de-privacy-experts-logo-defde-privacy-experts-logo-defde-privacy-experts-logo-defde-privacy-experts-logo-def
  • Home
  • Diensten
    • Functionaris Gegevensbescherming
    • Privacyscan
    • Quick Scan Privacybewustwording medewerkers
  • Blog
  • Home
  • Diensten
    • Functionaris Gegevensbescherming
    • Privacyscan
    • Quick Scan Privacybewustwording medewerkers
  • Blog
  • Contact
Contact
✕

Stappenplan voor het opstellen van een autorisatiematrix in het onderwijs

Het is belangrijk dat er controle is op toegangsrechten vanaf het moment van indiensttreding tot en met de beëindiging van een contract. Dit geldt niet alleen voor toegang tot bepaalde applicaties, maar ook voor toegang tot bepaalde ruimtes en/of gebouwen. Daarnaast moeten bij functiewijzigingen van medewerkers en uitdiensttreding autorisaties zo spoedig mogelijk worden aangepast. Autorisatiebeheer binnen een school inrichten én op orde houden, wordt vaak als een lastige en tijdrovende klus beschouwd. Om het autorisatieproces goed in te richten, kun je een autorisatiematrix gebruiken. Met een autorisatiematrix kun je inzien wie binnen de school toegang heeft tot welke informatie en waarom. De FG’s van De Privacy Experts heeft een tien stappenplan opgesteld waarmee je op een eenvoudige manier een autorisatiematrix kunt opstellen.

Stap 1                   Vooraf inventariseren

Er moet allereerst een inventarisatie worden gemaakt van de applicaties. Stel de scope in op de risicovolle applicaties.

Stap 2                   Inventariseer gebruikersgroepen

Nu kun je per applicatie de gebruikersgroepen in kaart brengen. Je kunt deze verdelen naar bepaalde functies of afdelingen. Per applicatie geef je aan welke toegangsrechten nodig zijn. Zo krijg je inzichtelijk wie er toegang nodig heeft tot welk systeem.

Stap 3                   Huidige rechten beoordelen

Beoordeel ook de huidige rechten. Welke rechten hebben medewerkers nodig voor de uitvoering van hun werk? Medewerkers hebben alleen toegang nodig tot de informatie en systemen die zij nodig hebben voor het uitvoeren van hun werk (‘need-to-know principe’). Zo heeft bijvoorbeeld een conciërge niet dezelfde rechten nodig als een leraar.

Stap 4                   Groeperen aan de hand van overeenkomsten

Bij deze stap ga je per gebruikersgroep in kaart brengen welke rechten nodig zijn en welke overeenkomsten er zijn. Je kunt per rol de bijbehorende rechten koppelen.

Stap 5                   Speciale permissies

Breng ook in kaart of er nog medewerkers zijn die speciale rechten nodig hebben. Zorg dat je deze speciale rechten slechts toekent aan een selecte groep medewerkers. Hoe meer mensen speciale rechten hebben, hoe kwetsbaarder de organisatie is voor datalekken.

Stap 6                   Autorisatiematrix opstellen

Je gaat nu alle informatie samenbrengen in een autorisatiematrix. In je autorisatiematrix geef je per gebruiker/rol aan welke rechten en groepen gekoppeld moeten worden. Een autorisatiematrix bestaat uit de volgende onderdelen:

  • Naam van de applicatie;
  • Naam van de eigenaar;
  • Naam van de beheerder;
  • De rollen/gebruikers;
  • De rechten per rol/gebruiker.

Stap 7                   Vaststelling

Laat de autorisatiematrix controleren en goedkeuren. Dit laat je doen door de verantwoordelijke van de betreffende applicatie en de afdelingsmanagers als het om een afdelingsoverstijgende applicatie gaat.

Stap 8                   Toepassing

Na controle en goedkeuring, kunnen de rechten toegepast worden. Wijzigingen moeten zowel in de applicatie als in de autorisatiematrix bijgehouden worden.

Stap 9                   Controles

Het is van belang om periodiek controles uit te voeren om te checken of de autorisatiematrixen nog actueel zijn. Zeker in het onderwijs vinden veel veranderingen plaats en is er veel wisseling van personeel. Als een medewerker een team/afdeling verlaat, moet er gecheckt worden of er iets aangepast moet worden als het gaat om zijn/haar rechten binnen een systeem. Daarnaast moet bij een aanvraag voor toegang tot een systeem ook goed gecheckt worden of iemand die toegang wel echt nodig heeft.

Stap 10                 PDCA

Je kunt met de PDCA-cyclus de kwaliteit van de autorisatiematrix verbeteren en naar een hoger niveau kunt tillen. Het is van belang om tenminste één keer per jaar de autorisatiematrix te evalueren en indien nodig aan te passen.

 

 

De Privacy Experts adviseert, ondersteunt en treedt op voor organisaties in alle sectoren.

Onze experts hebben een passie voor cybersecurity en privacy en kunnen met alle lagen van de organisatie schakelen.  Ze bieden een totaaloplossing voor een praktische  inrichting van cybersecurity en privacy.

Diensten
Blog
Contact


Volg ons op LinkedIN

info@deprivacyexperts.nl

Aangesloten bij:

© 2023 De Privacy Experts, alle rechten voorbehouden | Privacy en cookie statement | FAQ AVG | Voorwaarden
    Contact