Recertificering mislukt zelden omdat een IGA-tool niet werkt. Het mislukt omdat managers gedrag moeten vertonen waarvoor het proces nooit is ontworpen. Organisaties behandelen access reviews als compliance-control, terwijl het in de praktijk een terugkerend changemanagementtraject is. Wie recertificering bekijkt door de lens van ADKAR, ziet vrij snel waarom zoveel campagnes op papier succesvol zijn en tegelijk vrijwel niets valideren.
Halfjaarlijks krijg je als manager een mail. Onderwerp: “Access certification campagne”. Inhoud: een link naar een tool, een lijst van twintig of dertig medewerkers, en honderden entitlements die je een voor een mag beoordelen.
Een derde herken je nog wel. De rest is een mix van applicatienamen, role-codes en permissions die je nooit eerder hebt gezien. Je weet dat er voor vrijdag iets moet gebeuren, anders gaat de tweede reminder. De eerste reactie van bijna elke manager die ik in de afgelopen vijftien jaar heb meegemaakt is dezelfde: approve all.
De campagne loopt af, de SoC- of audit-rapportage staat op groen, de governance lijkt te kloppen. En toch is er feitelijk niets gevalideerd.
Dat is het structurele probleem met recertificering. We hebben er een IT-proces van gemaakt, terwijl het in essentie een verandertraject is. De Prosci-bril helpt om scherp te krijgen waar het misgaat, en hoe je een access review-campagne van compliance-theater terugbrengt tot betekenisvolle governance.
Wat recertificering eigenlijk is
Recertificering (of access certification, access attestation) is het periodieke proces waarin een verantwoordelijke bevestigt dat de toegangsrechten van zijn medewerkers nog kloppen. Meestal de direct leidinggevende. Het is een hoeksteen van een volwassen IGA programma en een verplichte controle onder vrijwel elk relevant raamwerk: ISO/IEC 27001, NIS2, SoX, en NIST SP 800-53 (control AC-2).
In een ideaal scenario heeft de manager bij elke entitlement drie scenario’s helder in zijn hoofd: behouden, intrekken, omzetten. In de praktijk ziet hij een lijst die hij niet kan duiden, en neemt hij de snelste route die het systeem hem biedt: behouden (goedkeuren).
Waarom de huidige aanpak in vrijwel elke organisatie hapert
Bij vrijwel elke recertificering die ik heb begeleid, kom je dezelfde knelpunten tegen. Entitlement-namen die technisch zijn of niet beschrijvend. Privileged access die op dezelfde lijst staat als reguliere toegang. Geen ingeplande tijd. Geen consequentie aan het afkeuren (soms wordt het zelfs niet uitgevoerd). En geen terugkoppeling achteraf.
Geen ervan technisch onoplosbaar. Vrijwel geen ervan wordt structureel opgelost. Geen toeval; het zit in hoe IAM programma’s worden ingericht. Ik heb dat eerder beschreven in waarom IAM-projecten falen op governance, niet op techniek.
Het ADKAR-model toegepast op recertificering
Prosci’s ADKAR-model loopt door vijf fases: Awareness, Desire, Knowledge, Ability, Reinforcement. Ontworpen om individuele gedragsverandering te begeleiden in een organisatiecontext. Recertificering is, ondanks zijn IT-jasje, precies dat.
Per fase: wat ik in de praktijk fout zie gaan, en wat wel werkt.
Awareness: beseft de manager dat dit ertoe doet?
Bij vrijwel elke recertificering die ik heb begeleid, is het antwoord-impliciet nee. Een manager begrijpt op een abstract niveau dat toegang gevoelig ligt. Maar hij ziet niet hoe zijn klik op “approve” zich verhoudt tot een audit-finding, een potentieel datalek, of een SoX-issue. De Awareness is procesmatig: “we moeten dit doen”, en niet inhoudelijk.
Wat in praktijk wel helpt: laat ná de campagne zien wat er met de uitkomsten is gebeurd. Een korte rapportage, op afdelingsniveau, met een paar voorbeelden van wat anders had moeten gaan. Niet als verwijt. Wel als referentie. De volgende keer leest de manager de mail anders.
Een specifiek aandachtspunt: in branches waar recente datalekken zoals bij Booking en Basic-Fit plaatsvonden, kun je die concrete cases gebruiken om Awareness aan te wakkeren. Veel makkelijker uitleggen wat er kan misgaan als je verwijst naar wat er recent ergens anders is gebeurd.
Desire: wil de manager dit eigenlijk doen?
Hier zit volgens mij de meest onderschatte breuk. De gemiddelde manager zit niet te wachten op recertificeringen. Werk dat geen direct rendement oplevert, geen zichtbaarheid biedt, en het hele jaar door kan worden weggedelegeerd of weggeklikt.
Tegen die natuurlijke weerstand kun je niet aan-communiceren. Wat ik bij grote werkplek- en IAM trajecten heb gezien, is dat het kwartje pas valt op het moment dat een manager zelf de gevolgen ervaart. Een ex-medewerker die nog toegang had tot een SharePoint waarop een vertrouwelijk dossier stond. Een mover die zes maanden lang in twee teams tegelijk zat met de rechten van beide. Een privileged account van een medewerker bij een leverancier die er inmiddels niet meer werkte. Eén concreet incident binnen de eigen afdeling doet meer voor de Desire dan twintig awareness-mails.
Mijn advies: wacht niet op het incident. Maak het concreet door per afdeling te laten zien welke entitlements in de huidige populatie waarschijnlijk niet meer kloppen. Een mover-rapport, een role-mining-overzicht. Iets zodat zij zelf een stukje herkenning krijgen.
Knowledge: weet hij waarover hij beslist?
Hier schieten IGA implementaties bijna altijd tekort. De manager krijgt entitlement-namen voorgeschoteld die hij niet kan duiden. PROD-FIN-REPORT-READ of AAD-SG-Finance-Admins is voor de architect een logische naam (hopelijk). Voor de manager abacadabra.
Wat helpt: human-readable beschrijvingen naast de technische naam, gemaakt door de business owner van de applicatie, niet door IT. Eén regel die antwoord geeft op de vraag “wat kan iemand met deze entitlement?”. Niet sexy werk. Wel het werk dat het verschil maakt.
Tweede element: scheid privileged van regulier. Wanneer de manager voor één medewerker tien reguliere en twee privileged entitlements in dezelfde lijst ziet, krijgen ze hetzelfde gewicht. Misleidend. Geef privileged een eigen workflow met expliciete validatie. Voor admins die Privileged Identity Management productief gebruiken (vaak via CyberArk, BeyondTrust of Entra PIM) kan deze stap in een aparte campagne, met andere frequentie.
Ability: kan hij het ook?
Tijd en tool. Twee variabelen die in IAM programma’s structureel onderschat worden.
Tijd: een manager met twintig medewerkers, elk met dertig entitlements, kijkt naar zeshonderd individuele beslissingen per campagne. In een tool waarin hij niet vloeiend is. Als dat in een werkweek moet, weet je dat hij gaat bulk-approven. Reserveer er expliciet ruimte voor in de planning, communiceer dat naar zijn manager, accepteer dat het werk is en geen administratief randje.
Tool: kijk een keer mee met een manager in je IGA omgeving. Dan zie je sneller waar de afhakers zitten dan in welke roadmap-review ook. Bij een klant heb ik dit een keer gedaan in voorbereiding op een grote tenant-consolidatie, en de bevindingen helpen dan om toch wat aanpassingen te doen aan de communicatie en interface.
Reinforcement: wat gebeurt er na de campagne?
Hier valt de meeste energie weg. De campagne sluit, een rapportage gaat naar Risk & Compliance, en het volgende halfjaar gebeurt er niets meer met de uitkomsten richting de managers die het werk hebben gedaan.
Gemiste kans. Managers die zien dat hun beslissingen érgens toe leidden: een opgeruimde rol, een opgesloten exception, een SoD-conflict dat is opgelost. Dit zorgt straks voor een nog betere inzet.
Wat ik concreet heb zien werken: een kort kwartaal-overzicht naar elke deelnemende manager met drie cijfers. Wat heb je goedgekeurd, wat heb je afgekeurd, en wat is er sindsdien gebeurd met de afgekeurde rechten. Vijf regels, niet meer. Sluit de Reinforcement-lus die de meeste programma’s openlaten.
Een praktische aanpak voor de volgende campagne
Op basis van bovenstaande, de interventies die in mijn ervaring het verschil maken tussen een betekenisvolle recertificering en compliance-theater:
- Begin drie weken eerder met communicatie. Niet één mail bij de start. Een korte serie: wat komt eraan, wat verwachten we, hoeveel tijd kost het.
- Maak entitlement-beschrijvingen leesbaar voor managers. Eén regel per entitlement, geschreven door de business owner. Niet door IT. Zit dit er nog niet in: maak het dan onderdeel van het transformatie programma.
- Splits privileged van regulier. Aparte campagne, aparte cadans, aparte workflow.
- Plan tijd in. Reserveer expliciet werkuren in de agenda van de manager. Niet als suggestie. Als blok.
- Doe een steekproef op uitvoering. Niet alle ingestuurde uitkomsten zijn betekenisvol. Een steekproef die de Risk Officer doet op het percentage bulk-approved entitlements geeft je een eerlijke meting.
- Sluit de Reinforcement-lus. Korte rapportage aan elke deelnemende manager. Drie cijfers per kwartaal. Niet meer.
Geen revolutionaire stappen. Wel stappen die in vrijwel elk programma waar ik kom, niet gestructureerd worden gedaan.
Tot slot
Recertificering is geen IT-proces in een Excel met een mooie naam. Het is een halfjaarlijks verandertraject dat een professionele manager moet doorlopen tussen alle andere prioriteiten door. Wie het zo behandelt, krijgt resultaten die je aan een auditor kunt laten zien én die feitelijk kloppen.
Wie het als IT-proces blijft behandelen, krijgt groene rapportages waar niemand iets aan heeft.
Het verschil zit niet in de tool. Het zit in de vijf fases die je tussen e-mail één en e-mail twee weet te organiseren.
Veelgestelde vragen over recertificering en access certification
Wat is het verschil tussen recertificering en access review?
In de praktijk worden de termen door elkaar gebruikt. Access review is de bredere term voor elke periodieke beoordeling van toegangsrechten. Recertificering (access certification, access attestation) is de formele variant waarin een verantwoordelijke per medewerker en per entitlement een beslissing tekent. In een ISO 27001 context wordt recertificering ingericht als documented control.
Hoe vaak moet recertificering plaatsvinden?
Voor reguliere toegang is halfjaarlijks de norm onder de meeste raamwerken. Voor privileged access (accounts met administratieve of kritieke rechten) wordt kwartaal of maandelijks aangeraden. Voor exception-rechten en tijdelijke toegang is een kortere cyclus gangbaar, soms wekelijks of bij elke nieuwe campagne. NIS2 versterkt deze frequentie-eis indirect, omdat bestuurders persoonlijk aanspreekbaar worden op de adequaatheid van controls.
Wat is bulk-approval en waarom is het een probleem?
Bulk-approval is het in één klik goedkeuren van alle entitlements voor een hele groep medewerkers, zonder individuele beoordeling. Rationele reactie op een onhandig proces: de manager kan de entitlements niet duiden, dus klikt hij ze allemaal goed. Probleem: de uitkomst van zo’n campagne ziet er in de tool en in de audit-rapportage hetzelfde uit als een betekenisvolle review. Daarmee staat de governance op papier groen, terwijl er feitelijk niets is gevalideerd.
Hoe pas je Prosci/ADKAR praktisch toe op IAM?
Door de vijf fases (Awareness, Desire, Knowledge, Ability, Reinforcement) als checklist te gebruiken bij het ontwerpen van de campagne. Niet als theoretisch model. Als operationeel werkschema. Voor elke fase: wat doe ik concreet voor de manager-laag? Een Prosci-gecertificeerde programma manager kan die vertaling sneller maken dan een puur technische lead, omdat het model dan in zijn natuurlijke beroepstaal staat.
Kan AI helpen bij recertificering?
Ja, deels, maar niet zoals vaak wordt gesuggereerd. AI is goed in patroonherkenning. Welke entitlements lijken op outliers, welke rechten zijn statistisch onwaarschijnlijk voor een gegeven rol, welke combinaties wijzen op SoD-risico. Nuttige pre-processing voor de manager. Wat AI niet kan is de menselijke beslissing nemen of de Desire-fase oplossen. Lees AI-agents in IAM: de rekensom achter access monitoring kantelt voor een diepere analyse.
Wat is het verband tussen NIS2 en recertificering?
NIS2 verplicht organisaties in essentiële sectoren tot adequaat cybersecurity-beheer, inclusief toegangscontroles. Bestuurders worden persoonlijk aanspreekbaar gemaakt. Recertificering is een van de meest tastbare controls die een auditor kan toetsen, en daarmee een directe blootstellingsfactor voor bestuurders. Een papieren recertificering die niet feitelijk klopt, is onder NIS2 een veel grotere risicofactor dan onder eerdere regimes.
