SECURITY

Je echte SaaS-securityrisico: de toegang die niemand bijhoudt

12 juni 2026

4 min. leestijd

De meeste SaaS-securitygaten zijn geen spectaculaire inbraken. Het zijn vergeten accounts, shadow apps en toegang die nooit werd uitgezet.

Als mensen aan een security-incident denken, denken ze aan een hacker. In de praktijk is het meeste SaaS-risico stiller en dichterbij: een oud-collega die nog toegang heeft, een app die niemand goedkeurde, een login die nooit werd uitgezet. Zonder overzicht van wie waarbij kan, blijven deze gaten maandenlang open.

Het telt op. Zonder centraal SaaS-beheer hebben organisaties tot vijf keer meer kans op een cyberincident of dataverlies, schat Gartner. En zo'n één op de drie mensen houdt na vertrek toegang tot apps.

De drie gaten die stilletjes openblijven
Toegang die de persoon overleeft

Iemand vertrekt. Het hoofdaccount gaat dicht, maar losse app-accounts, vaak direct aangemaakt, blijven maandenlang actief. Elk daarvan is een deur die op een kier staat. Zo'n 35% van de datalekken betreft data in onbeheerde of vergeten bronnen, en die lekken kosten doorgaans meer om op te lossen, volgens IBM.

Apps die niemand goedkeurde

De meeste apps komen binnen via een Google- of Microsoft-login, buiten IT om. Sommige bevatten bedrijfs- of klantdata. Als je niet weet dat een app er is, kun je hem niet beveiligen, en kun je hem niet meenemen in je AVG- of ISO 27001-werk.

Toegang die ruimer is dan zou moeten

Na verloop van tijd verzamelen mensen toegang die ze niet meer nodig hebben: adminrechten die tijdelijk bedoeld waren, gedeelde logins, brede rechten die "voor de zekerheid" zijn toegekend. Hoe meer toegang uitdijt, hoe groter de impact als één account ooit gecompromitteerd raakt.

Waarom het zo lastig te zien is

Dit is geen nalatigheid, het is structuur. Iedereen met een kaart kan een SaaS-tool toevoegen. Proeven zetten zichzelf om. Toegang wordt verleend in een dozijn losse adminpanelen. Er is geen enkele plek die laat zien wie waarbij kan, dus het eerlijke antwoord op "zit er nog iemand in die er niet hoort?" is meestal een schouderophalen.

Zicht is de eerste controle

Je kunt niet beveiligen wat je niet ziet. De eerste security-stap is geen nieuwe tool om dingen te blokkeren, maar een actueel overzicht van elke app en wie er toegang toe heeft.

Dat is wat Mapit doet. Het brengt je SaaS automatisch in kaart via je Google- of Microsoft-koppeling, laat zien wie waarbij kan, en houdt het elke nacht actueel. Vanaf daar kun je vergeten toegang intrekken, elke app een eigenaar geven, en mensen vanaf één plek over hun apps offboarden. "Ingelogd" is niet hetzelfde als "actief gebruikt", dus na verloop van tijd toont Mapit beide: waar toegang bestaat, en of die nog echt is.

Mapit is geen endpoint- of netwerk-security, en vervangt de tools die je al draait niet. Het dekt de laag die meestal onzichtbaar is: welke SaaS er is, wie erbij kan, en wat uitgezet zou moeten worden.

Een eenvoudige security-routine
  1. Zie wie toegang heeft. Eén actueel overzicht van elke app en zijn gebruikers.

  2. Sluit wat verouderd is. Trek toegang in van vertrokken mensen en rechten die niemand gebruikt.

  3. Vang nieuwe apps. Word gesignaleerd als een onbekende app opduikt, in plaats van het bij de audit te ontdekken.

  4. Maak er een gewoonte van. Een maandelijkse of kwartaalcheck houdt de gaten dicht.

Zie wie bij je data kan
Bekijk wie toegang heeft tot uw gegevens

Mapit toont binnen 5 minuten elke app en wie er toegang tot heeft, en houdt dit actueel.

Veelgestelde vragen

Goed om te weten

Veelgestelde vragen

Goed om te weten

Wat is het grootste SaaS-beveiligingsrisico voor een mkb-bedrijf?

Vervangt Mapit onze beveiligingstools?

Wat ziet Mapit wel, en wat niet?

Hoe helpt dit bij GDPR, NIS2 of ISO 27001?