De meeste IAM business cases worden gebouwd rondom security. Auditbevindingen, compliance-eisen, datalekpreventie en regelgeving zoals NIS2 vormen vaak de kern van het verhaal richting bestuur en budgethouders.
Dat is begrijpelijk. Maar het mist mogelijk de grootste financiële component van allemaal: productiviteit.
Stel dat een gemiddelde medewerker dagelijks tien minuten verliest aan toegangsproblemen. Een MFA-uitdaging die niet werkt. Een applicatie waarvoor nog rechten ontbreken. Een tweede account dat opnieuw authenticatie vraagt. Of een wachtwoordreset die net op het verkeerde moment nodig is.
Tien minuten klinkt verwaarloosbaar. Voor een organisatie met 5.000 medewerkers betekent het bijna 190.000 verloren uren per jaar. Tegen een conservatieve kostprijs van €75 per uur loopt dat op tot ruim €14 miljoen aan productiviteitsverlies.
Dat maakt de IAM business case ineens een ander gesprek. Niet alleen een gesprek over risico en compliance, maar ook over operationele efficiëntie, medewerkerstevredenheid en directe financiële impact.
Waarom de IAM business case bijna altijd te beperkt is
IAM business cases worden bijna altijd vanuit security gemaakt. Audit findings, NIS2 verplichtingen, risico-reductie, datalek-preventie. Begrijpelijk. Dat zijn de gesprekken waarin een board zenuwachtig wordt, zeker sinds de Cyberbeveiligingswet bestuurders persoonlijk aansprakelijk maakt.
Maar het is een te beperkte business case. De ROI op IAM die het minst wordt berekend, maar het hoogst kan uitpakken, is de productiviteits-ROI bij de eindgebruiker. Een rapport als IBM’s Cost of a Data Breach Report kwantificeert wat een incident kost. Wat een organisatie jaarlijks aan productiviteit kwijt is door zwakke identity-hygiëne, wordt veel minder vaak in beeld gebracht.
In mijn ervaring een gemiste kans. De productiviteits-business case is groter dan de security-business case en spreekt een ander deel van de board aan: de COO, de CFO, de CHRO. Mensen die zelden in security-stuurgroepen zitten, maar wel budget meebepalen.
Waar die tien minuten in zitten
In bijna elk programma of project dat ik heb begeleid komen dezelfde categorieën terug. Geen ervan dramatisch. Samen vormen ze de tien minuten.
1. Wachten op rechten
Een aanvraag die ergens hangt op een goedkeuring, terwijl je het werk al klaar hebt liggen. Drie dagen wachten kost geen drie dagen werk, wel een fragmentatie die de hele week ontregelt plus je bent gewoonweg slecht bereikbaar. Een goed werkend JML proces en heldere standaardrollen halen dit type wachttijd dramatisch omlaag.
2. De heb-ik-toegang-vraag
De medewerker probeert iets, ziet “access denied”, weet niet of dat een rechtenfout, een tooluitval of een eigen fout is. Een minuut zoeken. Soms tien. Hier helpt een eenvoudige, contextuele foutmelding (“je hebt geen rechten op deze map; vraag aan via X”) meer dan welke achterliggende architectuur ook.
3. Verkeerde account, tweede inlog
Hybride landschappen hebben meerdere identity providers. De medewerker probeert het in zijn werkaccount, blijkt zijn admin-account nodig te hebben, log uit, log opnieuw in. In omgevingen waar Entra en een legacy AD naast elkaar bestaan, of waar private apps via een aparte IdP draaien, gebeurt dit dagelijks.
4. MFA-frictie
Telefoon ergens anders. Notification niet binnen. Authenticator-app uit het slot moeten halen. Op zich klein, maar herhaalde frictie. De stap naar passwordless authentication of FIDO2 keys lost een belangrijk deel van die frictie op, maar wordt in veel organisaties nog niet breed uitgerold. (ik heb die bewust geactiveerd in de Trademark Controller, puur vanwege mijn irritatie)
5. Expired access
Iemand heeft je tijdelijke toegang gegeven, die is verlopen, niemand wist dat, jij ontdekt het op een onhandig moment. Direct gevolg van slecht ingerichte tijdelijke-toegangsworkflows. In moderne IGA tools eigenlijk goed op te lossen.
6. Schaduw-werkarounds
De medewerker stuurt een collega een Excel via WhatsApp omdat de officiële route net niet werkt. Klein lek. Weinig zichtbaar. Structureel risico. Precies waar de Microsoft Copilot leakage-discussie zijn voorloper had: medewerkers die om de tool heen werken omdat de tool niet werkt zoals het zou moeten.
In een gezonde organisatie blijven deze categorieën onder de drie minuten per dag per medewerker. In een onvolwassen IAM landschap zit het al snel op twintig of dertig minuten per dag voor een aanzienlijk deel van de populatie. Tien is een conservatief gemiddelde.
De rekensom voor deze IAM business case uitgebreid
Een grof voorbeeld op basis van de cijfers hierboven. Stel dat een investering in betere identity-hygiëne, een opgeschoonde role-bibliotheek en een vloeiender JML proces de gemiddelde verloren tijd terugbrengt van tien naar zes minuten per dag.
| Variabele | Vóór | Ná |
|---|---|---|
| Verloren minuten per dag per medewerker | 10 | 6 |
| Verloren uren per jaar per medewerker | 38,3 | 23,0 |
| Aantal medewerkers | 5.000 | 5.000 |
| Verloren uren per jaar (organisatie) | 191.500 | 115.000 |
| All-in kosten per uur | € 75 | € 75 |
| Verloren productiviteit per jaar | € 14,4 M | € 8,6 M |
| Jaarlijkse besparing | — | € 5,8 M |
Een IGA traject van een paar miljoen verdient zich binnen zijn levensduur eenvoudig terug. Alleen niet op de manier die in de governance-stuurgroep wordt gemeld. Het hangt aan de werkvloer.
Voor de productiviteitsimpact van Single Sign-On bestaat overigens een omvangrijke literatuur: zo laten Forrester TEI-onderzoeken rondom Microsoft Entra en Okta Identity Governance zien dat organisaties substantiële productiviteitswinsten realiseren door lifecycle-automatisering, snellere onboarding, minder handmatige toegangsprocessen en efficiëntere access reviews.
Wat het écht kost: de niet-financiële kant
Tijd is alleen het laagste niveau van impact. Wat je daarboven verliest is moeilijker te kwantificeren en zwaarder aan te pakken.
Vertrouwen in IT
Een medewerker die elke week tegen één of twee toegangs-issues aanloopt, leert dat IT niet werkt. Hij belt niet meer voor kleine zaken, vraagt hulp via informele kanalen, ontwikkelt zijn eigen workarounds. Een organisatie die de hulpvraag van haar eigen medewerkers heeft uitgeschakeld, is moeilijker te besturen dan een organisatie waar de hulpvraag wordt gehoord.
Aantrekkelijkheid als werkgever
Een nieuwe medewerker oordeelt in zijn eerste twee weken over de volwassenheid van zijn werkgever. Een goed lopend Joiner-proces is daarin een van de duidelijkste signalen. Een rommelig Joiner-proces ook. In een arbeidsmarkt waar talent kiest, geen randverschijnsel.
Risico-acceptatie aan de management-kant
Managers die voortdurend tijd verliezen aan toegangsproblemen voor hun team, gaan kortere afslagen kiezen. Brede approvals, generieke rollen, exception requests die niet goed worden uitgevraagd. Slechte toegangs-ergonomie leidt direct tot slechtere governance: een patroon dat ik eerder beschreef in waarom IAM-projecten falen op governance, niet op techniek.
Deze effecten staan zelden in een business case. Ze bepalen wel hoe een organisatie zich gedraagt.
Vier interventies die de tien minuten omlaag krijgen
Geen revolutionair antwoord. Wel een paar dingen die ik in trajecten heb zien werken.
1. Single Sign-On op alles waar het kan
Niet de uitzonderingen tolereren omdat ze “te moeilijk” zijn. Een Excel met de niet-SSO-uitzonderingen is de helft van het werk. Voor een gezonde Microsoft-omgeving: alle line-of-business apps op Entra, federaties zorgvuldig opzetten, legacy auth uitfaseren.
2. Een toegangsaanvraag in onder de werkdag
Standaardrollen die in onder de tien minuten zijn aan te vragen en in onder de werkdag worden uitgevoerd. Lijkt agressief. Haalbaar als je de standaardrollen op orde hebt en goedkeuringsworkflows niet op vakantie-mode laat staan. Directe verbinding met Joiner-Mover-Leaver vanuit de medewerker: hoe schoner het lifecycle-proces, hoe minder ad-hoc aanvragen.
3. Eén identiteit, één gezicht
Hybride landschappen waarin de medewerker tussen accounts moet wisselen voor reguliere taken zijn een ergonomische ramp. Investeren in identity-consolidatie betaalt zich terug, ook al staat het zelden hoog op de roadmap. Tenant-consolidaties, federaties tussen on-prem AD en Entra, het uitfaseren van per-applicatie-accounts.
4. JML-strakte
Bijna alle terugkerende toegangsproblemen zijn restanten van slecht uitgevoerde joiner-, mover- of leaver-events. Een schoon JML proces vermindert in een half jaar het ticket-volume zichtbaar. Hier komt het non-human identity vraagstuk overigens steeds vaker naar boven: niet alleen menselijke movers veroorzaken scope creep. Ook agents en service accounts die niet meebewegen met functiewisselingen.
Tot slot
De security-business case voor IAM is helder en wordt vaak gemaakt. De productiviteits-business case is groter en wordt zelden gemaakt.
Gemiste kans. Want het is precies de business case die een CFO begrijpt, een COO ondersteunt, en een CIO zou moeten helpen om budget vrij te maken voor het saai-maar-cruciale werk dat IAM-architectuur eigenlijk is.
Een organisatie die accepteert dat haar medewerkers tien minuten per dag aan toegang kwijt zijn, accepteert in feite een verborgen kostenpost van miljoenen. Plus een sluipend verlies aan vertrouwen.
Het is een keuze. Bij de meeste organisaties een keuze die niemand bewust heeft gemaakt.
Veelgestelde vragen over de IAM business case en productiviteit
Hoe bereken je de productiviteits-ROI van een IAM-investering?
In essentie via drie variabelen: de gemiddelde tijd die een medewerker per dag kwijt is aan toegangsproblemen (vóór en ná), het aantal medewerkers in scope, en de gemiddelde all-in kosten per uur. Voor een conservatieve berekening volstaat tien minuten als baseline. Gerichte interviews of helpdesk-ticket-analyse geeft je een nauwkeuriger getal voor je eigen organisatie.
Welke IAM-interventies hebben de hoogste productiviteitsimpact?
In mijn ervaring vier: Single Sign-On op alle reguliere applicaties; standaardrollen die werken voor 80% van de aanvragen; een geautomatiseerde joiner-flow die op dag één klaar is; en het uitfaseren van legacy-accounts die naast de hoofdidentiteit bestaan. Geen ervan technisch baanbrekend. Samen tikken ze meetbaar door op de werkvloer.
Hoe verhoudt de productiviteits-business case zich tot de security-business case?
Ze bijten elkaar niet. Sterker, ze versterken elkaar. Een IAM omgeving die security-strak is en ergonomisch slecht, leidt tot schaduw-werkarounds die het security-niveau weer omlaag halen. Een omgeving die zowel strak als prettig is, levert de beste uitkomst op beide assen. De productiviteits-business case helpt vaak om budget vrij te maken voor controls die security-only nooit hadden kunnen verantwoorden.
Wat is de impact van SSO op de gemiddelde medewerker?
Single Sign-On elimineert herhaalde inlogmomenten en vermindert daarmee zowel tijd als cognitieve belasting. Concrete besparingen variëren — meerdere Forrester TEI onderzoeken wijzen op besparingen in de orde van enkele minuten per medewerker per dag, met een grotere impact in organisaties die voor SSO veel applicaties met afzonderlijke accounts gebruikten.
Wanneer wegen passwordless en FIDO2 op tegen de uitrol-kosten?
Voor organisaties van enige omvang vrijwel altijd, mits je de business case op productiviteit én op security samen maakt. De security-baten, geen phishable passwords, lagere MFA-fatigue, minder helpdesk-tickets voor reset, zijn al een gangbaar argument. De productiviteits-baten (minder MFA-frictie per dag) komt daarbovenop, en is in een hybride werkpopulatie aanzienlijk.
Hoe pas je een IAM-business case aan NIS2 aan?
NIS2 verandert vooral de stakeholder-mix. Bestuurders worden persoonlijk aansprakelijk, wat de board-gevoeligheid voor IAM-investeringen verhoogt. In een NIS2-context werkt het vaak goed om de business case op drie assen te bouwen: bestuursaansprakelijkheid (NIS2 + Cyberbeveiligingswet), productiviteit (de tien-minuten-rekensom), en operationeel risico (audit-findings, incident-impact). Drie sponsoren in plaats van één.
