Neem contact op

Wat is Identity & Access Management (IAM)?

Identity and Access Management (IAM) is het geheel van mensen, processen en technologieën dat ervoor zorgt dat de juiste gebruikers en machines toegang krijgen tot de juiste systemen en data, op het juiste moment en met de juiste reden, terwijl ongeautoriseerde toegang wordt voorkomen.

In de kern beschrijft IAM hoe identiteiten binnen de IT-omgeving van een organisatie worden aangemaakt, geauthenticeerd, geautoriseerd en beheerd. Het beantwoordt een eenvoudige maar bedrijfskritische vraag: wie of wat mag toegang krijgen tot welke resources, onder welke voorwaarden, en hoe wordt die beslissing afgedwongen en vastgelegd?

IAM staat centraal in moderne IT omdat identity het primaire controlepunt voor toegang is geworden. Medewerkers werken op afstand, applicaties zijn verspreid over meerdere clouds en partners of andere third parties hebben gecontroleerde toegang nodig tot gedeelde systemen. In deze context zijn toegangsbeslissingen niet langer gebaseerd op netwerklocatie, maar op identity, context en policy.

Waarom hebben organisaties IAM nodig?

De meeste organisaties implementeren IAM om twee problemen tegelijk aan te pakken: het verlagen van securityrisico’s en het verminderen van operationele frictie.

Vanuit securityperspectief is identity een belangrijk aanvalsvector. Technieken zoals phishing, credential stuffing, token theft en session hijacking worden vaak gebruikt om eerste toegang te krijgen. Zodra een aanvaller controle heeft over een geldige identity, probeert die de toegang uit te breiden, lateraal te bewegen en privileges te verhogen. IAM beperkt dit door sterkere authentication toe te passen, least privilege af te dwingen en ervoor te zorgen dat wijzigingen in toegang gecontroleerd en traceerbaar zijn.

Vanuit operationeel perspectief leidt gebrekkig identity management tot inefficiëntie. Trage onboarding, dubbele accounts in SaaS-applicaties, inconsistente goedkeuringsprocessen en handmatige access requests leggen een voortdurende druk op IT- en securityteams. Zonder een duidelijke lifecycle stapelt toegang zich op. Vertrokken medewerkers behouden langer dan bedoeld toegang, rolwijzigingen worden niet overal doorgevoerd en tijdelijke uitzonderingen worden ongemerkt permanent.

IAM pakt beide uitdagingen aan door consistente antwoorden te geven op vier vragen:

  1. Wie of wat vraagt toegang aan?
  2. Tot welke resources wordt toegang gevraagd?
  3. Onder welke voorwaarden mag toegang worden verleend?
  4. Wat moet worden gelogd voor audit en onderzoek?

Wat IAM in de praktijk omvat

IAM wordt vaak omschreven als een framework in plaats van één product. Een volwassen IAM-capability bestaat meestal uit een aantal nauw samenhangende functies.

Authenticatie

Authenticatie is het proces waarbij een identity zich bij het inloggen bewijst. Dit omvat vaak multi-factor authenticatie (MFA), verificatie zonder wachtwoord methoden en risk-based controles. Veel organisaties nemen ook device signals mee, zodat toegangsbeslissingen rekening houden met de vraag of een device beheerd en compliant is.

Authorisatie and access control

Authorisatie bepaalt wat een gebruiker of machine mag doen nadat authenticatie heeft plaatsgevonden. Dit omvat role-based access control (RBAC), least privilege en steeds vaker attribute-based access control (ABAC), waarbij beslissingen worden genomen op basis van context zoals rol, locatie, device posture of de gevoeligheid van een applicatie.

Single Sign-On (SSO) en federation

SSO centraliseert authentication en access policies over meerdere applicaties. Federation maakt het mogelijk om identities over organisatiegrenzen heen te vertrouwen. Samen beperken deze wachtwoordwildgroei (password sprawl) en zorgen ze voor consistente handhaving van beleid over zowel SaaS- als interne applicaties.

Provisioning en lifecycle

Lifecycle management zorgt ervoor dat identities en toegangsrechten worden aangemaakt, aangepast en verwijderd wanneer mensen in dienst komen, van rol veranderen of de organisatie verlaten. Betrouwbare joiner-, mover- en leaver-processen verkleinen de kans op achtergebleven toegangsrechten (orphaned access) en zorgen dat rechten blijven aansluiten op de actuele functie.

Zichtbaarheid en auditability

IAM-systemen loggen authentication-events, access requests, goedkeuringen en wijzigingen. Deze zichtbaarheid ondersteunt securityonderzoek en levert auditbewijs voor compliance. Duidelijke terminologie, eigenaarschap en procesontwerp zijn hierbij net zo relevant als de technologie zelf.

Placeholder for Cybersecurity engineer working on IAMCybersecurity engineer working on IAM

Identity as a Service (IDaaS)

Identity as a Service (IDaaS) is een cloudgebaseerd leveringsmodel voor IAM. In plaats van zelf identity-infrastructuur te beheren, nemen organisaties IAM-functionaliteit zoals authentication, SSO, federation en conditional access af als een cloudservice.

IDaaS sluit goed aan op moderne omgevingen waarin gebruikers zich direct authenticeren bij SaaS- en cloudplatforms. Het maakt opschalen eenvoudiger en zorgt voor centrale handhaving van toegangsbeleid, terwijl het samenwerkt met andere identity-oplossingen zoals identity governance en privileged access management.

IAM, PAM, and IGA: identity als control plane

IAM staat zelden op zichzelf. In de meeste omgevingen werkt het samen met Privileged Access Management (PAM) en Identity Governance and Administration (IGA).

  • IAM richt zich op de manier waarop identities zich authenticeren en toegang aanvragen, en hoe toegang wordt afgedwongen bij het inloggen en tijdens gebruik.
  • PAM richt zich op geprivilegieerde toegang, zoals beheerdersrollen en rechten met grote impact, waarbij misbruik of compromittering directe en vergaande gevolgen kan hebben.
  • IGA richt zich op governance, waaronder toegangsgoedkeuringen, periodieke reviews, functiescheiding en auditability over de tijd.

Deze domeinen worden vaak ondersteund door verschillende tools, maar moeten als geheel samenwerken. Als ze los van elkaar opereren, ontstaat inconsistente toegang, nemen uitzonderingen toe en wordt auditing arbeidsintensiever. Wanneer ze op elkaar zijn afgestemd, zijn toegangsbeslissingen duidelijker, beter beheersbaar en eenvoudiger te onderbouwen.

Waarom IAM nu relevant is

IAM is niet langer alleen een ondersteunend systeem voor authenticatie. Nu identity de primaire grens voor toegang vormt, bepaalt IAM hoe gebruikers, machines en applicaties met systemen en data omgaan binnen cloud- en hybride omgevingen.

Organisaties die IAM benaderen als een fundamentele capability krijgen beter inzicht in toegangscontrole, bereiken sterkere securityresultaten en verlagen de operationele belasting. Naarmate identity een steeds grotere rol speelt in toegangsbeslissingen, blijft IAM een centraal onderdeel van het beveiligen en beheren van moderne IT-omgevingen.

Identitiy & Access Management

Veelgestelde vragen

Nee. SSO is één capability binnen IAM. IAM omvat ook lifecycle management (joiner, mover, leaver), access policies, governance, controls voor geprivilegieerde toegang en logging.

IAM richt zich op authentication en het afdwingen van toegang. Het bepaalt hoe identities inloggen en hoe toegangsbeslissingen technisch worden toegepast.

IGA richt zich op governance. Dit omvat goedkeuringsprocessen, periodieke access reviews, functiescheiding, audit evidence en het over de tijd correct houden van rechten en entitlements.

PAM is een gespecialiseerd onderdeel van identity security dat zich richt op geprivilegieerde accounts en rollen. Het beheert privilege elevation, admin-sessies en rechten met hoge impact, meestal met strengere controles en uitgebreidere monitoring dan bij standaard gebruikers­toegang.

Non-human identities zijn identities die niet aan personen gekoppeld zijn, zoals service accounts, API keys, cloud workload identities, CI/CD-identities en automatisering. IAM hoort deze net zo goed te beheren, met duidelijk eigenaarschap, least privilege, regelmatige rotatie en sterke logging.

Een gecentraliseerde identity, MFA voor alle gebruikers, conditional access voor applicaties met verhoogd risico, duidelijke joiner-, mover- en leaver-processen en sterke controls voor geprivilegieerde toegang. Verwijder waar mogelijk permanente adminrechten en regel privilege elevation gecontroleerd.

Kom in contact met onze experts

Ons team staat voor je klaar

Wil je meer weten over dit onderwerp? Laat een bericht of je nummer achter en we bellen je terug. We helpen je graag verder.

Artikelen

Meer updates

Placeholder for Hetportretbureau HR T1 A0032 1Hetportretbureau HR T1 A0032 1

NGFW Firewall

Top 5 NGFW-oplossingen voor 2026

Krijg inzicht in de rol van NGFW’s in 2026 en ontdek hoe toonaangevende firewallplatformen zero trust, hybride cloud security en het beperken van risico’s ondersteunen binnen moderne organisaties.

Enrico Bottos
Placeholder for Enrico BottosEnrico Bottos

Enrico Bottos

7 min. leestijd
Placeholder for Gevoelige data beveiligen in onderzoeksnetwerkenGevoelige data beveiligen in onderzoeksnetwerken
Nokia

Netwerk security

Het beveiligen van gevoelige data in onderzoeksnetwerken

Hoe research- en onderwijsnetwerken gevoelige data beveiligen met line-rate encryptie en realtime DDoS-mitigatie, zonder impact op prestaties of betrouwbaarheid.

Michel Geensen
Placeholder for Michel-GeensenMichel-Geensen

Michel Geensen

3 min. leestijd
Placeholder for Man sitting behind screen reading about cybersecurity in 2026Man sitting behind screen reading about cybersecurity in 2026

Cybersecurity

Cybersecurity in 2026: Top 10 trends en uitdagingen

Cybersecurity trends voor 2026 gaan over Digitale soevereiniteit, quantum security, SSE en identity security, detectie, compliance en het beheren van vertrouwen in complexe omgevingen.

Richard Landman
Placeholder for Richard landman 1024x1024Richard landman 1024x1024

Richard Landman

4 min. leestijd
 Alle artikelen