Dutch IT Chanel Logo mobile
Search icon
01 juni 2026

Waarom Zero Trust nog steeds faalt zonder Identity Governance

Jarenlang is Zero Trust een van de meest besproken concepten in cybersecurity geweest. De kernprincipes zijn eenvoudig genoeg: vertrouw nooit, verifieer altijd, ga uit van een inbreuk en valideer toegang continu.

Security Zero trust
Waarom Zero Trust nog steeds faalt zonder Identity Governance image

Toch worstelen veel financiële instellingen, overheidsinstanties en organisaties met hoge zekerheidseisen er nog steeds mee om Zero Trust van strategie naar operationele werkelijkheid te vertalen.

Waarom? Omdat discussies over Zero Trust zich vaak richten op netwerken, apparaten en authenticatie, maar één fundamentele vraag vaak over het hoofd wordt gezien: Wie zou toegang moeten hebben tot wat, wanneer en waarom? Die vraag valt onder Identity Governance & Lifecycle.

Identiteit is het nieuwe beveiligingscontrolevlak geworden

Traditionele beveiligingsmodellen vertrouwden sterk op de netwerkperimeter. Tegenwoordig opereren organisaties in hybride omgevingen die cloudservices, externe werknemers, ecosystemen van derden en steeds meer geautomatiseerde infrastructuren omvatten.

De perimeter is veranderd. Identiteit staat nu centraal in vertrouwensbeslissingen.

Elk toegangverzoek – of het nu afkomstig is van een medewerker, aannemer, beheerder, applicatie of machine-identiteit – vertegenwoordigt zowel een operationele noodzaak als een potentieel risico.

De uitdaging is niet alleen om gebruikers te authenticeren. Het gaat erom ervoor te zorgen dat toegang blijft passen, continu wordt beheerd en afgestemd is op risico’s.

Dat wordt moeilijk wanneer organisaties te maken krijgen met:

  • Complexe processen voor instroom, doorstroom en uitstroom van medewerkers
  • Ophoping van privileges in de loop der tijd
  • Weesaccounts (orphaned accounts)
  • Uitbreidende niet-menselijke identiteiten (NHI)
  • Handmatige governance-workflows
  • Silo-eigenaarschap tussen business- en IT-teams
  • In veel organisaties ondermijnen deze uitdagingen stilletjes de Zero Trust-ambities.

Zero Trust kan niet afhangen van statische controles

Een veelvoorkomende misvatting is dat het implementeren van MFA of het introduceren van sterkere authenticatie automatisch gelijkstaat aan volwassenheid op het gebied van Zero Trust.
Authenticatie is belangrijk – maar het is slechts een deel van het verhaal.

Overweeg een gebruiker die van rol wisselt binnen een organisatie. De organisatie moet dan de volgende governance-vragen beantwoorden:

  • Is de vorige toegang ingetrokken?
  • Zijn de rolrechten bijgewerkt?
  • Is de bevoorrechte toegang herbeoordeeld?
  • Zijn de goedkeuringen hernieuwd?
  • Kan iemand bewijzen dat deze controles hebben plaatsgevonden? 

Zonder governance-processen die continu op de achtergrond draaien, lopen organisaties het risico blinde vlekken te introduceren die onzichtbaar blijven tot een audit – of erger, een incident. 

Zero Trust vereist meer dan verificatie. Het vereist continue controle.

Governance wordt een bedrijfsprobleem

De groeiende focus op operationele veerkracht en regelgevende eisen versnelt deze discussie. Kaders zoals DORA, NIS2, ISO 27001 en bredere governance-verwachtingen eisen steeds vaker van organisaties dat ze op bewijs gebaseerde controle tonen over toegang, identiteitsrisico’s en verantwoordelijkheid.

Dit zorgt voor een verschuiving:

  • Identity Governance is niet langer alleen een IAM-discussie.
  • Het wordt een breder bedrijfs-, risico- en operationeel probleem – met name voor kritische infrastructuursectoren zoals financiële instellingen en overheidsinstanties.

Leidinggevende teams stellen steeds vaker vragen als:

  • Wie is eigenaar van identiteitsrisico’s?
  • Hoe bewijzen we de effectiviteit van onze controles?
  • Worden onze controles continu gevalideerd?
  • Kunnen we verzekering tonen aan auditors en toezichthouders?
  • Deze vragen veranderen de manier waarop organisaties identiteitsprogramma’s benaderen.

Van governance-activiteit naar governance-intelligentie

De volgende evolutie draait misschien minder om het toevoegen van meer controles en meer om het creëren van betere signalen.

Meldingen over weesaccounts, ongebruikelijke authenticatiepatronen, mislukte certificeringen of afwijkingen in rechten kunnen vroege indicaties geven van opkomende risico’s.

Ook levenscyclusprocessen zoals het toewijzen van toegang en wijzigingen in toegang worden steeds vaker meetbare controlepunten in plaats van administratieve workflows.

Deze overgang – van governance als activiteit naar governance als intelligentie – is waar veel organisaties nu hun aandacht op richten.

Niet omdat compliance dat eist. Maar omdat de operationele werkelijkheid dat eist.

Vervolg van de discussie

Dit zijn precies de thema’s die we blijven bespreken met senior identiteits- en risicoleiders in heel Europa. Op 24 juni in Baarn organiseert RSA Security een privé Executive Lunch waar identiteits- en beveiligingsleiders samenkomen voor een peer-discussie over: Zero Trust in de praktijk: Operationaliseren van Governance & Lifecycle-controles

De discussie richt zich op praktijkervaringen rondom:

  • Zero Trust door de lens van Governance & Lifecycle
  • Gebruikersprovisioning als Zero Trust-controle
  • Governance-meldingen als continue verzekeringssignalen
  • Praktijkgerichte volwassenheid en adoptie-uitdagingen 

Geen presentaties. Geen verkooppraatjes. Alleen open discussie tussen collega’s. Want misschien is de belangrijkste vraag voor organisaties vandaag niet of ze een Zero Trust-strategie hebben. Maar of ze die kunnen operationaliseren.

Door: Frank Schubert, CTO G&L, RSA

Fundaments Overheid 360 BW + BN Dutch IT Security Day 2026 BW + BN

Dutch IT events

Event icon

Event

Dutch IT Golf Cup 2026

Event icon

Event

Dutch IT Security Day: praktische inzichten, trends en netwerken

Alle events
Fundaments Overheid 360 BW + BN

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!