Gratis demo Contact

Outsourcing en IAM. Wat verandert er?

Door: KaHo Man 6 juli 2026

Bij outsourcing besteed je werkzaamheden, processen of diensten uit aan een externe partij. Zo besteden organisaties bijvoorbeeld (delen van) hun IT-beheer, klantenservice, administratie of logistiek uit aan outsourcingpartners. Die zijn daarin gespecialiseerd en kunnen deze taken vaak efficiënter en beter uitvoeren, terwijl jij je kunt richten op de eigen kernactiviteiten.

Maar wat betekent dat voor jouw verplichtingen als outsourcende organisatie? Ook al besteed je zaken uit aan een andere partij, je bent nog steeds eindverantwoordelijk. Je blijft aansprakelijk voor de kwaliteit van de dienstverlening richting je eindklanten, en hetzelfde geldt voor de informatiebeveiliging (IB). Outsourcingpartners moeten zorgvuldig omgaan met persoonsgegevens en bedrijfsinformatie. Hoe kan identity & access management je daarbij helpen?

Outsourcing en compliance: dit verandert er voor IAM

Outsourcing en compliance: dit verandert er voor IAM

Waar liggen de raakvlakken tussen outsourcing en IAM? Dat hangt af van het type outsourcing. Neem bijvoorbeeld een groothandel die medische hulpmiddelen levert, van bloeddrukmeters tot ziekenhuisbedden. De organisatie heeft een eigen logistieke divisie die leveringen ontvangt en opslaat in eigen distributiecentra, en van daaruit de verzending verzorgt richting zorgverleners of rechtstreeks naar particuliere cliënten. Je kunt die logistiek helemaal in eigen beheer uitvoeren, maar je kunt dit ook outsourcen. We geven drie voorbeelden van zulke outsourcing.

Applicatie-outsourcing

Logistieke software (zoals de meeste software) werd traditioneel door eigen IT-afdelingen on-premises geïmplementeerd en beheerd. Inmiddels is het beheer van bedrijfssystemen steeds vaker uitbesteed. Aanvankelijk vooral met Managed Service Providers (MSP) die het beheer van bestaande applicaties overnamen, maar tegenwoordig is Software as a Service (SaaS) het populairste businessmodel. Hierbij gebruiken meerdere klanten dezelfde cloudgebaseerde standaardoplossing.

De SaaS-aanbieder verzorgt in dit geval het operationele en technische IT-beheer, evenals de verdere doorontwikkeling van de software. Voor gebruikers is het ‘gewoon een van de applicaties’, en IT-beheerders bij de klant kunnen zich beperken tot functioneel beheer. Het beheren van gebruikersaccounts en toegangsrechten verloopt in principe op dezelfde manier als bij andere applicaties, met behulp van de eigen IAM-oplossing.

Team-outsourcing

Veel organisaties werken met inhuurkrachten om gaten in de roosters te vullen. Vaak gaat het dan om individuele diensten, maar een organisatie kan via een outsourcingpartner ook een compleet extern team inhuren. Zo’n team neemt een aantal taken volledig over en wordt ook door managers van de outsourcingpartner aangestuurd. Ook projecten worden zo soms volledig uitbesteed. In ons voorbeeld heeft het bedrijf dan nog wel de distributiecentra, hulpmiddelen en systemen in bezit, maar de operationele logistieke werkzaamheden in die centra zijn uitbesteed aan dat externe team. Het bedrijf hoeft zich geen zorgen te maken over de bemensing, de planning en andere people management aangelegenheden.

Het digitale rechtenbeheer verandert bij deze vorm van outsourcing meestal niet fundamenteel. Medewerkers van het externe team gebruiken vaak dezelfde software als het eigen personeel, waardoor accounts en rechten via bestaande IAM-processen en -systemen kunnen worden beheerd. Wel vraagt deze constructie om extra aandacht voor de verwerking van de gegevens van de externe teamleden. We komen daar in de volgende paragraaf op terug.

Business process outsourcing (BPO)

De meest vergaande vorm van outsourcing is wanneer bedrijfsprocessen (zoals de facturatie of klantenservice) volledig worden uitbesteed aan een dienstverlener. De groothandel kan bijvoorbeeld een contract afsluiten met een logistieke partner die met eigen distributiecentra en transportmiddelen de gehele supply chain van het bedrijf overneemt. Van de opslag en orderpicking tot en met het vervoer van de leveringen en de afhandeling van retourzendingen. De partner gebruikt daarvoor eigen distributiecentra, transportmiddelen, software en personeel.

Vanuit IAM-perspectief verschuift een deel van het operationele toegangs- en rechtenbeheer naar de dienstverlener. De leverancier gebruikt grotendeels eigen processen, systemen en medewerkers, maar heeft vaak ook toegang nodig tot specifieke systemen en gegevens van de opdrachtgever. De opdrachtgever blijft eindverantwoordelijk voor het toegangsbeleid, de governance en de naleving van wet- en regelgeving. Daarom zijn duidelijke afspraken, toezicht en controlemechanismen essentieel.

4 herkenbare IAM-problemen bij outsourcing

4 herkenbare IAM-problemen bij outsourcing

Bij outsourcing besteed je dus delen van de bedrijfsvoering uit, maar we zagen al dat dit impact heeft op je identity & access management. We geven hieronder een paar IAM-uitdagingen rond outsourcingtrajecten.  

Integratie van cloudapplicaties

Bij applicatie-outsourcing gaat het vaak over cloudapplicaties en specifiek SaaS-diensten. Voor de klantorganisatie dient zo’n dienst een integraal onderdeel te zijn van de verdere bedrijfsvoering. Medewerkers moeten eenvoudig kunnen inloggen via de eigen identity provider, en de organisatie wil uiteraard zelf het gebruikers- en autorisatiebeheer uitvoeren. In moderne hybride- of cloudomgevingen met een daarvoor geschikte IAM-oplossing (zoals HelloID) is het aansluiten van een extra SaaS-dienst relatief eenvoudig. Maar betreft het de eerste migratie naar de cloud vanuit een tot dan toe pure on-premises infrastructuur, dan kan dit een behoorlijke migratieslag betekenen.

Provisioning van externe teams

Bij team-outsourcing maken de medewerkers van zo’n extern team doorgaans gebruik van dezelfde systemen als de interne medewerkers. Daarom ligt het voor de hand om accounts en toegangsrechten op dezelfde manier te provisionen, via de bestaande IAM-omgeving en -processen. Vaak fungeert het HR-systeem als het primaire bronsysteem voor identiteitsgegevens. Het bevat informatie zoals iemands afdeling, locatie, functie en behaalde trainingen. Gegevens die gebruikt kunnen worden om automatisch de benodigde accounts en autorisaties te verstrekken.

Bij externe medewerkers werkt dat echter anders: hun gegevens worden normaliter niet in het HR-systeem geregistreerd, maar in systemen van de outsourcingpartner. Het koppelen, synchroniseren en verifiëren van deze gegevens vraagt om zowel technische integratie als governanceprocessen.

Beheer van individuele rechten

In het verlengde hiervan willen de managers ook, indien nodig, individuele rechten laten aanmaken voor hun teamleden. Belangrijk daarbij is dat zulke individuele verzoeken en de afhandeling ervan op zo’n manier worden geïmplementeerd dat er controle is op deze aanvragen en dat de verstrekte rechten periodiek opnieuw worden beoordeeld. Je wilt voorkomen dat er een grote groep onbeheerde accounts ontstaat waar niemand meer zicht op heeft.

Governance

Bij BPO gebruikt de outsourcingpartner eigen systemen, processen en medewerkers. Daarbij verwerkt de dienstverlener vaak persoonsgegevens van de klantorganisatie als input voor de dienstverlening. In het voorbeeld van de logistieke uitbesteding moeten bijvoorbeeld adres- en contactgegevens van cliënten worden gedeeld om leveringen mogelijk te maken. Die persoonsgegevens moeten bij die logistieke dienstverlener even veilig zijn als binnen de eigen organisatie. Je hebt als klantorganisatie zelf echter geen operationele controle over hoe binnen de outsourcingpartner de gegevens worden beheerd, en dat betekent dat er extra aandacht moet zijn voor de contractuele afspraken met de partner, de verdere governance en het toezicht. We gaan daar in de volgende paragraaf op in.

Hoe governance belangrijker wordt bij outsourcing

Hoe governance belangrijker wordt bij outsourcing

Identity governance en compliance zijn sowieso erg belangrijk. Organisaties moeten goed voorbereid zijn op steeds grotere cyberrisico’s, aantoonbaar compliant zijn met wet- en regelgeving, en processen hebben om het rechtenbeheer voortdurend te evalueren, te verbeteren en te optimaliseren. Bij outsourcing wordt die governance nóg belangrijker en tegelijkertijd ingewikkelder. IAM verschuift immers van primair een intern organisatieproces naar een ketenproces waarin de organisatie en de outsourcingpartner nauw moeten samenwerken.

Team outsourcing

Bij ‘team outsourcing’ blijft het bestaande rechtenbeheer vaak behoorlijk intact, maar er worden externe gebruikers en teammanagers ingezet. Waar komen de gegevens vandaan die binnen de IAM-omgeving worden gebruikt om te bepalen of iemand bepaalde rechten mag krijgen? Beschikt iemand bijvoorbeeld over de juiste opleiding? Anders dan voor eigen personeel worden deze gegevens niet door de eigen HR-organisatie beheerd. Hoe borg je dat de gegevens worden gecontroleerd en up-to-date worden gehouden? En welke ruimte geven we teammanagers van de outsourcingpartij bij het verstrekken en/of goedkeuren van individuele toegangsrechten voor hun teamleden?

Business Process Outsourcing

Andere uitdagingen zijn er bij volledige BPO. De outsourcingpartner richt in dat geval de processen volledig zelfstandig in. We zijn als klant er echter wel voor verantwoordelijk dat de outsourcingpartner zich daarbij aan de regels houdt.

Op het gebied van bijvoorbeeld persoonsgegevens fungeert de partner als zogeheten verwerker. De klantorganisatie is in AVG-termen (Algemene Verordening Gegevensbescherming) doorgaans de verwerkingsverantwoordelijke en blijft verantwoordelijk voor het rechtmatig omgaan met persoonsgegevens. Bij een datalek liggen de reputatieschade, de herstelkosten, schadeclaims en een eventuele boete in eerste instantie bij de klantorganisatie. Er moeten dus heldere afspraken komen over wie binnen de outsourcingpartner toegang mag krijgen tot de gegevens en welke verwerkingen zijn toegestaan. Ook moet hierover worden gerapporteerd en moeten er uitgebreide auditmogelijkheden zijn.

Hoe houd je grip op toegangsbeheer bij outsourcing?

Hoe houd je grip op toegangsbeheer bij outsourcing?

Bij outsourcing verandert de rol van je identity & access management. Het verschuift van een primair intern proces naar een proces dat op meerdere vlakken moet samenwerken met systemen en processen binnen de outsourcingpartner. Gelukkig beschik je met een modern IAM-platform als HelloID over de juiste gereedschappen om dat te ondersteunen:

  • HelloID ondersteunt federatieve koppelingen met cloudapplicaties, onder andere op basis van SAML en OIDC. Ten behoeve van de provisioning van applicaties biedt het platform een uitgebreide set connectoren voor de meeste gangbare cloudapplicaties.

  • HelloID Provisioning kan meerdere bronsystemen aansluiten, zodat naast de eigen medewerkers via het HR-systeem, bijvoorbeeld ook externe medewerker accounts kunnen worden uitgegeven op basis van gegevens uit systemen van een outsourcingpartner. Hiermee kan ook de identity lifecycle van deze externe medewerkers probleemloos worden beheerd.

  • Business rules bieden de wendbaarheid om het bestaande rollenmodel eenvoudig aan te passen wanneer een of meerdere businessprocessen worden uitbesteed aan een outsourcingpartner. Ook het rechtenbeheer van medewerkers van externe teams kan eenvoudig worden geregeld met behulp van business rules.

  • Bij team outsourcing kunnen we er ook voor zorgen dat individuele rechten worden verstrekt aan externe medewerkers. We kunnen hiervoor met de Service Automation module specifieke beheervensters en self-service functies configureren. Inclusief de bijbehorende workflows zodat de organisatie grip houdt op zulke verzoeken. Deze rechten kunnen tijdelijk worden verstrekt.

  • Er is uitgebreide governance functionaliteit om grip te houden op de toegang van externe medewerkers tot je systemen en gegevens. Denk aan de recertification functionaliteit om verstrekte rechten periodiek opnieuw te beoordelen, en reconciliation om de consistentie tussen systemen te controleren. Ook kunnen we proactief controleren op conflicterende rechten om zo de segregation of duties te garanderen.

  • Ook de uitgebreide logging- en rapportagemogelijkheden binnen HelloID zijn erg belangrijk om toezicht te houden op de outsourcingpartner. Naast informatie over toegangspogingen tot systemen en data, zijn er onder andere rapportages van alle verstrekte toegangsrechten, op te splitsen naar gebruikers(groepen), afdelingen, rollen etc. Ook biedt het platform een overzicht van alle business rules en individuele rechtenaanvragen, inclusief de aanvragers en beoordelaars.

Meer weten over HelloID

In het kader van outsourcing is het overigens goed om te beseffen dat HelloID als IDaaS-oplossing zelf application outsourcing verzorgt. HelloID draait volledig in de cloud en de klant kan zich daardoor volledig richten op functioneel beheer. Tools4ever verzorgt het volledige technische en operationele beheer, en de doorontwikkeling van het platform. Hier vind je meer informatie over HelloID en de beschikbare modules.

Bekijk HelloID

Wat verandert er voor IAM bij outsourcing?

Bij outsourcing verandert de IAM-rol van een afgebakend proces binnen de eigen organisatie naar een proces dat nauw moet samenwerken met de systemen en processen van de outsourcingpartner(s). IAM krijgt onder andere een rol bij het verstrekken van accounts en rechten aan medewerkers van externe teams.

Waarom is IAM belangrijk bij outsourcing?

IAM is belangrijk bij outsourcing omdat externe partijen toegang krijgen tot systemen, applicaties en gegevens van de organisatie. Met goed identity & access management wordt gecontroleerd wie toegang heeft, welke rechten iemand krijgt en hoe deze rechten worden beheerd. Dit verkleint de kans op onbevoegde toegang en datalekken.

Hoe helpt IAM bij compliance tijdens outsourcing?

Dankzij IAM krijgen externe partijen alleen de rechten die nodig zijn voor de door de organisatie uitbestede werkzaamheden, terwijl authenticatie, autorisatie en logging centraal worden afgehandeld. Het platform toont transparant welke toegangsrechten externe medewerkers hebben en op grond waarvan.

Geschreven door:
KaHo Man

KaHo, met 18 jaar ervaring in consultancy, is implementatie consultant in Identity & Access Management (IAM) bij Tools4ever.  Met een solide basis in Hogere Informatica, is hij uitgegroeid tot een gerespecteerde mentor en trainer, die zijn kennis deelt met collega's en partners. KaHo's expertise strekt zich ook uit tot het geven van HelloID sales demo’s en technische intakes, uitvoeren van health checks, en het overzien van project reviews.