Sluiten
Zoeken
Vraag een demo aan
Vraag een demo aan
Jan Martijn Tallen 5/05/2026 13 min read

Wat betekent Separation of Duties en waarom mislukt het?

Het begint vaak met een klein verzoek. Een zieke collega, een naderende deadline of een onderbezet team tijdens de zomervakantie. 'Kunnen we voor deze ene keer een uitzondering maken op de functiescheiding?' Als IT-manager of CISO zeg je bijna altijd ja, want de business mag niet stilstaan. Maar wist je dat die ene 'ja' vaak het begin is van de uitholling van je Separation of Duties (SoD) beleid? Het beleid blijft op papier wel bestaan, maar wordt in de praktijk ondermijnd. 

In dit artikel duiken we in de wereld van SoD: waarom het een hoeksteen is van frameworks als ISO 27001 en de BIO, maar waarom het in de dagelijkse praktijk misgaat. 

 

Wat betekent Separation of Duties  en waarom mislukt het in de praktijk?

Stelling: De dag dat jouw organisatie haar eerste SoD-uitzondering goedkeurde, begon het principe zijn waarde te verliezen.

Dat klinkt hard. Maar kijk eens naar de praktijk in jouw organisatie. Een medewerker is ziek. Een collega vertrekt. Het is zomer en drie mensen zijn tegelijk op vakantie. En dan wordt aan jou gevraagd: kunnen we tijdelijk even een uitzondering maken op die strikte functiescheiding? Het antwoord is bijna altijd ja. De druk op de dagelijkse operatie is simpelweg te groot om processen te laten stagneren.

En zo sluipt er iets in dat begon als een principiële beveiligingsmaatregel: de gewoonte van de uitzondering.

Maar is dat erg? Of is SoD van origine misschien een te rigide concept voor de dynamische werkelijkheid van jouw moderne organisatie? En wat betekent het 4-ogen principe in dit verhaal  is dat voor jou een alternatief, een aanvulling, of iets heel anders?

 

Wat is Separation of Duties eigenlijk?

Separation of Duties (SoD) houdt in dat geen enkele medewerker in zijn eentje een kritiek proces volledig kan doorlopen. In de wereld van risk management en IT-security is dit principe ook bekend onder de synonieme term Segregation of Duties. Of je het nu hebt over separation of segregation, de kern blijft hetzelfde: functiescheiding.

De gedachte is simpel: als jij een betaling kunt aanmaken én goedkeuren én verwerken, heb je in je eentje de middelen om fraude te plegen en dit vervolgens te verbergen. Door die stappen te verdelen over verschillende personen of rollen, maak je misbruik structureel lastiger én maak je fouten sneller zichtbaar.

Voor jouw organisatie is SoD een fundamentele maatregel binnen identity governance en een harde eis vanuit de ISO 27001, SOX en de BIO. De cruciale vraag is echter niet of het beleid op papier staat, maar of het binnen de dagelijkse praktijk van de organisatie ook echt standhoudt.

 

Van kasboek tot moderne regelgeving: waar komt SoD vandaan? 

Separation of Duties is geen moderne IT-vinding. Het principe is al eeuwenoud en komt uit de wereld van de boekhouding. Vroeger wist men namelijk al: je laat nooit één persoon tegelijkertijd het geld ontvangen, het tellen én het kasboek controleren. Als iemand al die rollen heeft, is het wel erg makkelijk om ongemerkt geld in eigen zak te steken.

De stap naar de digitale wereld

Deze logica het scheiden van bewaren, registreren en goedkeuren werd in 1992 officieel vastgelegd in internationale standaarden (zoals COSO). Maar de echte grote verschuiving naar IT kwam pas na 2002. Na enorme boekhoudschandalen bij bedrijven als Enron, dwong de Amerikaanse Sarbanes-Oxley Act (SOX) bedrijven om hun controlesysteem aan te scherpen. Functiescheiding in IT-systemen werd vanaf dat moment de norm.

Niet langer vrijblijvend

Inmiddels kun je niet meer om SoD heen. Het is een vast onderdeel van bijna elk beveiligingskader waar jouw organisatie mee te maken krijgt, zoals:

  • ISO 27001: De internationale standaard voor informatiebeveiliging.
  • BIO 2: De basisbeveiliging voor de overheid.
  • Sectorregels: Specifieke wetten voor de zorg of de financiële wereld.

Krijgt jouw organisatie te maken met privacywetgeving, overheidscontroles of financiële audits? Dan is SoD geen vriendelijk advies meer, maar een harde verplichting.

Hoe werkt SoD in de praktijk?

De kern van SoD is simpel: je knipt een belangrijk proces op in stukjes. Geen enkele medewerker mag alle stappen alleen uitvoeren.

Denk aan voorbeelden uit jouw dagelijkse praktijk:

  • Een betalingsopdracht aanmaken én diezelfde opdracht goedkeuren.
  • Een nieuw beheerdersaccount aanmaken én dat account direct zelf activeren.

 

De twee vormen van functiescheiding

In de praktijk zie je meestal twee manieren om dit te regelen:

  • Statische SoD (Vooraf regelen)

Dit is de meest voorkomende vorm. Je legt vooraf vast dat bepaalde rollen niet bij  dezelfde persoon mogen horen. Als je Rol A hebt, kun je Rol B simpelweg niet krijgen.

Het nadeel: Het systeem kijkt alleen naar wat je hebt (je rechten), maar houdt geen rekening met wat je op dat moment daadwerkelijk nodig hebt voor je werk.

  • Dynamische SoD (Tijdens het werk regelen)

Dit is een slimmere aanpak. Iemand kan technisch gezien wel beide rechten hebben, maar mag ze niet in dezelfde actie gebruiken.

Het voordeel: Het systeem grijpt pas in op het moment van de handeling. Dit biedt veel betere bescherming in de echte wereld, omdat het meekijkt met de uitvoering.

Voorkomen of achteraf signaleren?

Ten slotte maken we onderscheid tussen hoe je ingrijpt: 

  • Preventief (De blokkade): Het systeem houd je tegen voordat er iets misgaat. De toegang wordt simpelweg geweigerd.

  • Detectief (De controle): Je staat de actie toe, maar het systeem signaleert afwijkingen achteraf via logs en monitoring.

Een volwassen organisatie kiest voor een combinatie: blokkeren waar het moet, en een vangnet van controle waar volledige blokkade niet werkbaar is.

De achilleshiel: wanneer de uitzondering de norm wordt

Hier wordt het vaak lastig. De werkelijkheid in jouw organisatie is namelijk een stuk chaotischer dan de mooie schema’s van een auditor. Vakantie, ziekte of een plotseling project: er is altijd wel een reden waarom de normale regels even niet uitkomen.

De oplossing? Een uitzondering. "Voor deze ene keer," zeg je dan. Met de beste bedoelingen en keurig vastgelegd.

Het echte probleem

Een uitzondering maken is niet het probleem. Het gaat mis bij wat er daarna (niet) gebeurt. Een veilige uitzondering heeft namelijk drie dingen nodig:

  • Een einddatum: Wanneer stopt de uitzondering automatisch?
  • Extra controle: Wie kijkt er extra scherp mee nu de normale regels niet gelden?
  • Toezicht: Wie checkt of de afspraken ook echt worden nagekomen?

De "vergeten" uitzondering

In de praktijk krijgt iemand tijdelijk extra rechten, maar vergeet iedereen de tijd. Zes maanden later staan die rechten nog steeds open. Op dat moment is je beveiligingsbeleid alleen nog een papieren werkelijkheid; een vinkje voor de accountant.

Dit is gevaarlijk. SoD als simpele "checkbox" geeft je een vals gevoel van veiligheid. Je denkt dat je de risico’s beheerst, terwijl de achterdeur in werkelijkheid wagenwijd openstaat.

 

Het 4-ogen principe: vervanging of aanvulling?

Omdat SoD in de praktijk soms lastig is, vragen veel organisaties zich af: is het 4-ogen principe niet gewoon een beter alternatief?

Het 4-ogen principe (ook wel dual control) is simpel: voor een belangrijke handeling zijn altijd twee mensen nodig. De één start de actie, de ander keurt deze goed. Denk aan een systeembeheerder die een wijziging aanvraagt, waarna een tweede beheerder deze pas doorvoert na een extra check.

Wat is het verschil?

Er is vaak verwarring, maar eigenlijk is het heel logisch:

  • SoD is de brede regel: "Niemand mag in zijn eentje de volledige controle hebben over een kritiek proces."
  • Het 4-ogen principe is een specifieke manier om die regel uit te voeren, vooral bij de laatste stap (de goedkeuring).

Ze versterken elkaar

Het 4-ogen principe vervangt SoD dus niet, maar vult het aan. Het kan een uitstekende tijdelijke oplossing zijn als je de functiescheiding even niet perfect rond krijgt.

Let wel op! Dit werkt alleen als de tweede persoon ook écht oplet. Als het goedkeuren een routineklusje wordt waarbij iemand blind op 'akkoord' klikt, verlies je alsnog alle veiligheid.

De beste aanpak voor jouw organisatie? Gebruik SoD als de basisstructuur en zet het 4-ogen principe in als extra slot op de deur bij de meest risicovolle taken.

 

Van statische regels naar levend beleid: wat moderne IGA vraagt

De ouderwetse manier van functiescheiding — een lijst met verboden combinaties waar de auditor één keer per jaar naar kijkt — werkt niet meer. De IT-wereld van nu is simpelweg te snel en te ingewikkeld geworden.

Er zijn drie grote veranderingen waar jouw organisatie rekening mee moet houden:

1. Het gaat niet alleen meer om mensen

Tegenwoordig heb je meer 'digitale identiteiten' dan menselijke medewerkers. Denk aan automatische koppelingen (API's), software-robots en AI-systemen. De oude regels zijn gemaakt voor mensen met een vaste functie, maar wat doe je met een computerprogramma dat in zijn eentje een account aanmaakt én goedkeurt?

2. Toegang alleen wanneer het nodig is (Just-in-Time)

Steeds meer moderne organisaties stappen af van vaste rechten. In plaats van dat een medewerker altijd bepaalde bevoegdheden heeft, krijgt hij deze pas op het moment dat hij ze echt nodig heeft — en alleen voor de duur van de taak. Hierdoor kunnen gevaarlijke combinaties van rechten simpelweg nooit tegelijkertijd bestaan.

3. Altijd meekijken, niet achteraf praten

Bij de traditionele methode ontdek je fouten pas tijdens de jaarlijkse controle. Maar als iemand gisteren een verboden actie heeft uitgevoerd en daarna snel zijn rechten weer heeft ingeleverd, ziet de auditor dat nooit. Moderne systemen monitoren continu en geven direct een seintje als er iets gebeurt wat niet mag.

Wat betekent dit voor jou organisatie?

Dit vraagt om een slim platform (Identity Governance & Administration) dat al deze lagen samenbrengt. Het gaat niet langer om losse lijstjes, maar om een systeem dat continu de vinger aan de pols houdt: wie heeft welke toegang, waarom, voor hoe lang, en wat doen ze daar precies mee?

 

Conclusie: SoD werkt alleen als het 'leeft'

Terug naar de vraag: is de eerste uitzondering het begin van het einde?

Niet per se. Een uitzondering maken is menselijk en soms simpelweg nodig om de business draaiende te houden. Het echte probleem is de uitzondering waar geen grip op is: zonder einddatum, zonder extra controle en zonder dat er iemand meekijkt.

SoD blijft onmisbaar voor jouw organisatie. Niet alleen omdat de auditor het wil, maar omdat het de enige manier is om fraude en grote fouten echt te voorkomen. Maar dit principe werkt alleen met een levend systeem. Dat betekent: geen jaarlijkse controle achteraf, maar elke dag slimme software die meekijkt.

Het 4-ogen principe is daarbij jouw extra slot op de deur op de momenten dat het er echt om spant.

Organisaties die deze regels niet alleen op papier hebben, maar ze ook echt laten werken in de praktijk, zijn veiliger en komen moeiteloos door elke audit. Dat is precies de rust en controle die een modern IGA-platform jou biedt.

avatar

Jan Martijn Tallen

 IAM specialist

GERELATEERDE ARTIKELEN

Jennifer Greving 5/04/2023 5 min read

Wat is IT Governance?

IT Governance speelt een belangrijk rol in het afstemmen van IT-strategie op bedrijfsstrategie. Organisaties als de jouwe ...
Start met lezen
Jennifer Greving 23/08/2024 4 min read

Digitaal veilig Onderwijs: Het Normenkader IBP

In de digitaliserende onderwijswereld is het belangrijk dat scholen hun informatiesystemen en persoonsgegevens goed beheren en ...
Start met lezen
Jennifer Greving 15/09/2025 9 min read

Hoe werkt Single Sign-On?

Je kent het wel: voor elke applicatie een nieuwe gebruikersnaam en een uniek wachtwoord. Dit leidt tot wachtwoordmoeheid en ...
Start met lezen