Zo beheers je jouw complexe autorisatiematrix in AFAS

Stel je voor: jouw collega van compliance vraagt je om een actueel overzicht van wie toegang heeft tot welke salarisgegevens in AFAS. Je weet al voordat je het scherm opent dat het antwoord ingewikkelder is dan het zou moeten zijn. Misschien staat er nog iemand actief die al maanden op een andere functie zit. Of erger: iemand die de organisatie al verlaten heeft.

Dit is helaas geen verzonnen scenario. Ik zie het namelijk regelmatig terugkomen bij maatschappelijke organisaties die al een paar jaar met AFAS werken. Daarom deel ik in deze blog hoe je die complexe autorisatiematrix in AFAS kunt beheren

Waarom de autorisatiematrix in AFAS zo snel ondoorzichtig wordt

AFAS is een krachtig stuk software, juist omdat het zo veel met elkaar verbindt. HR, payroll, finance, projecten, declaraties: alles zit in 1 omgeving. Die integratie is een van de grootste voordelen. Maar het maakt autorisaties ook complex.

Een paar patronen die ik bij maatschappelijke organisaties keer op keer zie:

  • Functieverandering zonder rechtenwijziging.
    Een medewerker gaat van HR-medewerker naar teamleider, maar behoudt toegang tot de salarissen van haar vorige afdeling. Niemand heeft actief besloten dat dit zo blijft, het is gewoon niet aangepast.

  • Tijdelijke projectrechten die permanent worden.
    Voor een implementatietraject krijgt iemand uitgebreide toegang. Na afloop van het project verdwijnt de toegang niet automatisch.

  • Beheer op te weinig schouders.
    In de praktijk beheert bij veel organisaties één of anderhalf FTE AFAS naast andere taken. Documentatie van keuzes en workarounds ontbreekt. Als die persoon wegvalt, vertrekt de kennis mee.

  • Geen periodieke review.
    Autorisaties worden ingesteld, maar eigenlijk nooit periodiek gecontroleerd. Er is geen standaard moment om te vragen: klopt dit nog?

Het is niet de schuld van de beheerder, en ook niet van de mensen die de rechten hebben gekregen, maar wel van de structuur.

Wat staat er op het spel?

Dit is het punt waarop het gesprek vaak technisch wordt, maar dat is dus ook precies wat we hier niet gaan doen. Want wat hier op het spel staat, is niet een stuk inrichting in AFAS, het zijn 3 dingen die jou direct raken.

  1. Jouw verantwoordingsplicht bij een AVG-audit
    Voorbeeld: tijdens een AVG-audit bij een regionale zorgorganisatie trof de privacy officer 11 voormalige medewerkers en 3 mensen die van functie waren gewisseld nog steeds aan met toegang tot salarisgegevens. De HR-directeur was degene die dit aan het bestuur moest uitleggen em dis ppl het moment waarop "het stond al een tijdje op mijn lijst" geen antwoord meer is.

  2. Het risico van onbedoelde inzage in gevoelige data
    AFAS bevat gegevens die tot de meest gevoelige behoren die je organisatie verwerkt: salarisstroken, verzuimregistraties, beoordelingen, burgerservicenummers. Als iemand met onterecht toegang (ook onbedoeld) bij die data kan, ben je als organisatie in overtreding. Niet pas als er iets misgaat. Al op het moment dat de toegang bestaat zonder grondslag.

  3. Het vertrouwen van je medewerkers
    Medewerkers vertrouwen erop dat hun persoonlijke gegevens veilig zijn. Als daar twijfel over ontstaat door een incident, een melding, of een audit, is dat vertrouwen moeilijk te herstellen. Zeker in sectoren waar mensen al sceptisch zijn over administratieve systemen.

Wie is er verantwoordelijk (en wie denkt dat onterecht niet)?

Dit is de vraag die het meeste weerstand oproept.

In de praktijk zien we een patroon: de AFAS-beheerder voert uit wat gevraagd wordt, IT beheert de technische infrastructuur, HR verwerkt mutaties. En niemand heeft formeel de verantwoordelijkheid voor de vraag: klopt het totaalplaatje van wie toegang heeft tot wat?

Dat stuk is precies waar het misgaat. Want vanuit AVG-perspectief is de verantwoordelijkheid duidelijk: de verwerkingsverantwoordelijke (de organisatie) moet kunnen aantonen dat toegang tot persoonsgegevens beperkt is tot wie die toegang daadwerkelijk nodig heeft.

Dat aantonen is trouwens geen IT-taak maar een bestuurlijke en beheersmatige verantwoordelijkheid. En in de meeste maatschappelijke organisaties belandt die verantwoordelijkheid, terecht, bij HR en bedrijfsvoering.

Wat dit betekent?

  • De HR-directeur of manager bedrijfsvoering is eindverantwoordelijk voor de vraag welke medewerkers toegang nodig hebben tot welke data.
  • De AFAS-beheerder is verantwoordelijk voor de technische uitvoering daarvan.
  • Finance of control heeft belang bij het bewaken van de integriteit van financiële data in AFAS.

Iedereen heeft een rol. Niemand kan die rol bij een ander neerleggen.

Hoe breng je de huidige situatie in kaart?

Voordat je iets kunt herstellen, moet je weten wat er is. Dit klinkt vanzelfsprekend, maar in de praktijk ontbreekt dit overzicht bij de meeste organisaties die ik spreek.Een eerste inventarisatie hoeft niet perfect te zijn maar moet wel eerlijk zijn.

  1. Exporteer de huidige autorisatierollen uit AFAS
    AFAS biedt de mogelijkheid om een overzicht te exporteren van welke medewerker welke rollen heeft toegewezen gekregen.

  2. Leg dit naast de actuele functiematrix
    Vergelijk de toegewezen rollen met de huidige functies. Stel jezelf per medewerker drie vragen:
    • Is deze persoon nog in dienst?
    • Heeft deze persoon deze functie nog?
    • Past deze toegang bij wat iemand in deze functie nodig heeft?

    Drie "ja"-antwoorden: de toegang is verdedigbaar. Eén "nee": er is actie nodig.

  3. Markeer de risicovolle gevallen
    Focus eerst op de categorieën waar het risico het grootst is:
    • Oud-medewerkers met nog actieve toegang (dit moet direct worden opgelost)
    • Medewerkers die van functie zijn gewisseld en rechten hebben meegenomen
    • Mensen met toegang tot salarisgegevens, BSN-informatie of verzuimdata zonder duidelijke noodzaak

  4. Documenteer wat je vindt
    Niet om jezelf vast te leggen, maar om de start te markeren. Een eenvoudig overzicht in Excel of een Word-document is voldoende: wie heeft wat, wat klopt er niet, wat gaan we wanneer aanpassen.

    Dit overzicht is ook je bewijs van beheerste opvolging - als een auditor vraagt of je dit bewust aanpakt, heb je iets om te laten zien.

Hoe herstel je structuur in je autorisatiematrix?

Inzicht is één, herstel is de volgende stap. En dat is waar het in de praktijk vaak stopt, omdat het voelt als een groot project, terwijl de dagelijkse operatie gewoon doorgaat.

De sleutel is: begin niet met het perfecte eindplaatje. Begin met de grootste risico's.

Prioriteit 1: Verwijder toegang die er niet meer hoort te zijn
Oud-medewerkers met actieve accounts, medewerkers met rollen die niet meer passen bij hun functie - dit is niet iets om in de planning te zetten. Dit is iets om deze week te regelen.

Werk samen met de AFAS-beheerder om een shortlist te maken van accounts en rollen die direct ingetrokken kunnen worden. Geen uitgebreid traject nodig. Gewoon doen.

Prioriteit 2: Definieer rolprofielen per functiegroep
De meest duurzame aanpak is werken met standaard rolprofielen: een vaste set van autorisaties die hoort bij een functiegroep, zoals HR-medewerker, teamleider of controller. Nieuwe medewerkers krijgen het profiel van hun functie, en niet meer dan dat.

Dit vraagt een eenmalige investering in het definiëren van die profielen maar het voorkomt dat elke nieuwe situatie weer ad-hoc wordt opgelost.

Prioriteit 3: Zet een offboardingproces op voor AFAS
Een van de meest voorkomende oorzaken van privilege creep is simpelweg: het intrekken van toegang is geen vast onderdeel van het offboardingproces. Iemand vertrekt, HR verwerkt de uitdiensttreding, maar of AFAS-toegang wordt ingetrokken.

Zorg dat het intrekken van AFAS-toegang een vaste stap is in je offboarding-checklist. Niet optioneel, niet "wordt nog nagekeken", maar als de standaard.

Prioriteit 4: Gebruik AFAS-workflows voor mutatieprocessen
AFAS biedt de mogelijkheid om functionele mutaties zoals functieveranderingen te koppelen aan autorisatiewijzigingen via workflows. Dat betekent dat wanneer iemand in AFAS van functie wijzigt, de beheerder automatisch een signaal krijgt om de rollen te herzien.

Hoe voorkom je dat het opnieuw misgaat?

Opruimen is één keer werk, maar beheerbaar houden is structureel werk. De organisaties die dit goed doen, hebben niet per se betere medewerkers maar wel betere afspraken.

Voer een jaarlijkse autorisatiecheck in

Plan één moment per jaar waarop je de autorisatiematrix systematisch doorloopt. Niet alles tegelijk, maar gestructureerd. Wie heeft er toegang tot salarisgegevens? Klopt dat nog? Zijn er functieveranderingen geweest die niet zijn doorvertaald?

Maak één persoon eigenaar

Niet verantwoordelijk voor de technische uitvoering, maar wel verantwoordelijk voor de vraag of het plaatje klopt. In de meeste organisaties is dat de HR-manager, de manager bedrijfsvoering, of een combinatie van beide.

Die eigenaarsvraag is misschien het belangrijkste organisatorische besluit dat je kunt nemen op dit onderwerp.

Documenteer afwijkingen en uitzonderingen

Soms is een tijdelijke uitbreiding van rechten legitiem. Zoals voor een project, een vervanging, een implementatietraject. Dat is prima, mits je vastlegt: wat is de reden, wie heeft het goedgekeurd, en wanneer vervalt het.

Betrek de privacy officer structureel

Met de komende ontwikkelingen rondom de AI Act en het Omnibus-voorstel wordt de druk op correcte autorisaties alleen maar groter. Zeker ook nu AFAS steeds meer AI-functionaliteit integreert, zoals de Jonas-chatbot. De toegang die medewerkers hebben in AFAS, bepaalt ook wat AI-tools namens hen kunnen opvragen en verwerken.

Je privacy officer kan helpen om de periodieke review te formaliseren en te koppelen aan bredere compliance-verplichtingen.

Wat kun je vandaag al doen?

Je hoeft dit niet in één keer op te lossen. Maar je kunt vandaag beginnen.

Drie concrete stappen voor deze week:

  1. Vraag je AFAS-beheerder om een export van alle actieve gebruikers en hun rollen. Dat overzicht bestaat. Het kost een uur om te genereren. Kijk er zelf naar.

  2. Markeer de vijf meest risicovolle gevallen. Oud-medewerkers, functiewisselaars met brede toegang, medewerkers met toegang tot salarisdata zonder duidelijke noodzaak. Vijf gevallen is beheersbaar. Begin daar.

  3. Plan een gesprek met je AFAS-beheerder en privacy officer samen. Niet om te escaleren, maar om het als gezamenlijk punt op de agenda te zetten.

Wil je weten waar de echte kwetsbaarheden in jouw AFAS-inrichting zitten? Neem contact op voor een vrijblijvend gesprek.

Geschreven door:

Rutger van de Ketterij
In 2015 maakte Rutger kennis met AFAS. Een jaar later behaalde Rutger zijn IVA-diploma door zijn afstudeerstage bij AFAS met een mooie beoordeling af te ronden, waarna hij in een rap tempo is doorgegroeid naar trainee consultancy, consultant en projectleider tot hij in juli 2021 samen met Rik Rhoost heeft opgericht. Rutger focust zich vooral op de projecten in de (semi)overheid. Enkele organisaties die al gebruik hebben gemaakt van Rutgers expertise: Rijksuniversiteit Groningen, Gemeente Amsterdam, Stichting Jeugdformaat, Dijklander Ziekenhuis en Zorggroep Alliade.
Foto van Rutger van de Ketterij

Hulp nodig met het implementeren of optimaliseren van AFAS?

Neem contact op