De wereld van Identity & Access Management staat op een kantelpunt. Waar we jarenlang vertrouwden op statische rollen en handmatige provisioning, opent AI de deur naar een fundamenteel andere aanpak.
Van statisch naar adaptief
Traditioneel IAM werkt met vooraf gedefinieerde rollen. Je krijgt toegang op basis van je functie, je afdeling, je locatie. Maar de realiteit is complexer. Medewerkers wisselen van project, werken cross-functioneel, en hebben tijdelijke toegang nodig tot systemen die buiten hun standaard profiel vallen.
AI maakt het mogelijk om toegangspatronen te analyseren en anomalieën te detecteren in real-time. Niet op basis van wat iemand zou moeten doen, maar op basis van wat iemand daadwerkelijk doet.
Het verschil tussen rule-based en AI-driven IAM is het verschil tussen een slot en een bewaker. Het slot kent maar één vraag: heb je de sleutel? De bewaker kijkt naar context.
Drie toepassingen die nu al werken
Anomaly detection in access patterns. Machine learning-modellen die afwijkend gedrag herkennen — een medewerker die om 3:00 ‘s nachts toegang vraagt tot financiële systemen, of een account dat plotseling tientallen API-calls maakt naar een onbekend endpoint.
Automated provisioning en deprovisioning. AI die op basis van HR-data, projecttoewijzingen en historische patronen automatisch de juiste toegangsrechten toekent — en net zo belangrijk: ze weer intrekt wanneer ze niet meer nodig zijn.
Risk scoring voor access reviews. In plaats van kwartaallijkse reviews waarin managers honderden toegangsrechten moeten goedkeuren, berekent AI een risicoscore per recht. Hoog-risico items krijgen prioriteit, laag-risico items worden automatisch verlengd.
De menselijke factor
Maar hier zit ook het risico. AI in IAM is geen vervanging voor governance — het is een versterking ervan. De beslissing om iemand toegang te geven tot kritieke systemen moet uiteindelijk bij een mens liggen. AI levert de context, het inzicht, de aanbeveling. De mens neemt de beslissing.
Dat vereist een andere manier van werken. Security teams moeten leren om met AI-aanbevelingen om te gaan, ze te interpreteren, en ze te challengen wanneer nodig. Het vereist ook transparantie: waarom beveelt het model deze actie aan? Welke data ligt eronder?
Wat dit betekent voor programma managers
Als programma manager in het IAM-domein zie ik een verschuiving in hoe we programma’s opzetten. AI-componenten zijn geen aparte workstream meer — ze zijn verweven met elke fase van het programma. Van requirements gathering tot testing, van change management tot operationeel beheer.
De organisaties die hier het snelst mee vooruit komen, zijn niet de organisaties met de meeste technologie. Het zijn de organisaties die governance, data-kwaliteit en verandermanagement op orde hebben. AI versnelt wat er al is — goed én slecht.
De les? Begin niet bij de technologie. Begin bij de vraag: welke beslissingen nemen we nu traag of slecht, en hoe kan AI die beslissingen beter maken?
