Gratis demo Contact
Identity governance problemen in de zorg, overheid en het onderwijs

Identity governance problemen in de zorg, overheid en het onderwijs

Door: KaHo Man 19 april 2026

Identity governance is inmiddels een vanzelfsprekend aandachtspunt binnen organisaties. Waar je met Identity & Access Management (IAM) de identiteiten en toegangsrechten binnen de IT-omgeving beheert, gaat identity governance net een stap verder. Bij governance gaat het erom grip te houden op dat identiteits- en toegangsbeheer in een snel veranderende omgeving met steeds strengere eisen. We willen daarom het account- en rechtenbeheer kunnen monitoren, evalueren, onderhouden en verbeteren. Wie krijgt bepaalde toegangsrechten, en weten we waarom? Is die toegang nog nodig en waaruit leiden we dat af? Het zijn vragen die steeds belangrijker zijn.

Het belang hiervan neemt snel toe want organisaties digitaliseren razendsnel. Gebruikers switchen voortdurend van applicatie naar applicatie, van netwerk naar netwerk en van device naar device. In die hectiek moet je het rechtenbeheer voor tientallen of zelfs honderden applicaties beheren, terwijl we soms amper weten waar de betreffende applicaties in de cloud zijn gehost, welke gegevens worden verwerkt, en met wie de data worden gedeeld.

Dit levert enorme risico’s op. Als we geen grip houden op onze applicaties, gegevens en gebruikers, is de kans op datalekken en andere cyberincidenten groot. De schade hiervan betreft niet alleen omzetverlies en herstelkosten. Ook is het fnuikend voor je reputatie, en lopen we het risico op claims en boetes. Mede daarom staat de governance hoog op de agenda bij managers en bestuurders.

In deze blog kijken we welke governance vraagstukken er spelen binnen een paar belangrijke sectoren. Welke rol speelt het onderwerp binnen de zorg, de overheid en het onderwijs? We inventariseren dat met een concrete case, een schets van de sector als geheel, en we verzamelden veelvoorkomende pijnpunten.

Uitdangingen identity governance in de zorg

Identity governance in de zorg

Een ervaren verpleegkundige wordt op meerdere afdelingen ingeroosterd, en krijgt daarom toegang tot de dossiers van patiënten in de betreffende afdelingen. De rechten worden vervolgens niet ingetrokken en uiteindelijk ‘verzamelt’ de medewerker op die manier toegang tot behandelgegevens binnen alle afdelingen. Begrijpelijk vanuit het idee dat zo’n ervaren medewerker overal snel moet kunnen bijspringen, maar strijdig met het ‘least privilege’ principe.

Governance uitdagingen binnen de zorgsector

In de zorg is het cruciaal dat zorgprofessionals op ieder moment toegang hebben tot alle gegevens die nodig zijn om patiënten of cliënten te behandelen en te verzorgen. De uitdaging daarbij is dat dit bijzondere persoonsgegevens zijn – het gaat immers om medische gegevens – en die moet je als organisatie vertrouwelijk bewaren. Je moet de gegevens dus extra goed beveiligen, maar dat mag er tegelijk nooit toe leiden dat ze ontoegankelijk zijn als ze nodig zijn. Dat zijn lastige dilemma’s.

Daarbij is er sprake van een grote en diverse gebruikersgroep. Niet alleen artsen en verpleegkundigen, maar ook ondersteunend personeel en externe inhuurkrachten hebben toegang nodig. Vaak hebben die meerdere rollen, de rollen veranderen ook regelmatig, en de dienstroosters zijn dynamisch. Het maakt identity lifecycle management erg ingewikkeld.

Bovendien wordt de zorg niet geïsoleerd geleverd vanuit één instelling. Samenwerkende professionals - in ziekenhuizen, revalidatiecentra en huisartspraktijken bijvoorbeeld – hebben toegang nodig tot elkaars systemen en gegevens. En dat in een versnipperd IT-landschap, waarin moderne applicaties worden gebruikt naast oudere systemen. Dit bemoeilijkt centrale sturing en inzicht.

Veelvoorkomende identity governance problemen en risico’s

  • Artsen en verpleegkundigen behouden toegang tot dossiers buiten hun behandelrelatie, bijvoorbeeld na afdeling- en roosterwissels. Hierdoor zijn patiëntgegevens onnodig breed toegankelijk.

  • Inhuurkrachten krijgen soms geen eigen accounts, en gebruiken daarom de toegang van collega’s of groepsaccounts. Dat is ongewenst en strijdig met de uitgangspunten van informatiebeveiligingsnormen zoals de NEN 7510.

  • De accounts en toegangsrechten van vertrokken medewerkers, stagiairs of inhuurkrachten blijven actief, waarmee datalekken kunnen ontstaan en instellingen risico’s nemen met de gegevens van hun patiënten.

  • Zorginstellingen hebben onvoldoende zicht op wie, welke patiëntgegevens heeft geraadpleegd, wat auditing en het analyseren van incidenten bemoeilijkt.

  • Zorgprofessionals combineren functies (bijv. arts en onderzoeker), wat leidt tot onduidelijke autorisaties, en een hoger risico op te ruime toegang tot medische data.

  • Autorisaties worden vaak via formulieren of e-mail geregeld, waardoor fouten ontstaan en er geen centrale registratie plaatsvindt van de verzoeken en hun beoordeling.

Belang van identity governance binnen de zorg

Binnen de zorg moeten we patiëntgegevens dus strikt beveiligen én tegelijk direct toegankelijk houden voor behandeling en zorg. En dat binnen een complexe omgeving met veel zorgmedewerkers, wisselende rollen en samenwerking over instellingen en systemen heen. Professionele identity governance, waarmee je grip houdt op je rechtenbeheer, is daarbij cruciaal.

Uitdagingen identity governance bij de overheid

Identity governance bij de overheid

Een ambtenaar neemt afscheid van de gemeente, waar hij jarenlang complexe aanvragen voor bedrijfsvergunningen beoordeelde. Hij gaat in zijn nieuwe baan bedrijven adviseren bij vergunningsaanvragen. Bij het vertrek heeft hij keurig volgens de regels zijn spullen ingeleverd, maar hij komt er naderhand achter dat zijn account op het zaaksysteem van de gemeente nog steeds actief is. Typisch een geval van ‘de kat op het spek’.

Governance uitdagingen binnen de overheidssector

Overheidsorganisaties worden gekenmerkt door een combinatie van complexiteit, publieke verantwoordelijkheid en sterke regulering. Overheden werken met grote hoeveelheden gegevens van burgers en bedrijven, waardoor er serieuze uitdagingen zijn rondom privacy, beveiliging en verantwoording.

De organisatiestructuur is ingewikkeld en versnipperd, met meerdere lagen, uitvoeringsorganisaties en ketenpartners. Ondanks alle pogingen tot harmonisatie, zijn er ook nog steeds veel eigen systemen en processen. Inclusief legacy systemen, die men vaak nog deelt met andere overheidsinstellingen. Werkzaamheden worden daarbij uitgevoerd door een mix van eigen ambtenaren, werknemers van partnerorganisaties en externe inhuurkrachten.

Binnen dat complexe landschap is er wel degelijk veel aandacht voor veilige en transparante toegang, inclusief de logging, auditing en controlemechanismen. Maar door de complexe omgeving waarin ze worden ingezet, is het vaak lastig ze echt goed te benutten. En iedere fout van de overheid ligt uiteraard direct onder een vergrootglas.

Veelvoorkomende identity governance problemen en risico’s

  • Toegangsrechten voor verschillende systemen zijn verdeeld over onder andere gemeenten, uitvoeringsorganisaties en ministeries. Dit bemoeilijkt ketenbrede controle en vergroot de kans op ongeautoriseerde toegang tot burgergegevens.

  • Bij functiewijzigingen, detachering of vertrek blijven rechten vaak actief. Medewerkers houden daardoor toegang tot systemen, zonder dat hiervoor een noodzaak is.

  • Rollen en autorisaties verschillen per organisatie en systeem, waardoor inconsistenties ontstaan. Dit maakt het lastig om beleid centraal af te dwingen, en het bemoeilijkt audits en verantwoording richting toezichthouders.

  • Het is vaak onvoldoende inzichtelijk wie, wanneer burgergegevens raadpleegt en met welk doel. Dat maakt het moeilijk om ongeautoriseerde inzage of datamisbruik te ontdekken.

  • Medewerkers kunnen door te brede instellingen, aanvragen zowel beoordelen als goedkeuren, bijvoorbeeld bij vergunningen of uitkeringen. De functiescheiding is niet vertaald naar de toegangsrechten en dat vergroot het risico op misbruik.

Belang van identity governance binnen de overheid

Overheidsorganisaties verwerken enorme hoeveelheden gevoelige data en moeten daar op ieder moment verantwoording over kunnen afleggen. Tegelijk is er sprake van een versnipperde structuur met een veelheid aan systemen – inclusief gedateerde toepassingen – en gebruikers. Dat bemoeilijkt het toezicht en leidt tot problemen met onder andere het autorisatiebeleid en functiescheiding. Het toewerken naar een volwaardige identity governance, met continue controle en sturing, is daarom erg belangrijk om de kwaliteit en compliance te verbeteren.

Uitdagingen identity governance in het onderwijs

Identity governance in het onderwijs

Een docent heeft binnen de hogeschool waar hij lesgeeft, door te ruim ingestelde toegangsrechten, niet alleen toegang tot de eigen systemen en gegevens. Hij kan ook in de applicaties van andere opleidingen, en kan daar probleemloos cijfers inzien en zelfs aanpassen. Zonder dat dit wordt gemonitord.

Governance uitdagingen binnen de onderwijssector

In het onderwijs heb je te maken met een dynamische en vaak jonge gebruikerspopulatie. Studenten stromen in en uit, wisselen van studie of rol, en hebben vaak tijdelijke toegang nodig tot verschillende systemen. Dat heeft ook te maken met het feit dat binnen één instelling, studenten en docenten vaak meerdere rollen combineren. Een oudejaarsstudent kan bijvoorbeeld ook een aanstelling hebben als docent of assistent. Ook onder de medewerkers – met name het onderwijzend personeel – is veel dynamiek, onder andere om vervangingen te regelen.

Dit stelt hoge eisen aan identity lifecycle management, want er moeten voortdurend rechten worden toegekend en weer ingetrokken. Dat gebeurt bovendien in een open en samenwerkingsgerichte cultuur waar kennisdeling en samenwerking het uitgangspunt zijn. Dan is het lastiger om bijvoorbeeld ‘least privilege’ strikt toe te passen.

Daarbij zijn veel onderwijsinstellingen decentraal georganiseerd. In het funderend onderwijs zijn er samenwerkingsverbanden van tientallen scholen, en bij het MBO, de hogescholen en universiteiten hebben afdelingen en faculteiten vaak een grote autonomie. Dan is het lastig om het identiteits- en rechtenbeheer centraal te borgen. Sowieso zijn er vaak beperkt middelen voor het IT-beheer, en wordt er creatief gewerkt met cloudapplicaties en externe toepassingen.

Veelvoorkomende identity governance problemen en risico’s

  • Accounts worden niet altijd afgesloten na het afstuderen of vertrek, waardoor mensen toegang houden tot digitale leeromgevingen, research applicaties of gedeelde bestanden.

  • Om onderwijs en groepsopdrachten soepel te laten verlopen, krijgen studenten en docenten soms meer toegang dan zou mogen volgens de eigen beleidsregels. Met als gevolg dat mensen onbedoeld toegang krijgen tot bijvoorbeeld persoonsgegevens.

  • De periodieke instroom- en doorstroomperiodes zorgen voor veel wisselingen, waarbij het lastig is om alle rechten actueel te houden. Hierdoor houden studenten en docenten vaak toegang tot niet-relevante systemen en (persoons)gegevens.

  • Faculteiten en (deel)opleidingen hebben eigen processen en beheren eigen applicaties en gegevens. Hierdoor ontbreekt een centraal overzicht van de toegangsrechten tot onderwijs- en onderzoeksystemen.

  • Studenten en docenten maken voor groepsprojecten, research en de verdere samenwerking vaak creatief gebruik van digitale toepassingen buiten zicht van IT-afdelingen. Via zulke shadow-IT kunnen gevoelige onderwijs- of researchdata onbedoeld buiten de gecontroleerde omgeving van de instelling terechtkomen.

Belang van identity governance binnen het onderwijs

De onderwijssector kent een dynamische en relatief kwetsbare gebruikerspopulatie met wisselende rollen en tijdelijke toegang. Dit maakt goed identity lifecycle management belangrijk, maar ook complex. Het vergroot het risico dat accounts onnodig lang actief blijven en te veel rechten worden verstrekt. Daarnaast worstelt de sector met creatief shadow-IT gebruik. Identity governance kan binnen het onderwijs helpen meer grip te krijgen op toegangsbeheer, onder andere via beter toezicht en gerichte sturing.

Het belang van identity governance met de identity lifecycle

Het belang van identity governance

Hoewel sectoren verschillen, laten de identity governance uitdagingen duidelijke overeenkomsten zien. In alle behandelde sectoren is er sprake van complexe gebruikersstructuren, versnipperde systemen en een lastige balans tussen enerzijds gebruiksvriendelijkheid en toegankelijkheid, en anderzijds de toegangsbeveiliging.

Een van de grootste gedeelde uitdagingen is lifecycle management. Het tijdig aanpassen en intrekken van toegangsrechten blijkt in de praktijk lastig te organiseren. Het leidt al snel tot te veel toegangsrechten en de bijbehorende risico’s. Ook ontbreekt vaak het overzicht in de rechtenuitgifte. Zonder duidelijk inzicht in wie toegang heeft tot welke systemen, is effectieve governance niet mogelijk.

En de impact is groot. In de zorg raken fouten direct de privacy en de patiëntveiligheid, bij de overheid beschadig je rechtstreeks het vertrouwen van burgers, en bij het onderwijs gaat het niet alleen om de kwaliteit van het onderwijs en onderzoek, maar allereerst om de gegevens van kinderen of jongeren.

Hoe krijg je meer grip op je identity governance?

Hoe krijg je meer grip op je identity governance?

Identity governance is geen puur technisch vraagstuk, maar een strategische noodzaak. Organisaties moeten inzicht hebben in wie toegang heeft tot welke systemen en waarom. Dit helpt om risico’s te verkleinen en compliant te blijven. Met een sterke IAM-strategie en governance-oplossingen krijg je meer controle. Functionaliteiten zoals reconciliation, recertification en role mining helpen om rechten te controleren en te optimaliseren.

Meer weten? Bekijk de governance-oplossing van Tools4ever:
https://www.tools4ever.nl/platform/governance/

Wat is identity governance?

Identity governance draait om het krijgen en houden van controle over gebruikers en toegangsrechten. Het geeft inzicht in wie toegang heeft tot welke systemen en waarom, en helpt om deze rechten continu te controleren en bij te sturen.

Waarom is identity governance belangrijk?

Zonder goede identity governance verliezen organisaties al snel het overzicht op toegangsrechten. Dit vergroot de kans op datalekken, misbruik en complianceproblemen. Met de juiste aanpak houd je grip en verklein je risico’s.

Welke risico’s voorkom je met identity governance?

Met identity governance voorkom je onder andere dat medewerkers te veel rechten hebben, dat accounts actief blijven na vertrek en dat er onvoldoende zicht is op wie toegang heeft tot gevoelige data.

Hoe helpt identity governance bij compliance?

Identity governance maakt inzichtelijk wie toegang heeft tot welke systemen en waarom. Dit helpt bij audits en zorgt ervoor dat je voldoet aan wet- en regelgeving rondom privacy en informatiebeveiliging.

KaHo Man

Geschreven door:
KaHo Man

KaHo, met 18 jaar ervaring in consultancy, is implementatie consultant in Identity & Access Management (IAM) bij Tools4ever.  Met een solide basis in Hogere Informatica, is hij uitgegroeid tot een gerespecteerde mentor en trainer, die zijn kennis deelt met collega's en partners. KaHo's expertise strekt zich ook uit tot het geven van HelloID sales demo’s en technische intakes, uitvoeren van health checks, en het overzien van project reviews.

Anderen bekeken ook

Belang van Governance in IAM
  • Security en compliance

Het belang van governance bij IAM

19 mei 2025