Authorization (AuthZ)

Autorisatie, AuthZ, Toegangscontrole, Toegangsbeheer, Rechten beheer
Authorization (AuthZ) bepaalt welke acties een geauthenticeerde gebruiker mag uitvoeren in een systeem of applicatie. Cruciaal voor beveiliging van webapplicaties en API's.

Wat is Authorization?

Authorization (AuthZ) is het proces waarbij een systeem bepaalt welke rechten, acties en toegang een geauthenticeerde gebruiker heeft tot specifieke bronnen, data of functionaliteiten. Na succesvolle authentication controleert authorization of de ingelogde gebruiker daadwerkelijk mag doen wat hij of zij probeert. Denk aan een medewerker die wel facturen mag inzien maar geen budgetten mag wijzigen, of een klant die alleen de eigen orderhistorie mag bekijken. Voor MKB-bedrijven met webapplicaties, portalen of API-koppelingen is authorization de sleutel tot veilige en gestructureerde toegang.

Hoe authorization werkt in de praktijk

Authorization vindt plaats ná authentication. Eerst bewijst een gebruiker zijn identiteit (met wachtwoord, token of Single Sign-On). Daarna checkt het systeem welke rol of rechten bij die identiteit horen. Dat gebeurt meestal via rollen (zoals 'admin', 'redacteur', 'klant') of via gedetailleerde permissies per actie ('lezen', 'schrijven', 'verwijderen'). Een webshop geeft bijvoorbeeld een klant toegang tot zijn eigen bestellingen, maar niet tot die van anderen. Een CMS laat een redacteur artikelen bewerken maar geen gebruikers verwijderen. Deze logica wordt vaak opgeslagen in een database of beheerd via een Identity Provider. Bij API's gebeurt authorization vaak via tokens zoals JSON Web Tokens, waarin claims staan over wat de gebruiker mag. De W3C publiceert richtlijnen voor veilige toegangscontrole in webapplicaties.

Waarom authorization ontstond en waarom het nu telt

Vroeger hadden de meeste systemen één inlogniveau: je was binnen of buiten. Zodra organisaties complexere workflows kregen en meerdere gebruikersgroepen tegelijk bedienden, ontstond de behoefte aan gedifferentieerde toegang. Een dealer mag prijzen zien, een eindklant niet. Een accountant mag rapporten exporteren, een stagiair niet. Authorization maakt dat mogelijk zonder voor elke gebruiker een apart systeem te bouwen. Vandaag de dag is het onmisbaar voor compliance met de AVG: je mag alleen persoonsgegevens tonen aan wie daar recht op heeft. Ook bij API-koppelingen tussen systemen is authorization cruciaal om te voorkomen dat externe partijen meer data ophalen dan afgesproken.

Wat authorization oplevert voor MKB-bedrijven

Met een doordachte authorization-strategie voorkom je datalekken, bouw je vertrouwen bij klanten en voldoe je aan wettelijke eisen. Een groothandel kan bijvoorbeeld dealers toegang geven tot netto-prijzen terwijl particulieren bruto-prijzen zien, allemaal binnen één platform. Een softwarebedrijf kan klanten alleen toegang geven tot hun eigen omgeving, zonder dat andere klanten data kunnen inzien. Bij webontwikkeling en API-integraties bouwt Monkey Vision authorization in vanaf de basis, zodat je later niet hoeft te herschrijven. Goed geregelde autorisatie bespaart support-tickets, verkleint beveiligingsrisico's en maakt schaalbaarheid mogelijk zonder dat je de controle verliest.

Toepassingen van Authorization

Authorization speelt een rol in vrijwel elke digitale omgeving waar meerdere gebruikers of systemen toegang tot dezelfde data hebben. Hieronder vier concrete toepassingen die in de Nederlandse MKB-praktijk voorkomen, plus een besliscriterium voor wanneer authorization wel of niet de juiste aanpak is.

Rolgebaseerde toegang in webapplicaties en portalen

Een veelvoorkomende toepassing is Role-Based Access Control (RBAC) in klantportalen, intranetten of SaaS-platforms. Je definieert rollen zoals 'beheerder', 'gebruiker', 'gast' en koppelt daar rechten aan. Een financieel adviseur met 8 medewerkers geeft bijvoorbeeld alleen de office manager toegang tot facturatie, terwijl adviseurs alleen klantdossiers mogen inzien. In een webshop met B2B-module kunnen dealers netto-prijzen zien en groothandel-functies gebruiken, terwijl particulieren alleen de standaard catalogus zien. RBAC maakt het eenvoudig om nieuwe medewerkers snel de juiste rechten te geven zonder handmatig per functie te configureren. Het nadeel: bij zeer dynamische organisaties met wisselende verantwoordelijkheden kan RBAC rigide worden. Dan is attribuut-gebaseerde autorisatie (ABAC) flexibeler, maar ook complexer om in te richten.

API-beveiliging en data-uitwisseling tussen systemen

Bij koppelingen tussen je CMS, CRM, boekhoudsysteem of externe platforms is authorization onmisbaar. Een API-token geeft toegang, maar authorization bepaalt welke endpoints en data de token mag ophalen of wijzigen. Een marketingbureau dat namens klanten campagnes beheert, krijgt bijvoorbeeld alleen leesrechten op rapportage-endpoints, geen schrijfrechten op budgetten. Een logistiek platform mag orderstatussen updaten maar geen klantgegevens inzien. Dit voorkom je dat een gehackte integratie je hele database leegtrekt. In de praktijk gebruik je scopes (OAuth 2.0) of claims in JWT's om per token vast te leggen wat mag. Bij API-ontwikkeling en automatiseringsprojecten bouwt Monkey Vision deze autorisatielagen standaard in, zodat koppelingen veilig en toekomstbestendig zijn.

Contentbeheer en redactionele workflows

In een CMS zoals WordPress of een headless-oplossing wil je vaak dat redacteuren content kunnen bewerken, maar niet publiceren zonder goedkeuring. Of dat een freelance copywriter wel blogs mag schrijven maar geen pagina's mag verwijderen. Authorization maakt die workflows mogelijk. Een uitgeverij met 15 redacteuren kan bijvoorbeeld per rubriek bepalen wie mag publiceren. Een webshop met meerdere leveranciers geeft elke leverancier alleen toegang tot zijn eigen productcatalogus. Zonder goede autorisatie moet je ofwel iedereen te veel rechten geven (risico op fouten) of voor iedereen een eigen omgeving maken (onwerkbaar). Het keuzemoment: als je minder dan vijf gebruikers hebt met dezelfde rechten, volstaat vaak een simpele admin/niet-admin-indeling. Zodra je workflows of externe partijen in de mix hebt, loont gedetailleerde authorization de investering.

Wanneer authorization de juiste keuze is en wanneer niet

Authorization is zinvol zodra je meerdere gebruikersgroepen hebt met verschillende rechten, of zodra je persoonsgegevens of vertrouwelijke data beheert. Het is ook nodig bij API's die door externe partijen worden aangeroepen. Maar als je een eenvoudige website hebt zonder inlog, of een intern tool voor één persoon, voegt authorization weinig toe en maakt het de code onnodig complex. Een veelgemaakte fout: authorization pas achteraf toevoegen wanneer er al een incident is geweest. Bouw het vanaf de start in, anders moet je later alle endpoints en schermen herschrijven. Een ander misverstand: authorization is hetzelfde als authentication. Dat klopt niet. Authentication zegt wie je bent, authorization zegt wat je mag. Beide zijn nodig, maar los van elkaar te configureren.

Wil je dit toepassen in jouw bedrijf? Monkey Vision helpt MKB-ondernemers met webdesign, SEO en slimme digitale oplossingen. Plan een vrijblijvende kennismaking en ontdek wat er voor jou mogelijk is.

Plan een kennismaking

Veelgestelde vragen

Nee, authorization en authentication zijn twee aparte stappen in beveiligde systemen. Authentication bewijst wie je bent, bijvoorbeeld via een wachtwoord of tweefactorauthenticatie. Authorization bepaalt daarna wat je mag doen met die identiteit. Je kunt succesvol inloggen (authentication geslaagd) maar toch geen toegang krijgen tot bepaalde functies (authorization geweigerd). Een voorbeeld: een medewerker logt in met zijn bedrijfsaccount (authentication), maar mag geen salarissen inzien omdat hij geen HR-rechten heeft (authorization). In de praktijk zien we vaak dat bedrijven deze termen door elkaar halen, wat leidt tot onduidelijke beveiligingseisen. Beide lagen zijn nodig: zonder authentication weet je niet wie er binnenkomt, zonder authorization weet je niet wat iemand mag.

Role-Based Access Control (RBAC) is de beste keuze als je duidelijke functieprofielen hebt die weinig veranderen. Denk aan rollen zoals 'verkoper', 'manager', 'klant'. Het is overzichtelijk en makkelijk te beheren. Attribute-Based Access Control (ABAC) is krachtiger maar complexer: het kijkt naar eigenschappen zoals locatie, tijd, afdeling of projectstatus. ABAC past beter bij dynamische organisaties waar rechten per situatie verschillen, bijvoorbeeld een adviesbureau waar consultants alleen toegang krijgen tot projecten waaraan ze zijn toegewezen. Voor de meeste MKB-bedrijven met minder dan 50 gebruikers volstaat RBAC. Kies ABAC alleen als je workflows echt niet in vaste rollen passen. Bij twijfel: start met RBAC en breid later uit als de behoefte blijkt.

Begin met het toekennen van minimale rechten per API-token of applicatie: geef alleen toegang tot de endpoints en data die echt nodig zijn. Gebruik OAuth 2.0 scopes of JWT-claims om per token vast te leggen wat mag (lezen, schrijven, verwijderen) en voor welke resources. Log alle API-verzoeken zodat je achteraf kunt controleren wie wat heeft gedaan. Roteer tokens regelmatig en trek tokens in zodra een integratie stopt. Test authorization expliciet: probeer met een token acties uit te voeren die niet zouden mogen lukken. Een veelgemaakte fout is dat ontwikkelaars authorization alleen aan de voorkant checken (in de app) maar niet aan de achterkant (in de API). Een aanvaller kan de app omzeilen en direct de API aanroepen. Zorg dus dat elke API-endpoint zelf controleert of de aanroeper recht heeft op die actie.

Veel bedrijven worstelen met authorization omdat het achteraf wordt toegevoegd, terwijl het vanaf dag één meegenomen moet worden. Wil je weten hoe je authorization veilig en schaalbaar inricht voor jouw webapplicatie, portal of API? Plan een gratis security-scan van 30 minuten bij Monkey Vision. We lopen live door je huidige of geplande architectuur en geven je direct drie concrete aanbevelingen voor veilige toegangscontrole. Je krijgt een eerlijke inschatting van risico's, een overzicht van welke autorisatie-aanpak past bij jouw organisatie en praktische voorbeelden uit vergelijkbare MKB-projecten. Geen verkooppraatje, wel direct toepasbaar advies. Boek je sessie via webontwikkeling bij Monkey Vision.

Over de auteur

Monkey Vision

Monkey Vision is een full-service digitaal bureau in Nijmegen, gespecialiseerd in webdesign, SEO en AI-automatisering voor het MKB. De kennisbank is samengesteld door ons team van online-strategen en doorlopend bijgehouden op basis van actuele inzichten.

Publicatiedatum: 26-04-2026
Laatste update: 26-04-2026