Vrijwilligers zijn onmisbaar binnen stichtingen en maatschappelijke organisaties. Ze ondersteunen projecten, evenementen en administratieve processen, vaak op flexibele basis. Tegelijkertijd brengen vrijwilligers specifieke risico’s met zich mee op het gebied van privacy, databeveiliging en toegangsbeheer. Binnen Microsoft 365 kan een verkeerd ingesteld vrijwilligersaccount leiden tot datalekken, verlies van controle of ongewenste toegang tot gevoelige informatie.
In deze blog leest u hoe stichtingen vrijwilligersaccounts veilig én beheersbaar kunnen inzetten binnen Microsoft 365. Alle adviezen zijn praktisch toepasbaar en sluiten aan bij organisaties die werken met beperkte middelen, maar hoge verantwoordelijkheden dragen rondom persoonsgegevens.
Wilt u meer inzicht in waarom digitale vernieuwing cruciaal is voor maatschappelijke organisaties? Lees dan ook onze blog:
“IT voor goede doelen: waarom digitale vooruitgang nu cruciaal is voor stichtingen en NGO’s”.
1. Voorzie elke vrijwilliger van een persoonlijk Microsoft 365-account
Veel organisaties maken nog gebruik van gedeelde accounts zoals “vrijwilliger@…”. Dit lijkt efficiënt, maar binnen Microsoft 365 leidt dit tot hoge risico’s:
• Geen individuele logging
• Geen Multi-Factor Authenticatie
• Ongecontroleerde toegang tot Teams en SharePoint
• Risico op vergeten toegang na vertrek
• Onvoldoende AVG-verantwoording
De meest veilige aanpak is om iedere vrijwilliger een persoonlijk Microsoft 365-account te geven via Entra ID.
Voor stichtingen is dit bovendien financieel haalbaar: veel licenties voor maatschappelijke organisaties zijn beschikbaar met forse kortingen via Microsoft Nonprofit.
2. Gebruik automatische vervaldatums en toegangsreviews
Vrijwilligers zijn vaak tijdelijk betrokken, maar niet altijd met een duidelijke einddatum. Dat maakt beheer lastig. IT weet meestal niet precies wanneer een vrijwilliger stopt, terwijl vrijwilligerscoördinatoren dit wel weten — maar niet in IT-systemen kunnen verwerken.
Daarnaast werken vrijwilligers vaak in “waves”: soms wel actief, soms weken of maanden niet. Daarom zijn toegangsreviews essentieel.
Aanbevolen Microsoft 365-functies:
• Access Reviews (Entra ID)
Laat teamleiders of vrijwilligerscoördinatoren periodiek bevestigen welke vrijwilligers nog toegang nodig hebben. Dit voorkomt dat IT moet gokken of iemand nog actief is.
• Group Expiration Policies
Handig voor tijdelijke Teams of projectgroepen.
• Einddatum instellen op accounts
Zelfs als de datum onzeker is, kunt u een richtlijn instellen om opvolging af te dwingen.
Met deze methoden voorkomt u dat oud-vrijwilligers onbedoeld toegang behouden tot uw gegevens.
3. Activeer Multi-Factor Authenticatie (MFA)
MFA is de belangrijkste maatregel tegen accountmisbruik. Vrijwilligers gebruiken namelijk:
• Privé-laptops
• Oudere telefoons
• Gedeelde apparaten
• Onbekende WiFi- en netwerkverbindingen
MFA via Microsoft Authenticator verkleint risico’s op:
• Inloggen door onbevoegden
• Phishingaanvallen
• Misbruik van gestolen wachtwoorden
Voor sommige vrijwilligers kan MFA technisch uitdagend zijn, maar dit mag geen reden zijn om risico te lopen. Een korte uitleg of onboarding lost dit vrijwel altijd op.
Gebruik Security Defaults of stel een Conditional Access Policy speciaal voor vrijwilligers in.
4. Beperk toegang binnen SharePoint en Teams
Vrijwilligers moeten alleen toegang krijgen tot informatie die noodzakelijk is voor hun taak. In de praktijk krijgen zij vaak te brede rechten, waardoor zij documenten zien die niet relevant of zelfs vertrouwelijk zijn.
Aanbevolen werkwijze:
• Gebruik SharePoint-mappen met beperkte toegang
• Deel nooit volledige sites, alleen mappen of documenten
• Maak privékanalen aan binnen Teams voor specifieke vrijwilligerstaken
• Wijs vrijwilligers altijd de rol Member, nooit Owner, toe
Teams-wildgroei is een bekende oorzaak van onoverzichtelijke toegang. Meer hierover leest u in onze blog:
“Teams-wildgroei: hoe ontstaat het en hoe lost u het op?”.
5. Hanteer een volledig offboardingproces
Een vergeten account is een groot beveiligingsrisico — zeker binnen Microsoft 365.
Offboarding-checklist:
• Account blokkeren in Microsoft 365 Admin Center
• Verwijderen uit SharePoint- en Teams-groepen
• OneDrive-gegevens veiligstellen of verwijderen
• Toegang tot gedeelde mailboxen intrekken
• Uitschrijven uit Microsoft 365-groepen en distributielijsten
Leg dit proces vast in een procedure die herhaalbaar is. Zo voorkomt u menselijke fouten.
6. Maak een kort richtlijndocument voor vrijwilligers
Vrijwilligers hoeven geen technische achtergrond te hebben, maar hebben wél duidelijke instructies nodig. Een eenvoudig A4-document is voldoende.
Aanbevolen onderdelen:
• Inlogprocedure (portal.office.com)
• Hoe MFA werkt
• Waar bestanden worden opgeslagen
• Richtlijnen rond e-mail, privacy en bestandsdeling
• Hoe incidenten of verlies van apparaten moeten worden gemeld
Eén helder document voorkomt veel problemen.
7. Laat vrijwilligers niet via privé-mail werken
Dit brengt grote risico’s met zich mee:
• Geen logging
• Geen MFA
• Geen controle over documenten
• Geen beheer bij offboarding
• Grote kans op datalekken bij apparaatverlies
Werken via een organisatieaccount binnen Microsoft 365 is de enige veilige en AVG-verantwoorde keuze.
8. Gebruik Microsoft 365-groepen voor efficiënt rechtenbeheer
Met beveiligingsgroepen voorkomt u versnipperde rechten.
Voorbeelden van groepen:
• Vrijwilligers Evenementen
• Vrijwilligers Communicatie
• Vrijwilligers Administratie
Een account in een groep = automatisch juiste rechten.
Account uit de groep = meteen alle rechten weg.
9. Houd een actueel overzicht bij van vrijwilligersaccounts
Een centraal register helpt bij audits en privacycontroles.
Bijhouden kan via SharePoint, Excel of volledig geautomatiseerd via Power Automate.
Belangrijke gegevens:
• Naam vrijwilliger
• Start- en einddatum
• Toegewezen groepen
• Laatste login (via Entra ID sign-in logs)
• Status: actief / inactief
• Datums voor herbeoordelingen
Hiermee behoudt u grip op alle accounts.
10. Wijs een interne Microsoft 365-coördinator aan
Dit hoeft geen IT-specialist te zijn. Een medewerker met basiskennis kan toezien op:
• Inactieve of verlopen accounts
• MFA-status
• Gebruik van SharePoint en Teams
• Correct gebruik van groepen
• Naleving van interne procedures
Een maandelijkse check is vaak al voldoende om controle te behouden.
Conclusie
Met een aantal gerichte maatregelen kunnen stichtingen en maatschappelijke organisaties vrijwilligersaccounts in Microsoft 365 veilig en beheersbaar houden. Door te werken met persoonlijke accounts, verplichte MFA, beperkte en taakgerichte toegang, duidelijke procedures voor onboarding/offboarding en periodieke toegangsreviews, voorkomt u datalekken en voldoet u aan de AVG-richtlijnen.
Zone IT ondersteunt maatschappelijke organisaties bij het professioneel en verantwoord inrichten van Microsoft 365, inclusief governance, security en het veilig beheren van vrijwilligersaccounts. Onze aanpak is praktisch, betaalbaar en speciaal ontwikkeld voor organisaties die met beperkte middelen toch een hoge mate van digitale veiligheid nodig hebben.
Klaar om vrijwilligersaccounts écht veilig te regelen?
Veel stichtingen denken dat hun Microsoft 365-omgeving goed is ingericht, maar in de praktijk blijken juist vrijwilligersaccounts één van de grootste risico’s te vormen. Denk aan gedeelde accounts, ontbrekende MFA, te brede rechten of oude accounts die nooit zijn afgesloten.
Zone IT helpt maatschappelijke organisaties met:
• Inrichting van veilige Microsoft 365-accounts
• Toegangsbeheer en governance
• Automatisering van onboarding en offboarding
• MFA-beleid dat ook voor minder digitale vrijwilligers goed uitvoerbaar is
• Advies op maat voor vrijwilligerscoördinatie en interne processen
Wilt u weten hoe uw omgeving ervoor staat?
Vraag dan een gratis en vrijblijvende IT-scan aan.