providers, maar ook aan klanten of burgers die digitale diensten gebruiken. Daarnaast vallen ook Non Human Identities (NHI) of API-accounts van derden binnen deze categorie. Een belangrijk kenmerk van externe identiteiten is dat ze vaak dynamisch en kortdurend zijn, waarbij rollen snel veranderen en toegangsrechten regelmatig aangepast moeten worden. Bovendien loopt het beheer van deze accounts meestal buiten formele HR-processen om. Hierdoor is er minder controle en zicht op deze identiteiten, terwijl ze wel vaak toegang hebben tot gevoelige systemen en data.

Verantwoordelijkheid

Omdat het beheer vaak buiten die HR-processen om loopt, is de verantwoordelijkheid erover vaak verdeeld over verschillende interne en externe partijen. Het zijn vaak de business owners die bepalen tot welke systemen en data die externe gebruikers toegang nodig hebben om een bedrijfsproces te kunnen ondersteunen. Leveranciersmanagers regelen vervolgens welke leveranciers en partners die toegang krijgen en controleren of de samenwerking en aangeleverde data kloppen. IT- en securityteams zijn dan weer verantwoordelijk voor de technische provisioning en securitycontroles en zorgen ervoor dat bedrijfsbeleid wordt nageleefd. Externe organisaties zijn verantwoordelijk voor het aanleveren van hun eigen gebruikerslijsten. Door deze gedeelde verantwoordelijkheden ontstaat een complexe situatie waarin niet altijd duidelijk is wie nu eigenlijk de eindregie heeft. Dit leidt tot typische problemen zoals onduidelijk eigenaarschap, inconsistente toekenning van toegangsrechten en onvoldoende zicht op lifecycle-events zoals aanpassingen in rollen of het tijdig beëindigen van accounts.

Die gedeelde verantwoordelijkheid over externe identiteiten en – als gevolg hiervan – vaak gebrekkig beheer, vormt een groeiend probleem, vooral omdat veel organisaties inmiddels vaak meer externe gebruikers hebben dan vaste werknemers. Toch wordt dit probleem vaak gezien als een bijzaak. Zo komt het regelmatig voor dat een CISO niet weet hoeveel externe identiteiten zijn organisatie heeft. Dit levert aanzienlijke risico’s op. Onbeheerde of externe accounts met te veel rechten vergroten het aanvalsoppervlak en spelen een steeds grotere rol in supply-chain aanvallen en datalekken via externe partijen. Het ontbreken van een gestructureerd off-boarding proces maakt het daarnaast moeilijk om toegang tijdig in te trekken wanneer een samenwerking eindigt. Zonder dit soort maatregelen stapelen overbodige accounts met toegang tot systemen en data zich op. Dit zorgt niet alleen voor beveiligingsrisico’s, maar ook voor compliance problemen en auditfouten.

Traditionele IAM en IGA-oplossingen schieten te kort

Om dit probleem het hoofd te bieden gebruiken veel organisaties Identity Access Management (IAM) en Identity Governance and Administration (IGA) oplossingen. Deze oplossingen schieten inmiddels echter te kort, omdat ze zijn ontworpen voor het vrij statische beheer van eigen medewerkers. Ze leunen sterk op HR-processen, zoals indiensttreding, functiewijzigingen en uitdiensttreding, maar deze events en processen bestaan vaak niet of nauwelijks voor externe gebruikers. In complexe partnerecosystemen zijn dit soort processen nauwelijks geautomatiseerd, waardoor processen afhankelijk blijven van trage, handmatige handelingen en er weinig real-time inzicht is in wie precies toegang heeft tot wat. Externe accounts zijn echter dynamisch, met snel wisselende rollen en rechten. Bovendien is het met traditionele tools vaak moeilijk om de benodigde governance op te schalen.

Quick Wins

Organisaties zonder een bestaande IAM- of IGA-oplossing, of met een verouderde aanpak, kunnen vaak snel verbeteringen realiseren door eerst alle externe accounts goed in kaart te brengen. Daarbij moeten ze ook kijken tot welke systemen deze accounts toegang hebben en welke accounts al maanden niet zijn gebruikt. Hiervoor kunnen ze bijvoorbeeld exports uit applicaties en log-data gebruiken. Door vervolgens lang ongebruikte accounts te verwijderen of te blokkeren en waar mogelijk standaard toegang te vervangen door tijdelijke toegang met een duidelijke einddatum, kunnen organisaties snel actie ondernemen. Daarnaast raden we aan om gedelegeerd beheer in te richten door de verantwoordelijkheid voor access reviews toe te wijzen aan vaste contactpersonen bij partners. Deze aanpak vermindert de interne operationele belasting en zorgt ervoor dat toegang wordt gevalideerd door mensen met de juiste kennis van de relevante zakelijke context. Bovendien helpt het om processen te standaardiseren, met vaste rollen en minimale rechten voor veelvoorkomende externe identiteitstypen zoals leveranciers en freelancers.

Oplossingen die werken

Het nadeel van de bovengenoemde quick wins is dat er veel werk en tijd in gaat zitten. Organisaties zouden daarom de security rond externe identiteiten verder kunnen verbeteren door de Identity governance daarvoor anders in te richten dan bij interne medewerkers. In plaats van losse, handmatige processen is een aanpak nodig die de volledige lifecycle van externe identiteiten ondersteunt, met snelle, geautomatiseerde on-boarding, periodieke access reviews en snelle off-boarding zodra iemand vertrekt of een samenwerking eindigt. Dit vraagt om een strakke toegangscontrole, bijvoorbeeld door toegangsrechten te beperken tot wat echt nodig is, waar mogelijk alleen tijdelijke toegang te verlenen en extra verificatie toe te passen wanneer het risico hoger is. Wat hierbij steeds terugkomt, is de behoefte aan één centrale plek waar duidelijk te zien is welke gebruikers toegang hebben, inclusief wie dat heeft goedgekeurd en of die toegang nog steeds nodig is. Dit vraagt om een External Identity Management platform of oplossing die federatie (het koppelen van identiteiten en inloggegevens tussen organisaties), fijnmazige governance en samenwerking met externe partijen ondersteunt, zonder dat de organisatie het overzicht verliest.

Conclusie

Externe identiteiten zijn onmisbaar bij het samenwerken met partners, leveranciers en andere partijen, maar kunnen ook een risico vormen als ze niet goed worden beheerd. Omdat het aantal externe gebruikers in korte tijd snel kan toe- en afnemen, zijn traditionele IAM- en IGA-oplossingen niet geschikt voor het beheer ervan. De weg vooruit vraagt daarom om een Identity first-strategie die wordt ondersteund door vergaande automatisering, duidelijke governance en continue monitoring, zodat toegang altijd aantoonbaar klopt en direct kan worden aangepast of ingetrokken. Organisaties die dit goed regelen, verkleinen niet alleen hun eigen risico’s, maar ook die van de gehele keten.

Over Saviynt

Het AI-aangedreven identiteitsplatform van Saviynt beheert en regelt de toegang van zowel menselijke als niet-menselijke gebruikers tot alle applicaties, data en bedrijfsprocessen van een organisatie. Klanten vertrouwen op Saviynt om hun digitale middelen te beschermen, operationele efficiëntie te bevorderen en compliancekosten te verlagen. Saviynt is gebouwd voor het AI-tijdperk en helpt organisaties vandaag de dag om hun implementatie en gebruik van AI veilig te versnellen. Saviynt wordt erkend als de leider in identiteitsbeveiliging, met oplossingen die de toonaangevende merken, Fortune 500-bedrijven en overheidsinstellingen wereldwijd beschermen en versterken. Ga voor meer informatie naar www.saviynt.com.

Gerelateerde artikelen

Meer artikelen

‘Ik wil IT-leiders helpen hun investeringen in GenAI te evalueren’

Hoe maak je als IT-leider verantwoorde keuzes rond GenAI-investeringen? Hidde Andriessen (KPN) ontwikkelde tijdens zijn MBA Business & IT bij Nyenrode een praktisch Decision Support System dat helpt bij strategische besluitvorming.

Dreigingsinformatie gebruiken voor proactieve bescherming

Kristin Hazlewood legt uit hoe dreigingsinformatie, in combinatie met automatisering, een proactieve verdediging tegen cyberdreigingen mogelijk maakt.

Rollende planning: op elk moment hanteerbaar

Traditionele jaarlijkse planningsmethoden schieten vaak tekort, waardoor besluitvormers achterblijven met verouderde gegevens, ontoegankelijke informatie en beperkte reactiviteit. Rolling planning stemt management van resources en financiën af op run en change om tred te houden met de marktrealiteit.

Een toekomstbestendige strategie in een snel veranderende digitale wereld?

Voor bedrijven, organisaties en overheden is het van groot belang te reageren op de kansen en bedreigingen van digitale vooruitgang. Maar hoe zorg je voor een toekomstbestendige strategie? Wolter Lemstra, kerndocent Digital Strategy and Transformation bij Nyenrode Business Universiteit, geeft vijf tips.