We waarderen uw privacy

We gebruiken cookies om uw browse-ervaring te verbeteren, gepersonaliseerde advertenties of inhoud weer te geven en ons verkeer te analyseren. Door op ‘Alles accepteren’ te klikken, stemt u in met ons gebruik van cookies.

    TRON Group
    Terug naar blog
    IT-onboarding en offboarding van medewerkers in het MKB - JML-checklist voor accounts, hardware, SaaS-toegang en AVG-bewaartermijnen na uitdiensttreding
    Cyber Security

    IT-Onboarding en Offboarding van Medewerkers in het MKB

    TRON Group• Identity & Lifecycle Management Experts
    10 minuten lezen

    De ergste storing in je IT-omgeving is meestal niet een hacker van buiten maar een vergeten account van binnen. We leggen uit hoe je IT-onboarding en offboarding in jouw MKB-bedrijf inricht: een werkbare JML-aanpak, concrete checklists voor beide processen, automatisering via Microsoft Entra Lifecycle Workflows en SCIM, en de AVG-bewaartermijnen die je na uitdiensttreding moet hanteren.

    De ergste storing in je IT-omgeving is meestal niet een hacker van buiten, maar een vergeten account van binnen. Een ex-medewerker die maandenlang nog in Dropbox kan, een laptop die nooit retour kwam, een wachtwoord dat niet werd geroteerd. In dit artikel leggen we uit hoe je het IT-onboarding- en offboarding-proces in jouw MKB-bedrijf zo inricht dat het rechtmatig, veilig en snel gebeurt. We benoemen de cijfers achter het risico, geven concrete checklists voor beide processen, en laten zien hoe automatisering met Microsoft Entra het werkbaar maakt zonder dat je IT-afdeling verdwijnt onder ticketregels.

    Joiner, Mover, Leaver: het kader

    Identity-governance werkt al jaren met het JML-raamwerk: Joiner, Mover en Leaver. Een Joiner komt in dienst en heeft toegang en middelen nodig om aan de slag te gaan. Een Mover wisselt van functie of afdeling en heeft daarmee andere toegangsrechten nodig (en minstens zo belangrijk: oude rechten moet kwijt). Een Leaver gaat uit dienst en moet binnen een afgesproken termijn al zijn toegang verliezen.

    In de praktijk besteden MKB-bedrijven verreweg het meeste tijd aan de Joiner-fase en het minste aan de Mover- en Leaver-fase. Dat is begrijpelijk (een nieuwe medewerker stuurt zelf signalen, een Mover of Leaver niet), maar precies daar zit het security-risico. Een Mover die zijn oude toegang houdt en bij elke verandering steeds meer rechten verzamelt heet "access creep". Een Leaver die zijn account behoudt heet "orphaned account", en die zijn statistisch een bekende ingang voor incidenten.

    De cijfers achter het offboarding-risico

    Sloppy offboarding is geen theoretisch probleem. Een paar harde cijfers:

    • 83 procent van de ex-werknemers gaf in een Beyond Identity-onderzoek aan na hun vertrek nog steeds toegang te hebben tot digitale assets van een vorige werkgever.
    • 56 procent van die ex-werknemers gaf toe die behouden toegang bewust te hebben gebruikt om de vorige werkgever schade te berokkenen.
    • 74 procent van de ondervraagde managers en leidinggevenden bevestigde dat hun bedrijf negatief was geraakt door een security-incident veroorzaakt door een ex-werknemer.
    • Volgens het Verizon Data Breach Investigations Report 2025 begon 22 procent van alle datalekken met gestolen credentials, en kwam in de EMEA-regio 29 procent van de datalekken van een interne actor.
    • 59 procent van de vertrekkende medewerkers neemt vertrouwelijke data mee (klantenlijsten, prijzen, broncode, HR-records); volgens Carnegie Mellon CERT vindt 70 procent van interne IP-diefstal plaats binnen 30 dagen na een ontslag-aankondiging.

    Een paar bekende incidenten illustreren dit. De Colonial Pipeline-aanval (2021) liep via een oude inactieve VPN-account zonder MFA. Een Akira-ransomware-incident in 2025 trof een productiebedrijf via een niet-gedeactiveerde third-party vendor-account. De gemeenschappelijke noemer: een account dat had moeten weggaan, bleef bestaan.

    Waarom MKB-bedrijven dit risico onderschatten

    In een MKB-bedrijf voelt offboarding informeel. Je kent elkaar, en het idee dat een ex-collega zou inbreken voelt vreemd. Maar het probleem is niet vooral kwaadwillendheid; het is dat een vergeten account een ingang is voor iemand anders. Phishing, brute force, third-party-lekken: zodra ergens een ex-account-wachtwoord opduikt, is dat een geldige sleutel.

    Daar komt de SaaS-explosie bij. Een gemiddelde medewerker gebruikt rond 29 verschillende SaaS-apps, en een gemiddeld bedrijf heeft er rond 106. 41 procent van die apps wordt door slechts een medewerker gebruikt, wat shadow IT zichtbaar maakt. Bij offboarding heb je dus geen 5 maar 30 accounts te deactiveren, waarvan een deel niet eens bekend is bij IT. Wie dit handmatig probeert bij te houden, mist standaard wat. Onze gids over hoe je je bedrijf beschermt tegen hackers gaat dieper op deze gelaagde risico's in.

    De onboarding-checklist: rechten op de eerste werkdag

    Een soepele onboarding is geen luxe maar een eerste indruk. Handmatige onboarding kost gemiddeld 23 uur per nieuwe medewerker, waarvan rond 10 uur HR, 5 uur IT en 8 uur de manager. Voor het MKB betekent het: minimaal anderhalve werkdag verspreid over drie functies, terwijl de nieuwe collega de eerste week voortdurend tegen "wacht op IT" aanloopt.

    De checklist voor een Microsoft 365- of Google Workspace-omgeving:

    • Account in Entra ID of Workspace, met juiste naamgevingsconventie.
    • Licentie toegekend (Microsoft 365 Business Standard, Premium of Workspace-equivalent).
    • Hardware besteld of klaargezet: laptop, monitor, headset, eventueel tweede scherm.
    • Zero-touch deployment via Windows Autopilot, Apple Business Manager of Google Zero-Touch Enrollment: bij eerste sign-in krijgt het device automatisch zijn configuratie, apps en policies.
    • MFA-setup verplicht op dag 1.
    • Conditional Access policies van toepassing maken.
    • Toegang tot de juiste SharePoint-sites, gedeelde mailboxen, applicaties.
    • Lidmaatschap van de juiste Entra-groepen en distributielijsten.
    • Security-awareness training ingepland.
    • E-mailhandtekening configureren.
    • Tickets, documentatie en wachtwoordmanager-uitnodiging klaarzetten.

    In het MKB gaan ondernemers vaak voor een combinatie van Microsoft 365 als basis en een externe partner die deze checklist automatiseert. Dat kost een fractie van de tijd die het kost om alles handmatig te regelen, en voorkomt dat een collega op dag 1 wacht op een wachtwoord per WhatsApp.

    De offboarding-checklist: weg moet echt weg

    De offboarding-checklist is langer dan de meeste MKB-bedrijven verwachten. Wat moet er gebeuren als iemand uit dienst gaat:

    • Account in Entra ID disable op de laatste werkdag (niet meteen deleten; data en mailbox blijven dan nog raadpleegbaar).
    • Licentie revoke binnen 24 tot 48 uur na vertrek.
    • Mailbox omzetten naar shared mailbox of doorsturen naar de manager. Microsoft hanteert standaard 30 dagen retentie van OneDrive na user-deletion, configureerbaar in SharePoint Admin Center.
    • OneDrive en relevante SharePoint-content overdragen naar de manager of het team.
    • MDM-unenroll van alle devices (Intune: Retire voor app-data of Delete voor verwijdering).
    • Hardware retour ophalen of versturen. Volgens Gartner krijgen organisaties in het beste geval rond 50 procent van laptops terug, en is het retourpercentage voor monitoren praktisch nul. Een vooraf afgesproken retour-procedure en eventueel een device-as-a-service-contract maken dit beter beheersbaar.
    • Wachtwoorden van gedeelde accounts roteren (een vergeten roteren is een klassieke insider-ingang).
    • SaaS-accounts deactiveren. Met SCIM-provisioning gebeurt dit automatisch voor alle gekoppelde apps; zonder SCIM moet IT per app handmatig.
    • VPN-toegang en eventuele admin-rollen revoken.
    • Toegangspasjes, sleutels en fysieke middelen retour.
    • HR-dossier bijwerken: bewaartermijnen toepassen volgens AVG (loonbelastingverklaring 5 jaar, fiscaal-relevante data 7 jaar, het meeste 2 jaar na uitdiensttreding). Mailbox van ex-medewerker hanteert vaak 6 maanden als richttermijn.

    De volgorde is belangrijk. Een ervaren IT-partner verwerkt offboarding consequent in dezelfde volgorde, met een checklist die geverifieerd wordt door de manager.

    Mover: de stiefkind-fase

    Tussen Joiner en Leaver zit de Mover. Iemand verschuift van marketing naar sales, of krijgt er een management-taak bij. Het hoofdrisico hier is access creep: nieuwe rechten erbij, oude blijven staan. Na een paar jaar heeft een medewerker dan toegang tot vrijwel alles. Bij een incident of phishing-aanval op deze ene persoon is de blast radius daardoor onnodig groot.

    Een eenvoudige praktijk: bij elke functieverandering checkt de manager samen met IT de toegangsrechten. Wat moet erbij, wat moet eraf. Dit jaarlijks ook standaard doen via een access review op gevoelige groepen is een sterke aanvulling op het JML-proces. Het past binnen het bredere principe van least privilege dat ook in onze moderne werkplek-gids terugkomt.

    Automatisering: Microsoft Entra Lifecycle Workflows en SCIM

    Een handmatig JML-proces is in 2026 niet meer schaalbaar. Twee bouwstenen helpen:

    Microsoft Entra Lifecycle Workflows, sinds 7 juni 2023 algemeen beschikbaar, automatiseert de Joiner-, Mover- en Leaver-events op basis van wijzigingen in HR-attributen. Built-in taken: tijdelijke credentials genereren, welkomstmails versturen, gebruikersattributen en groepslidmaatschappen aanpassen, licenties toevoegen of verwijderen. Templates voor veelvoorkomende scenario's maken het opzetten binnen een paar dagen mogelijk.

    SCIM (System for Cross-domain Identity Management) is de IETF-standaard (RFC 7643 en 7644) voor automatisch user-provisioning naar SaaS-apps. Microsoft Entra ID, Okta en Google Workspace ondersteunen het allemaal. Met SCIM gekoppelde apps krijgen automatisch een nieuwe account bij een Joiner-event, en automatisch een uitschrijving bij een Leaver. Zonder SCIM doet IT dit per app handmatig, en mist standaard een paar apps.

    Voor het MKB betekent dit: in plaats van per persoon een checklist van 30 punten doorlopen, definieer je het beleid een keer en draaien Joiner- en Leaver-events grotendeels vanzelf. De tijd die je daarmee terugwint, gebruik je voor de persoonlijke kant: een goed welkom, een ordentelijk vertrekgesprek, kennisoverdracht.

    AVG en bewaartermijnen na uitdiensttreding

    De AVG noemt geen vaste bewaartermijn maar dwingt het beginsel af dat persoonsgegevens niet langer worden bewaard dan noodzakelijk. In de Nederlandse praktijk worden indicatieve termijnen gehanteerd: het meeste personeelsdossier 2 jaar na uitdiensttreding, loonbelastingverklaring en kopie ID 5 jaar, salaris- en fiscaal-relevante gegevens 7 jaar. Voor mailboxen van ex-medewerkers wordt vaak 6 maanden als richttermijn aangehouden, waarna account en data definitief gewist horen te worden. Wie alles nog 5 jaar laat staan voor de zekerheid, schendt het minimalisatieprincipe; wie alles op dag 1 verwijdert, verliest data waar misschien nog rechtmatig op gewerkt moet worden. Onze AVG-gids gaat dieper op deze afwegingen in.

    Veelgestelde vragen over IT-onboarding en offboarding

    Hoe snel moet ik het account van een ex-medewerker uitschakelen?

    Op de laatste werkdag disable je het account; binnen 24 tot 48 uur revoke je licenties en SaaS-toegang. Volledig verwijderen kan na een afgesproken termijn (vaak 30 dagen na laatste werkdag), nadat OneDrive en relevante content zijn overgedragen. Dit voorkomt direct dataverlies en sluit toegang tegelijk.

    Wat is het verschil tussen offboarding-account disable en delete in Entra ID?

    Disable schakelt inloggen direct uit, maar de gebruiker en data blijven bestaan; de manager kan via standaard-mechanismen bij OneDrive en mailbox. Delete verwijdert de user definitief, waarmee na 30 dagen ook OneDrive-data wordt opgeruimd (tenzij anders ingesteld). Best practice: disable op dag van vertrek, delete na de afgesproken nazorgperiode.

    Hebben we als MKB-bedrijf echt Lifecycle Workflows nodig?

    Vanaf rond 20 medewerkers en met meer dan 10 SaaS-apps wordt automatisering snel rendabel. Lifecycle Workflows zit in Microsoft Entra ID Governance (P2-licentie), en is een goede investering als je structureel JML wilt doen zonder ticket-stress. Voor kleinere organisaties kan een gedisciplineerde checklist met een externe partner volstaan.

    Moeten we de mailbox van een ex-medewerker bewaren?

    In Nederland geldt geen vaste termijn, maar een richtlijn van 6 maanden is gangbaar. Doel: zakelijke correspondentie kunnen raadplegen, geen privacy-schending. Na die termijn hoort de mailbox gewist te worden, tenzij er een specifieke grond is voor langer bewaren (lopend juridisch dossier).

    Hoe gaat dat met laptops die remote-medewerkers niet teruggeven?

    Documenteer vooraf in de arbeidsovereenkomst de retour-plicht, verzend een prepaid retour-doos zodra het vertrek vaststaat, en wis vanaf afstand via Intune of MDM bij vertraging. Voor structurele oplossingen werken veel MKB-bedrijven met device-as-a-service.

    Wat is het minimum dat een MKB-bedrijf moet automatiseren?

    Drie dingen: MFA verplicht via Conditional Access, Entra-groepen-gebaseerde toegang in plaats van per persoon, en een vaste offboarding-checklist (digitaal of in Lifecycle Workflows). Dit lost al rond 80 procent van de operationele en security-risico's op.

    Conclusie

    Onboarding en offboarding zijn de twee momenten waarop je IT en je bedrijf zichtbaar bij elkaar komen. Een soepele onboarding zegt iets over hoe je bedrijf werkt; een nette offboarding zegt iets over hoe serieus je security en compliance neemt. Beide processen vragen om een vaste structuur, gedragen door automatisering waar dat kan en eigenaarschap waar dat moet. Wie het slim aanpakt, wint tijd op dag 1, voorkomt incidenten op dag X plus 1, en bouwt een audittraject dat zichzelf bijhoudt.

    Wil je voor jouw MKB-bedrijf onboarding en offboarding inrichten met Microsoft Entra, SCIM-koppelingen en een werkbare checklist die HR, IT en managers samen kunnen volgen? Bel TRON Group via 085-3035869 of ga naar onze pagina IT-beheer. We koppelen je HR-systeem aan Entra, ontwerpen JML-flows die passen bij jouw teams en zetten een offboarding-proces neer dat ervoor zorgt dat een vertrokken medewerker echt vertrokken is, ook digitaal.

    IT-OnboardingOffboardingJMLMicrosoft EntraSCIMMKBIdentity ManagementAVG

    Wil je meer weten over deze IT-oplossingen?

    Neem contact op voor een vrijblijvend gesprek met onze experts

    Neem contact opBel 085 303 5869

    Meer Artikelen

    Bedrijfscontinuiteitsplan BCP opstellen voor het MKB - BIA, risicoanalyse, zes stappen voor een werkbaar plan dat NIS2 en verzekering bedient
    Cyber Security
    10 min lezen

    Bedrijfscontinuiteitsplan (BCP) Opstellen voor het MKB

    Een brand in het pand, een sleutelmedewerker die uitvalt, een leverancier die plotseling stopt, een stroomstoring van drie dagen. We leggen uit wat een bedrijfscontinuiteitsplan is, hoe het zich verhoudt tot een IT disaster recovery plan, hoe je BIA en risicoanalyse aanpakt en hoe je in zes stappen een werkbaar plan opstelt dat NIS2 en je verzekering bedient.

    BCPBedrijfscontinuiteitBusiness Continuity
    Lees meer
    SharePoint effectief gebruiken in het MKB - inrichting van hub sites, metadata, permissies en migratie van fileshare naar een werkende documentomgeving
    Microsoft 365
    10 min lezen

    SharePoint Effectief Gebruiken in het MKB: Inrichting en Best Practices

    We hebben SharePoint, maar niemand gebruikt het. Een veelgehoorde verzuchting in het MKB. We zetten op een rij wat SharePoint is, het verschil met OneDrive en Teams, welke vijf inrichtingsfouten je voorkomt, hoe je een gezonde informatie-architectuur opzet met hub sites en metadata, en hoe je in een paar weken van een ongebruikte tegel een werkende documentomgeving maakt.

    SharePointMicrosoft 365Moderne Werkplek
    Lees meer
    Bel directPlan een gesprek