Afgelopen november stond ik op T3CON 2025 in Düsseldorf met een talk over iets dat me al een tijdje dwars zit. De meeste organisaties behandelen hun CMS als een eiland. Aparte logins, losse permissies, geen koppeling met hun IAM stack. En dat was misschien oké toen je CMS alleen een plek was om pagina’s te publiceren. Maar dat is het allang niet meer.
Er zit steeds meer gevoelige content in. Er worden API-koppelingen gebouwd naar andere systemen. En er duiken AI plugins op — contentgeneratie, automatische tagging — die niemand heeft gereviewed vanuit security-perspectief. Je CMS is stilletjes een toegangspoort geworden, en de meeste organisaties hebben dat niet door. Of ze weten het wel, maar het staat niet op de roadmap.
Onder NIS2 is access governance in je CMS gewoon een compliance-vereiste. Niet optioneel, niet nice-to-have. En die AI-integraties? Dat valt onder de EU AI Act. Je moet kunnen aantonen welke AI-componenten je gebruikt, wat ze doen met data, en wie er verantwoordelijk voor is. De meeste CMS-teams die ik spreek hebben daar nog niet over nagedacht.
De reflex is meer tooling erbij gooien. Nog een dashboard, nog een plugin, nog een laag. Maar het probleem zit niet in tooling. Het zit in governance. Wie heeft toegang tot wat, waarom, en wie controleert dat?
Wat me opviel in Düsseldorf: voor de meeste bezoekers was het de eerste keer dat iemand vanuit IAM naar hun CMS keek. Dat verbaasde me eerlijk gezegd een beetje. Maar het verklaart ook waarom dit gesprek zo weinig gevoerd wordt — de IAM-mensen kennen het CMS niet, en de CMS-mensen denken niet in termen van access governance.
Zie hier het langere artikel met de slides.
