Wat gebeurt er met uw gegevens wanneer een werknemer vertrekt?

Wat gebeurt er met uw gegevens wanneer een werknemer vertrekt? Gebrekkige IT-offboarding creëert reële risico's op het gebied van beveiliging en compliance. Dit is wat elke mkb-onderneming moet doen.
Wat gebeurt er met uw gegevens wanneer een werknemer vertrekt?
Wat gebeurt er met uw gegevens wanneer een werknemer vertrekt? 2

Offboarding is een IT-risico dat de meeste bedrijven negeren

Wanneer een werknemer uw bedrijf verlaat, komt er veel op u af. Overdrachten, de laatste salarisadministratie, het inleveren van apparatuur. Maar een van de belangrijkste — en meest over het hoofd geziene — vragen is: wat gebeurt er met uw gegevens wanneer zij de deur uitlopen?

Het antwoord is voor de meeste mkb-bedrijven zonder een duidelijk offboardingproces ongemakkelijk. Oud-werknemers kunnen dagen, weken of zelfs maanden na hun vertrek nog steeds toegang hebben tot zakelijke e-mail, cloudbestanden of bedrijfssystemen. In sommige gevallen nemen ze gevoelige gegevens met zich mee — opzettelijk of onbedoeld. In andere gevallen wordt een oud account een eenvoudige toegangspoort voor een cyberaanval.

Data-offboarding is niet alleen een beveiligingskwestie. Het heeft ook gevolgen voor compliance, het vertrouwen van klanten en de bedrijfscontinuïteit. Dit is wat u moet weten — en wat u eraan kunt doen.

De risico’s van gebrekkige IT-offboarding

Blijvende toegang tot bedrijfssystemen

Elke werknemer verzamelt gedurende de tijd bij uw bedrijf toegangsrechten. E-mail, cloudopslag, CRM, boekhoudsoftware, projectmanagementtools, interne dashboards. Als hun accounts niet direct bij vertrek worden gedeactiveerd, blijft die toegang actief. Een ontevreden oud-werknemer — of een hacker die hun oude inloggegevens bemachtigt — kan deze gebruiken om gegevens te lezen, te kopiëren of te verwijderen, lang nadat de persoon is vertrokken.

Dit is een van de meest voorkomende en vermijdbare IT-beveiligingsrisico’s voor groeiende bedrijven. Toch hebben veel mkb-bedrijven geen formeel proces voor het intrekken van de toegang wanneer iemand vertrekt.

Gegevens die het pand verlaten

Werknemers gaan dagelijks om met gevoelige informatie: klantgegevens, prijsstellingen, contracten, productroadmaps, financiële overzichten. Zonder de juiste controles kan een vertrekkende werknemer op de laatste dag bestanden naar een persoonlijke schijf kopiëren, e-mails doorsturen naar een privéaccount of een CRM-export downloaden — en er is mogelijk geen enkel bewijs dat dit is gebeurd.

Dit is niet altijd kwaadwillig. Soms nemen mensen documenten mee waaraan ze hebben gewerkt omdat ze deze beschouwen als onderdeel van hun professionele portfolio, zonder te beseffen dat ze vertrouwelijke bedrijfsinformatie bevatten. Maar of het nu opzettelijk is of niet, het risico voor uw bedrijf is hetzelfde.

Compliance en AVG-risico’s

Als uw bedrijf in Europa actief is of gegevens van Europese klanten verwerkt, is de AVG (GDPR) van toepassing op de manier waarop u werknemersgegevens beheert — ook tijdens de offboarding. U heeft verplichtingen rondom het bewaren, verwijderen en beveiligen van persoonsgegevens. Het niet correct offboarden van de accounts en gegevens van een werknemer kan leiden tot compliance-risico’s, vooral als een datalek later te herleiden is naar een niet-ingetrokken account.

Verweesde accounts als aanvalsvectoren

Oude accounts die door niemand worden gemonitord, zijn aantrekkelijke doelwitten voor aanvallers. Omdat de oud-werknemer niet meer inlogt, kan ongebruikelijke activiteit op het account lange tijd onopgemerkt blijven. Dit is een van de manieren waarop hackers kleine bedrijven targeten — door een vergeten account te vinden, het wachtwoord te kraken of te bemachtigen via phishing, en dit te gebruiken als voet aan de grond binnen uw systemen.

Multifactorauthenticatie helpt, maar alleen als het account nog actief is. De enige betrouwbare oplossing is om accounts direct en permanent te deactiveren.

Hoe goede IT-offboarding eruitziet

Een goed IT-offboardingproces hoeft niet ingewikkeld te zijn. Het moet consistent zijn — elke keer toegepast, voor elke werknemer, ongeacht de omstandigheden van hun vertrek. Dit is wat het proces moet omvatten:

Stap 1: Start het proces op de laatste werkdag

IT-offboarding moet worden gestart op — of idealiter vóór — de laatste werkdag van de werknemer. Wacht niet tot HR al het papierwerk heeft afgerond. Vooral het intrekken van de toegang moet op een vastgesteld tijdstip gebeuren, meestal aan het einde van de laatste werkdag of, in gevoelige gevallen, onmiddellijk bij vertrek.

Stap 2: Trek de toegang tot alle systemen in

Loop elk systeem na waar de werknemer toegang toe had en deactiveer of verwijder hun account. Dit omvat:

  • E-mail en agenda (Microsoft 365 of Google Workspace)
  • Cloudopslag (OneDrive, SharePoint, Google Drive)
  • CRM- en verkooptools
  • Boekhoud- en financiële software
  • Projectmanagement- en samenwerkingstools
  • Alle SaaS-applicaties van derden die gekoppeld zijn aan hun zakelijke e-mail
  • VPN- en externe toegangscodes
  • Fysieke toegangscodes of druppels, indien van toepassing

Als uw bedrijf een gecentraliseerde identity provider gebruikt zoals Microsoft Entra ID (voorheen Azure Active Directory), zal het uitschakelen van het account daar automatisch de toegang tot alle gekoppelde systemen intrekken — wat een van de sterkste argumenten is voor het gebruik van single sign-on binnen uw softwarepakket. Dit is het soort structurele beslissing dat thuishoort in een doordachte IT-roadmap.

Stap 3: Bewaar en herwijs belangrijke gegevens

Zorg er vóór het deactiveren van een account voor dat belangrijke bedrijfsgegevens behouden blijven en worden overgedragen. Dit omvat:

  • E-mails en agendageschiedenis doorsturen naar of toegankelijk maken voor een manager
  • Bestanden in persoonlijke cloudopslag verplaatsen naar een gedeelde locatie
  • Eigendom van documenten, taken en projecten overdragen aan de juiste collega’s

Deze stap waarborgt de bedrijfscontinuïteit en zorgt ervoor dat het vertrek van de werknemer geen gaten slaat in de aanwezige kennis of actieve projecten. Het sluit direct aan op hoe goed uw IT-onboardingproces is gestructureerd — bedrijven die goed onboarden, hebben de neiging ook goed te offboarden, omdat rollen en gegevenseigendom vanaf de eerste dag duidelijk zijn gedefinieerd.

Stap 4: Neem bedrijfsapparatuur in

Laptops, telefoons, tablets en alle andere apparaten die eigendom zijn van het bedrijf moeten worden ingeleverd, gewist en opnieuw ingezet of buiten gebruik gesteld. Als een apparaat niet fysiek kan worden ingeleverd — bijvoorbeeld als een externe medewerker het tijdelijk houdt — moet het op afstand worden gewist vóór elk nieuw gebruik. Tools zoals Microsoft Intune of Apple Business Manager maken het beheer en wissen van apparaten op afstand eenvoudig.

Als uw bedrijf Windows Autopilot gebruikt, is het terughalen en opnieuw configureren van een apparaat na het vertrek van een werknemer aanzienlijk eenvoudiger dan handmatig beheer.

Stap 5: Wijzig gedeelde wachtwoorden en inloggegevens

Veel mkb-bedrijven gebruiken gedeelde accounts voor bepaalde tools — een gedeelde social media-login, een gedeeld admin-account, een gedeeld e-mailadres. Als de vertrekkende werknemer toegang had tot een van deze accounts, moeten de inloggegevens onmiddellijk worden gewijzigd. Dit is ook een goed moment om te controleren of gedeelde accounts überhaupt nodig zijn, of dat individuele accounts met de juiste machtigingen veiliger zouden zijn.

Stap 6: Documenteer uw acties

Houd een logboek bij van elke actie die tijdens de offboarding is ondernomen: welke accounts zijn gedeactiveerd, wanneer, door wie, en welke gegevens zijn overgedragen of verwijderd. Deze documentatie is waardevol als er later een geschil ontstaat en kan vereist zijn voor compliance-doeleinden onder de AVG of andere kaders voor gegevensbescherming.

Offboarding opnemen in uw IT-beleid

Bedrijven die het vertrek van werknemers soepel afhandelen, zijn de bedrijven die offboarding behandelen als een standaardproces in plaats van een reactieve actie. Dat betekent dat u een schriftelijke IT-offboarding-checklist heeft, duidelijke verantwoordelijkheden toewijst voor elke stap en dit integreert met uw HR-proces, zodat IT tijdig op de hoogte wordt gesteld van vertrekkende medewerkers.

Als u dit momenteel niet heeft geregeld, is het de moeite waard om dit op te bouwen naast uw bredere IT-beleid. Volgens richtlijnen van het Britse National Cyber Security Centre behoren een snelle deactivering van accounts en het terughalen van apparatuur tot de meest effectieve acties die een bedrijf kan ondernemen om interne risico’s te beperken — en ze kosten zeer weinig om correct te implementeren.

Als u hulp wilt bij het opzetten van een IT-offboardingproces dat uw bedrijf beschermt, of als u er niet zeker van bent of oud-werknemers nog steeds toegang hebben tot uw systemen, neem dan contact op met ons team voor een heldere toegangscontrole.

Belangrijkste punten

  • Het niet offboarden van werknemers uit IT-systemen is een van de meest voorkomende en vermijdbare beveiligingsrisico’s voor het mkb.
  • Blijvende accounts, ongecontroleerde gegevensoverdrachten en verweesde inloggegevens creëren allemaal reële risico’s.
  • Een goed IT-offboardingproces omvat het intrekken van toegang, het bewaren van gegevens, het terughalen van apparatuur en documentatie.
  • Gecentraliseerd identiteitsbeheer (zoals Microsoft Entra ID) maakt het intrekken van toegang sneller en betrouwbaarder.
  • Offboarding moet een standaard, gedocumenteerd proces zijn — niet iets dat elke keer dat iemand vertrekt wordt geïmproviseerd.

Veelgestelde vragen

Wanneer moet u de IT-toegang van een werknemer intrekken als deze vertrekt?

Onmiddellijk — idealiter aan het einde van de laatste werkdag van de werknemer, of eerder in gevoelige gevallen. Elke dag dat een account actief blijft nadat iemand is vertrokken, is een onnodig beveiligingsrisico.

Is de offboarding van werknemers een AVG-kwestie?

Ja. Onder de AVG heeft u verplichtingen over hoe u persoonsgegevens beheert, bewaart en verwijdert — inclusief gegevens in werknemersaccounts. Het niet correct deactiveren van accounts en beheren van gegevens na het vertrek van een werknemer kan leiden tot compliance-risico’s.

Hoe zorg ik ervoor dat ik geen belangrijke gegevens verlies wanneer een werknemer vertrekt?

Stuur vóór het deactiveren van een account belangrijke e-mails door of archiveer deze, verplaats bestanden van persoonlijke opslag naar gedeelde locaties en draag het eigendom van documenten en projecten over aan relevante collega’s. Documenteer elke stap voor uw administratie.

Kunnen accounts van oud-werknemers door hackers worden gebruikt?

Ja. Oude, niet-gemonitorde accounts zijn aantrekkelijke doelwitten voor aanvallers omdat ongebruikelijke activiteit lange tijd onopgemerkt kan blijven. Het direct deactiveren van accounts wanneer werknemers vertrekken is een van de meest effectieve manieren om dit risico te beperken.

Wat is de beste tool voor het beheren van de IT-offboarding van werknemers?

Microsoft Entra ID (voorheen Azure Active Directory) is de meest effectieve oplossing voor mkb-bedrijven die al Microsoft 365 gebruiken. Het uitschakelen van een account daar trekt automatisch de toegang in voor alle gekoppelde applicaties, wat het proces snel en betrouwbaar maakt.

Heeft dit artikel je op ideeën gebracht?

Ontdek wat we voor je kunnen betekenen en plan vandaag nog een gesprek in.

Over EvolvingDesk: IT moeiteloos maken

We maken ingewikkelde IT simpel en effectief voor jouw bedrijf. Of het nou gaat om clouddiensten, maatwerkapplicaties of netwerkbeheer, EvolvingDesk combineert de nieuwste technologie met persoonlijke service. Zo blijft jouw bedrijf veilig, verbonden en klaar voor groei. IT zoals het hoort: lekker simpel.

Wat doen wij?

Bij EvolvingDesk leveren we praktische IT-oplossingen die passen bij hoe jouw bedrijf werkt. Van software op maat en betrouwbare bedrijfs-wifi tot slimme beveiliging en hands-on ondersteuning, we zorgen dat je technologie soepel draait. Zo kun jij je focussen op wat echt belangrijk is.

Contact-Microsoft

Softwareontwikkeling

Hosting & cloud

Bewakingscamerasystemen

Netwerk & WiFi

IT-Ondersteuning

VoIP & Mobiele telefonie

E-Mail & Werkplek

Kassa