# Levenscyclusbeheer van gebruikers in Google Workspace Levenscyclusbeheer van gebruikers in Google Workspace omvat de hele reis van een account: van het moment dat iemand in dienst komt tot het moment dat hij vertrekt. Elke fase heeft eigen acties en eigen risico's. Slordige offboarding is een veelvoorkomend beveiligingslek. In dit artikel lopen we de hele levenscyclus door. [[TOC]] ## De drie fasen van de levenscyclus De levenscyclus van een gebruiker kent grofweg drie fasen. De eerste is onboarding, het aanmaken en inrichten van een account voor een nieuwe medewerker. De tweede is de actieve fase met wijzigingen, zoals een functiewissel of een naamswijziging. De derde is offboarding, het netjes afsluiten als iemand vertrekt. Elke fase verdient een vaste procedure. Zonder procedure krijg je nieuwe medewerkers die de eerste dag niet kunnen inloggen, vertrokken medewerkers wier account maanden later nog actief blijkt, en data die zoekraakt omdat niemand wist wat ermee moest. :::info title="Koppel de levenscyclus aan je HR-systeem" Hoe groter je organisatie, hoe meer het loont om de levenscyclus te koppelen aan je personeelssysteem. Met automatische provisioning maak je accounts aan en schort je ze op op basis van het HR-systeem, zodat de IT-werkelijkheid altijd klopt met de personeelsadministratie. ::: ## Onboarding: een nieuwe gebruiker Een goede onboarding zorgt dat een nieuwe medewerker op dag een productief is. Dat betekent dat het account, de toegang en de tools klaarstaan voordat de persoon binnenkomt. :::howto title="Een nieuwe gebruiker onboarden" 1. Maak het account aan volgens je naamgevingsconventie, in de juiste **organisatie-eenheid**. 2. Voeg de gebruiker toe aan de relevante **groepen** voor mail en toegang. 3. Stel een tijdelijk wachtwoord in en dwing een wijziging bij eerste login af. 4. Zorg dat **tweestapsverificatie** wordt ingesteld bij de eerste keer inloggen. 5. Wijs eventueel een apparaat toe en registreer het in apparaatbeheer. 6. Stuur een welkomstbericht met de eerste stappen en waar de gebruiker hulp vindt. ::: :::tip title="Maak onboarding-sjablonen per rol" Een verkoper heeft andere groepen en tools nodig dan een ontwikkelaar. Met een sjabloon per rol klik je in een keer de juiste toegang aan in plaats van elke keer alles handmatig te bedenken. Dat scheelt tijd en voorkomt fouten. ::: ## Wijzigingen tijdens het dienstverband Tijdens het dienstverband verandert er van alles. Iemand krijgt een andere functie, verhuist naar een andere afdeling, of wijzigt zijn naam. Bij elke wijziging hoort een aanpassing in Workspace. Een functiewissel is een belangrijk moment voor beveiliging. Krijgt iemand een nieuwe rol, dan hoort hij vaak ook oude rechten kwijt te raken. Een veelgemaakte fout is dat mensen bij elke wisseling rechten erbij krijgen maar nooit kwijtraken, waardoor ze na jaren toegang hebben tot van alles. Dit heet rechtenophoping en is een reƫel risico. :::warn title="Controleer ook welke rechten eraf moeten" Controleer bij elke functiewissel niet alleen welke rechten erbij moeten, maar ook welke eraf moeten. Rechtenophoping ontstaat sluipend en levert na verloop van tijd accounts op met veel meer toegang dan iemand voor zijn huidige functie nodig heeft. Dat is precies wat een aanvaller zoekt. ::: ## Offboarding: een vertrekkende gebruiker Offboarding is de gevaarlijkste fase als je het slordig doet. Een vertrokken medewerker met een actief account is een open deur. Tegelijk wil je geen waardevolle data verliezen die alleen in zijn account stond. :::howto title="Een vertrekkende gebruiker offboarden" 1. **Schors het account** direct op het moment van vertrek, zodat inloggen niet meer kan. 2. Reset het wachtwoord en trek de actieve sessies en app-wachtwoorden in. 3. Draag de eigendom van belangrijke **Drive-bestanden** over aan een collega of manager via `Gegevens overdragen` in de gebruikerskaart. 4. Stel een automatisch antwoord of doorstuurregel in voor binnenkomende mail. 5. Exporteer of archiveer de data die bewaard moet blijven volgens je bewaarbeleid. 6. Verwijder het account pas na de bewaarperiode, of zet het om naar een **gearchiveerde gebruiker** voor goedkope langdurige archivering. ::: Bij een gearchiveerde gebruiker wordt de gewone Workspace-licentie vervangen door een archiveringslicentie. Het account blijft geschorst en inloggen is geblokkeerd, terwijl de data toegankelijk blijft voor beheerders en voor Vault. Zo bewaar je e-mail en bestanden voor naleving of eDiscovery zonder een volledige licentie te betalen. :::info title="Archiveren zonder losse licentie vanaf april 2026" Sinds april 2026 kun je gebruikers archiveren zonder een aparte abonnementsvorm voor gearchiveerde gebruikers, mits je op het flexibele (Flexible) factuurplan zit en nog geen apart archiveringsabonnement hebt. Controleer in de Admin-console onder Facturering welk plan voor jouw organisatie geldt, want de exacte voorwaarden en prijzen kunnen per editie verschillen. ::: ## Rolverdeling rond de levenscyclus Een werkende levenscyclus vraagt om duidelijke verantwoordelijkheden. - **Beheerder**: voert de levenscyclusstappen uit. Werkt met sjablonen voor onboarding en volgt een strikte checklist bij offboarding zodat geen account per ongeluk actief blijft. - **IT-manager**: stelt de procedures op en koppelt ze idealiter aan het HR-proces. Bewaakt dat offboarding altijd gebeurt en dat rechtenophoping wordt voorkomen met periodieke controles. ## Veelgestelde vragen :::faq ### Moet ik een vertrekkend account meteen verwijderen? Nee, schors het eerst. Zo blokkeer je toegang terwijl je de data behoudt en kunt overdragen. Verwijderen doe je pas na de overdracht en de bewaarperiode, anders ben je data kwijt. ### Wat gebeurt er met de mail van iemand die vertrekt? Je kunt binnenkomende mail doorsturen naar een collega of een automatisch antwoord instellen. De bestaande mailbox kun je archiveren of overdragen, afhankelijk van wat je nodig hebt en wat je bewaarbeleid voorschrijft. ### Hoe voorkom ik dat oude accounts actief blijven? Koppel offboarding aan je HR-proces zodat een vertrek automatisch tot schorsing leidt. Controleer daarnaast periodiek de lijst met actieve accounts op mensen die niet meer in dienst zijn. ### Wat is rechtenophoping en waarom is het gevaarlijk? Rechtenophoping is het sluipend verzamelen van toegangsrechten zonder dat oude rechten worden ingetrokken. Het levert accounts op met veel te veel toegang, wat een groot beveiligingsrisico vormt. Controleer rechten daarom bij elke functiewissel. ### Wat is het verschil tussen schorsen en archiveren? Schorsen blokkeert inloggen maar laat de gewone licentie staan, geschikt voor een tijdelijke onderbreking. Archiveren vervangt de licentie door een goedkope archiveringslicentie en is bedoeld voor langdurig bewaren van data van vertrokken medewerkers. ### Hoe draag ik de bestanden van een vertrekkende medewerker over? Open de gebruiker in de Admin-console onder Directory en Gebruikers, kies `Gegevens overdragen`, selecteer Drive en Agenda en wijs een nieuwe eigenaar aan. Doe dit voordat je het account verwijdert of archiveert, anders raak je de eigendomsoverdracht kwijt. ::: Lees ook [[workspace-naming-convention|naamgevingsconventies]] en [[workspace-migratie|migratie]] voor de aansluitende onderwerpen.