Onboarding- en offboardingbeleid

Het onboarding- en offboardingbeleid (document P07) biedt een uitgebreid, gestandaardiseerd kader voor het beheren van de volledige levenscyclus van personeelstoegang, van onboarding en interne overdrachten tot beëindiging of afloop van een contract. Ontworpen voor alle gebruikerstypen, waaronder werknemers, contractanten, consultants, leveranciers en derden, dwingt het tijdige en veilige toegangsverlening en intrekking van toegangsrechten af voor zowel fysieke toegang als logische toegang, en zorgt het ervoor dat elke overgang wordt afgehandeld met de juiste combinatie van vertrouwelijkheid, verantwoordingsplicht en activacontrole. Dit beleid is organisatiebreed van toepassing en verplicht dat alle afdelingen, Human Resources (HR), IT, Facilitair en assetmanagement, Security, management, Juridische zaken en compliance een gedefinieerde rol spelen in onboarding- en offboardingprocessen. Het schrijft gedetailleerde werkstromen voor: onboarding omvat antecedentenonderzoeken, geheimhoudingsovereenkomsten en beleidskennisname, beveiligingsbewustzijnstraining en toewijzing volgens het principe van minimale privileges, beoordeeld door verantwoordelijke managers; bij interne overdrachten triggert het risicogebaseerde toegangsbeoordeling en zorgt het ervoor dat alle eerdere systeemrechten worden afgesloten voordat nieuwe toegang wordt goedgekeurd; en het beëindigingsproces vereist dat alle toekenning van toegangsrechten wordt ingetrokken (gebruikers met hoge bevoegdheden binnen vier uur), activa worden verzameld, beleid opnieuw wordt bevestigd en alle gerelateerde documentatie wordt bijgehouden voor auditeerbaarheid. De doelstellingen van het beleid gaan verder dan beheer van gebruikerstoegang. Het beoogt de vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfsmiddelen van de organisatie te behouden tijdens personeelswisselingen, en ondersteunt audittrails en juridische verdediging door grondige documentatie te vereisen in HRIS, Identiteits- en toegangsbeheer (IAM) en assetregisters. Procedures voor terugname en validatie van activa worden gespecificeerd, inclusief IT-controles om resterende gevoelige gegevens te verwijderen en facilitaire beheersmaatregelen voor toegangsbadges, apparaten en sleutels. Afhandeling van uitzonderingen is strikt beheerst: afwijkingen moeten risicobeoordeeld, gedocumenteerd en onderworpen zijn aan periodieke beoordelingen door topmanagement (CISO of HR-directeur), met restrisico’s die worden gedocumenteerd en elke 90 dagen of bij gewijzigde omstandigheden worden beoordeeld. In lijn met meerdere internationale raamwerken, waaronder ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, EU GDPR, NIS2 en DORA, zorgt het beleid ervoor dat organisatiepraktijken alle belangrijke wettelijke verplichtingen afdekken. Het integreert bepalingen uit deze normen over competentie, toegangscontrole, principe van minimale privileges, screening, logging en monitoring en operationele governance. Vereisten voor interne audit en procesmonitoring zijn ingebouwd, met toezicht door de ISMS-manager en mechanismen voor het klokkenluidersmechanisme. Overtredingen leiden tot disciplinaire en juridische gevolgen, met escalatie naar toezichthoudende autoriteiten wanneer persoonsgegevens of gereguleerde gegevens betrokken zijn. Ook het onderhoud van het beleid is robuust: het verplicht jaarlijkse herzieningen, updates na grote wijzigingen in beveiligings- of HR-systemen, incidentgedreven updates en archivering van verouderde versies. Procedures voor documentbeheer behouden wijzigingshistorie en eigenaarschapsregistraties. Dit verbindt operationeel risicomanagement met naleving en verantwoordingsplicht en vormt een kritisch onderdeel van de geïntegreerde beheersingsomgeving van de organisatie via directe koppelingen met gerelateerde beleidsdocumenten (beveiliging, toegangscontrole, gebruikersaccounts, risicomanagement, beleid inzake aanvaardbaar gebruik).