Klantverhaal — B2B SaaS

Hoe wij onboarding
en offboarding hebben gestandaardiseerd
voor een groeiend SaaS-team.

Een B2B SaaS-bedrijf van 70 personen ging in vijf weken van een offboarding-vertraging van 3 weken naar een 24h-standaard — met dag-1 toegang voor nieuwe medewerkers en auditbewijs dat standaard wordt vastgelegd.

5
weken
end-to-end JML-herinrichting
24h
standaard
nieuwe offboarding-regel (vs 3+ weken)
Dag 1
toegang
klaar voor nieuwe medewerkers (vs week 2)
Sector B2B SaaS
Omvang ~70 medewerkers
Platform Microsoft 365 + gemengd SaaS-landschap
Traject 5 weken
Diensten gebruikt Assessment · The Security Baseline™
Doel Gestandaardiseerde JML + audit-ready toegangscyclus

Het bedrijf

Een B2B SaaS-bedrijf van ongeveer 70 personen, in snelle groei. Het personeelsbestand was in de voorgaande twaalf maanden met 30% toegenomen. Meerdere teams, meerdere locaties, een gemengd cloud-landschap rond Microsoft 365 met een lange staart aan best-of-breed SaaS-tools.

Joiner-mover-leaver werd elke keer ad-hoc afgehandeld. Het People-team mailde IT met een naam en een startdatum. IT maakte accounts aan in de systemen die ze zich herinnerden. De hiring manager joeg ontbrekende toegang na op dag drie. Iemand vergat een leaver te deactiveren totdat die opdook in een access review weken later.

De uitdaging

Elke joiner en leaver werd ad-hoc afgehandeld. Het People-team mailde IT met een naam en een startdatum. IT maakte accounts aan in de systemen die ze zich herinnerden. De hiring manager joeg ontbrekende toegang na op dag drie. Iemand vergat een leaver te deactiveren totdat die opdook in een access review weken later.

Het proces was alleen zichtbaar wanneer het stuk ging. En dat was voortdurend.

"Hoe is dit vier maanden onopgemerkt gebleven?"

De aanleiding voor het project was een bijna-incident: een contractor wiens engagement vier maanden eerder was geëindigd, bleek nog steeds actieve toegang te hebben tot een customer support console met inzicht in gevoelige data. Er had geen kwaadaardige activiteit plaatsgevonden. Maar de vraag "hoe is dit vier maanden onopgemerkt gebleven?" had geen comfortabel antwoord.

Waarom dit telde

Onze aanpak

Eerst proces, dan tooling. Automatisering versterkt het proces dat u heeft — als het proces stuk is, maakt automatisering de breuk alleen maar sneller.

Fase 01 · Week 1–2
In kaart brengen
Documenteer de huidige situatie. Identificeer elke tool, elk toegangspad, elk rolpatroon. Breng aan het licht wat stuk is. De output: een helder, geschreven joiner-mover-leaver-proces — geen voltooide tool, maar een gedocumenteerde standaard waarop we zouden bouwen.
Fase 02 · Week 3–4
Standaardiseren
SSO-bereik uitgebreid. Toegangsgroepen gedefinieerd op rol, niet op individu. Een gedocumenteerde checklist voor de lange staart aan tools buiten SSO. Benoemde eigenaren voor elke fase van de cyclus. Bewijsvastlegging ingebouwd in de workflow zodat audit-readiness een bijproduct is, geen aparte exercitie.
Fase 03 · Week 5
Operationaliseren
Laat de eerste joiner en leaver door het nieuwe proces lopen. Valideer de bewijsvastlegging. Overdracht naar interne eigenaren. Stel de cadans voor de kwartaal-access-review in. Het proces is nu operationeel — niet alleen op papier.

Het resultaat

Vijf weken gerichte arbeid. Joiner-mover-leaver werd een gedocumenteerde, met bewijs onderbouwde operatie.

Offboarding van 3+ weken naar 24 uur Kritieke toegang wordt nu dezelfde dag ingetrokken, met volledige afsluiting binnen een week. Bewijs wordt vastgelegd als bijproduct van de workflow.
Nieuwe medewerkers productief op dag één Toegangsverlening wordt nu vóór de startdatum getriggerd, niet erna nagejaagd. De wrijving van twee tot drie dagen bij onboarding is verdwenen.
Verdedigbare auditpositie Het bedrijf kan voor elke joiner, mover of leaver van het afgelopen kwartaal een dossier overleggen — precies welke toegang is verleend, gewijzigd of ingetrokken.
Geen verweesde accounts meer De kwartaal-access-review brengt afwijkingen aan het licht in hetzelfde kwartaal waarin ze ontstaan, niet een jaar later. Het bijna-incident met de contractor dat het project triggerde kan zich niet herhalen.
Rolgebaseerde toegang, geen individuele uitgifte Nieuwe medewerkers erven toegang vanuit hun rol — niet vanuit wat toevallig op de dag herinnerd wordt. Rolwijzigingen werken de toegang automatisch bij.
De leiding heeft een verdedigbaar antwoord "Wie heeft waar toegang toe?" heeft nu een gedocumenteerd, met bewijs onderbouwd antwoord. De CTO is niet langer de flessenhals voor toegangsbeslissingen.

Belangrijkste lessen

Diensten gebruikt in dit traject

Diagnosticeren, implementeren, onderhouden.

Herkent u dit? Joiners die op dag drie achter toegang aanjagen. Leavers die weken later nog in het systeem staan. Contractor-accounts die niemand kan verklaren. Wij hebben dit eerder gedaan. Het pad is helder. Plan een verkennend gesprek →

Klaar om dit te doen?

Uw security-transformatie
begint met één gesprek.

Plan een verkennend gesprek van 30 minuten. Geen verkooppraatje. Wij vertellen u eerlijk waar u staat, wat ervoor nodig is en of wij de juiste partij zijn.

Plan een verkennend gesprek