Kort antwoord
Wanneer iemand uw bedrijf verlaat, moet elk account waartoe hij of zij toegang had binnen 24 uur worden ingetrokken. Niet "wanneer IT eraan toekomt". Niet "wanneer HR de mail stuurt". 24 uur.
De meeste groeiende bedrijven doen er weken over — en veel bedrijven trekken nooit alles volledig in. Het resultaat is een stille opeenstapeling van verweesde accounts, vergeten access tokens en oud-medewerkers met actieve inloggegevens voor systemen die ze niet zouden moeten kunnen aanraken.
Offboarding wordt behandeld als een HR-proces. Het is een security control. Zolang het niet als zodanig wordt gerund en eigenaarschap krijgt, is het een van de gemakkelijkste paden naar een breach in uw omgeving.
Waarom offboarding een security-probleem is, geen HR-probleem
Het bekende patroon bij groeiende bedrijven: HR voert het vertrekgesprek, plant het exitgesprek, verwerkt de laatste salarisbetaling en stuurt een eenregelige e-mail naar IT — meestal nadat de persoon al vertrokken is. IT deactiveert vervolgens het e-mailaccount, soms diezelfde dag, soms een paar dagen later. Dan is "offboarding klaar".
Behalve dat het dat niet is.
Een moderne medewerker heeft toegang tot veel meer dan alleen e-mail. Via SSO gekoppelde SaaS-applicaties. Interne tools zonder SSO. Gedeelde admin-accounts. Persoonlijke API tokens die zijn aangemaakt voor eenmalige integraties. MDM-beheerde apparaten. Code-repositories. Klantenservice-consoles. Cloud provider-accounts. Toegang tot de payment processor. De lijst is langer dan HR weet.
Wanneer de offboarding-mail binnenkomt met "verwijder de toegang voor [naam]", heeft IT vaak geen definitieve lijst van alle plekken waar die persoon toegang had. Niemand heeft die. Het gevolg is standaard een gedeeltelijke intrekking.
Wat er daadwerkelijk misgaat
De faalmodi zijn consistent in alle bedrijven die we beoordelen:
Persoonlijke access tokens. Engineers genereren API tokens voor integraties, scripts en eenmalige automatiseringen. Deze tokens zijn gekoppeld aan hun identiteit, maar leven buiten de SSO-perimeter. Wanneer iemand vertrekt, wordt de e-mail gedeactiveerd, maar de tokens blijven werken totdat ze verlopen — soms maanden later, soms nooit.
SaaS-tools buiten SSO. Elk groeiend bedrijf heeft een lange staart aan abonnementen die iemand met een bedrijfse-mail heeft aangemaakt, soms met een bedrijfscreditcard. Notion, Figma, Loom, ChatGPT, de dozijn analytics-tools die het marketingteam gebruikt. SSO vangt de grote namen op. De staart wordt niet aangeraakt.
Gedeelde admin-accounts. Een oud-medewerker kent het wachtwoord van het "bedrijfs"-account voor een tool die niet aan SSO was gekoppeld. Het wachtwoord zou moeten veranderen wanneer hij of zij vertrekt. Dat gebeurt zelden.
E-mail forwarding-regels. Geraffineerd insider-risico: voor het vertrek stelt een medewerker een forwarding-regel in die kopieën van inkomende e-mail naar een persoonlijk adres stuurt. Het deactiveren van het account verwijdert die forwarding-regel niet altijd.
Apparaten die nooit terugkomen. Laptops die "ingeleverd" zijn in een lade op kantoor, nooit gewist, en uiteindelijk opnieuw uitgegeven aan een nieuwe medewerker met oude data er nog op. Of contractor-apparaten die nooit bedrijfseigendom waren en met bedrijfsdata erop het pand verlaten.
De contractor-case. Contractors worden toegevoegd met de urgentie van "we hebben dit nu nodig". Ze worden bijna nooit met dezelfde urgentie offboarded. Contractor-accounts van 18 maanden geleden behoren tot de meest voorkomende bevindingen die we in eerste assessments aan het licht brengen.
De 24-uursregel
Een verdedigbare offboarding-standaard is simpel: elk account, apparaat, token en toegangspad wordt binnen 24 uur na de laatste werkdag van de persoon ingetrokken.
Sommige elementen (zoals e-mail forwarding) moeten op die dag worden gecontroleerd. Andere (zoals de lange staart van SaaS-abonnementen) hebben een gedocumenteerd reviewproces nodig. Het principe is hetzelfde: het bedrijf weet waartoe iemand toegang had, en er is een gedefinieerd proces om dat allemaal af te sluiten.
Als u de vraag "wat zou er gebeuren als de persoon die vorige maand vertrok morgen wilde inloggen?" niet met zekerheid kunt beantwoorden, werkt uw offboarding niet.
Waarom offboarding moeilijk is
Offboarding is moeilijk omdat het verschillende functies raakt en niemand het hele proces in eigendom heeft.
HR heeft de relatie en de timing in eigendom.
IT heeft de deactivering van accounts in eigendom, maar alleen voor accounts waar IT van weet.
De teammanager heeft vaak de beste kennis van welke tools de persoon daadwerkelijk gebruikte, maar wordt zelden betrokken bij de technische intrekking.
Security is misschien wel eigenaar van het beleid, maar runt de uitvoering meestal niet.
Zonder één eigenaar en een gedocumenteerd proces valt offboarding terug op wie het toevallig nog weet.
Hoe het er goed uit zou moeten zien
Een werkend offboarding-proces heeft drie componenten.
Identiteit-gedreven intrekking. Elke zakelijke applicatie gekoppeld aan SSO. Wanneer het SSO-account wordt uitgeschakeld, eindigt de toegang tot die applicaties automatisch. Hoe breder uw SSO-footprint, hoe schoner uw offboarding.
Een gedocumenteerde checklist voor de lange staart. Tools buiten SSO staan ergens vermeld. Wanneer iemand vertrekt, wordt de checklist systematisch doorlopen. Wachtwoorden van gedeelde accounts worden veranderd. Persoonlijke API tokens worden ingetrokken. Forwarding-regels worden gecontroleerd.
Een eigenaar en een tijdlijn. Eén benoemd persoon is verantwoordelijk voor het voltooien van de offboarding. Er is een gedefinieerde deadline (24 uur is de standaard). Er is bewijs dat het is gebeurd — een afsluitend record, niet alleen een Slack-bericht.
Wanneer dit werkt, wordt offboarding een bevestiging van vijf minuten in plaats van een terugkerende bron van risico. Het is een van de zes componenten van een goede IT-opzet in deze fase.
Het compliance-perspectief
Elk security framework dat ertoe doet, vereist dat offboarding een gedocumenteerd, met bewijs onderbouwd proces is.
ISO 27001 Annex A bevat specifieke controls voor de beëindiging van toegang. SOC 2 beoordeelt offboarding als onderdeel van de access control-criteria. NIS2 verwacht van organisaties binnen de reikwijdte dat ze werkende processen hebben voor het beheren van de levenscyclus van toegang. PCI DSS vereist onmiddellijke intrekking van toegang voor beëindigd personeel.
De zin die in elk auditgesprek terugkomt: "laat me het bewijs zien dat de toegang van deze persoon volledig is ingetrokken toen hij of zij vertrok."
Als het antwoord is "dat moet ik even nakijken", heeft de auditor al een aantekening gemaakt.
Het contractor-probleem is erger
Contractor-offboarding is waar de meeste bedrijven het hardst falen.
Contractors worden met urgentie toegevoegd. Ze krijgen vaak brede toegang "om snel aan de slag te kunnen". Hun opdracht eindigt informeel — soms alleen met een laatste betaalde factuur. Niemand voert een vertrekproces uit, omdat ook het aanmeldproces niemands eigendom was.
Maanden later, in een access review, blijkt een account van "de contractor die vorig jaar bij de migratie hielp" nog steeds actief, met nog steeds admin-rechten ergens op, en niemand weet meer aan wie die contractor rapporteerde.
Contractor-accounts moeten waar mogelijk worden aangemaakt met een gedefinieerde einddatum. Ze moeten worden gemarkeerd in elke kwartaal-access review. Hun offboarding moet juist strenger zijn dan die van medewerkers, niet losser — omdat de relatie van begin af aan al losser gedefinieerd was.
Veelgemaakte fouten
- Offboarding zien als de verantwoordelijkheid van HR. HR weet wanneer. Ze weten niet waar de toegang leeft.
- Vertrouwen op één offboarding-mail aan IT. Zonder gedocumenteerd proces is gedeeltelijke intrekking de standaarduitkomst.
- Aannemen dat SSO alles afdekt. Dat doet het niet. De lange staart is waar het risico zich verbergt.
- De laptop-wipe overslaan omdat "we hem of haar vertrouwen". Vertrouwen is geen security control.
- Nooit oude offboardings auditen. Kwartaal-access reviews zijn de enige manier om te ontdekken wat is doorgeglipt.
FAQ
Hoe lang mag offboarding duren? Kritieke toegang (e-mail, SSO, apparaten) moet binnen 24 uur na de laatste werkdag worden ingetrokken. Long-tail SaaS-tools moeten binnen 7 dagen volledig zijn afgesloten. Bewijs van volledige intrekking moet binnen 30 dagen aanwezig zijn.
Moeten we offboarden voor of na het vertrekgesprek? Kritieke toegang moet worden ingetrokken op het moment dat het vertrekgesprek eindigt — niet nadat de persoon zijn of haar bureau heeft opgeruimd. Dit is vooral belangrijk voor security-gevoelige functies.
En mensen die in goed overleg vertrekken? Dezelfde regels. Het risico zit niet in de intentie van de persoon. Het risico is wat er met het account kan gebeuren als het open blijft staan: phishing, credential stuffing, account takeover.
Hoe gaan we om met een contractor die mogelijk terugkomt? Uitschakelen, niet verwijderen. De accountgeschiedenis is nuttig bewijs. Heractiveren wanneer ze terugkeren — onder een nieuwe opdracht, niet de oude.
Welk bewijs moeten we bewaren? Een record met de datum waarop toegang is ingetrokken, wie dat heeft bevestigd, en welke systemen zijn gecontroleerd. De meeste bedrijven onderschatten dit totdat hun eerste audit erom vraagt.
Conclusie
Slechte offboarding is een van de gemakkelijkste dingen om op te lossen en een van de meest consistent over het hoofd geziene. Het werk is niet exotisch: een gedefinieerde eigenaar, een gedocumenteerde checklist, een SSO-first architectuur en een 24-uursstandaard.
Het resultaat is dramatisch. Het privileged surface neemt af. Auditbevindingen verdwijnen. Het vergeten account dat uiteindelijk uitgebuit zou zijn, wordt afgesloten voordat iemand merkt dat het openstond.
De meeste bedrijven scherpen hun offboarding pas aan nadat een breach is herleid naar een oud-medewerker. De bedrijven die dit serieus nemen, doen het ervoor.
Kies welk soort u wilt zijn.
"Vertrouwen is geen security control. Het risico zit niet in de intentie van de persoon — het is wat er met het account kan gebeuren als het open blijft staan."
Volgende stap
Zie of uw offboarding bestand is tegen kritisch onderzoek.
Begin met The Clarity Assessment — we brengen uw toegangslevenscyclus in kaart en leggen de hiaten in twee weken bloot.