Gegevens delen aan andere partij, klant heeft nog contract

Klinkt niet als een verstandig idee, weet je zeker dat de e-mail geen phising is? Dat kan je controleren door in ieder geval even te bellen met de klant.

wat staat er in je SLA over opzegging?
beste manier is een telefoontje met: wanneer gaan we even zitten om plan op te zetten op overdracht.

Uiteindelijk gaat alles met gewoon goede afspraken maken over de zaken die je aankaart. Je kan prima een afspraak maken waarin je vast legt dat zodra een andere partij toegang heeft je niet kan garanderen wat er met de omgeving gebeurd en je in deze periode “best effort” kan leveren. Tevens zou ik opnemen dat als ze de rechten terug geven je een changelog wenst te ontvangen zodat je kan bepalen of er changes geweest zijn die de garantie die jullie afgeven aangetast heeft.

Wat je zelf moet bepalen, zijn er bepaalde zaken op een omgeving die je niet wilt delen. Zijn er configuraties met authenticatie naar je monitoring/ backup / deploy omgevingen en als die er zijn wil je dat tijdelijk verwijderen/ veranderd voor je beheer deelt (al zou je moeten afvragen of dat niet een grotere security issue is). En als dit verwijderen impact heeft op de werking van een dienst (niet kunnen maken van backups/ niet kunnen monitoren), open kaart spelen naar je klant + vastleggen in de afspraak die je maakt.

Uiteindelijk de klant heeft al opgezegd, je raakt ze hoe dan ook kwijt. Wil je ze het zo moeilijk mogelijk maken dan weet je zeker dat ze ook niet meer terug komen of eventueel adviseren bij iemand anders. Handel je het netjes en goed af, zullen ze toch weer aan je denken als “het gras toch niet groener is aan de andere kant van de weg”.

Ik neem aan dat de beheerwachtwoorden gewoon persoonlijke useraccounts zijn.
Het is een kwestie van een nieuw user account maken met de juiste (lees?) rechten.

Qua security is het echt een no-go als er wachtwoorden worden gedeeld onder meerdere mensen. Dan heb je gewoon je zaken niet in orde en komt het op mij behoorlijk amateuristisch over.

Per 1 Maart dus als je het contract aanhoudt, althans, meestal is het 1 kalendermaand. Overigens zou ik duidelijker opnemen/afdwingen in je contracten want hier wil je geen discussie over hebben. Tevens zou ik voor intern een exit-protocol inrichten zodat iedereen weet wat er moet gebeuren in zo'n situatie

[ Voor 88% gewijzigd door 418O2 op 31-01-2026 20:07 ]

Van zodra je paswoorden hebt doorgegeven laat je aan de klant weten dat support best effort is en er niet meer aan SLA bewaking gedaan word. Niet dat je minder service geeft, maar de verantwoordelijkheid is er niet meer.

Anderzijds vraag je een datum of stel je er zelf één voor.

Walkingshadown schreef op zaterdag 31 januari 2026 @ 20:23:
[...]


SLA heeft geen exitstrategie en de klant die 10€ duur vindt, dus een exitstrategie wordt niet gebruikt of er voor betaald.

Je hebt het over wachtwoorden/accounts overdragen/verwijderen, dus er zijn intern wel dingen die gedaan moeten worden blijkbaar

Bij een inventarisatie kan je doorgeven waarvoor je allemaal accounts hebt, en ook mogelijk wat details van wat er allemaal per account beheerd wordt.
Het delen van wachtwoorden van accounts waarover je nog steeds verantwoordelijk bent is zeer onverstandig.

Indien de betreffende persoon daar bevoegd voor is kan je hem een document laten ondertekenen dat hij alle verantwoordelijkheid aanvaard m.b.t. het delen van wachtwoorden met hem. Hiermee vervalt de SLA die jullie met hem hebben afgesproken en alle kosten die hierna gemaakt worden na het delen van de wachtwoorden worden in rekening gebracht.
Je hebt namelijk niet meer volledige controle over de door jou beheerde omgeving omdat andere mensen ook hier toegang toe hebben.

Maar ik denk dat je gewoon een klant gaat verliezen. Zijzelf wachtwoorden willen bezitten en evengoed de problemen bij jou achterlaten gaat gewoonweg niet.

Walkingshadown schreef op vrijdag 13 maart 2026 @ 21:18:
Bedankt voor je antwoord.
Als de gegevens zijn overgedragen en dat document is getekend, en er daarna iets misgaat (bijvoorbeeld een storing, verkeerde wijziging of een security-incident) terwijl de opzegtermijn nog loopt — wie is dan verantwoordelijk?

Het tekenen van dat document is geen opzegging, maar extra voorwaarden waarmee ze akkoord moeten gaan. Ik raad aan omdat ook duidelijk in dat document aan te geven.
Als ze willen opzeggen, zouden ze dat via de normale weg moeten doen.

Zijn wij nog verantwoordelijk omdat het contract formeel nog loopt, of ligt de verantwoordelijkheid vanaf dat moment bij de klant?

Zodra er één of meerdere wachtwoorden zijn overhandigd stopt direct de verantwoordelijkheid.
Je zou kunnen aangeven dat de verantwoordelijkheid weer terug bij jullie kan komen te liggen als jullie van elk account het wachtwoord hebben kunnen wijzigen + geverifieerd hebben dat er niets tussentijds is aangepast.

De klant geeft nu aan dat het alleen om een inventarisatie ging en niet om een opzegging.

Indien het echt alleen om inventarisatie gaat, zou je aan kunnen bieden om rapporten te maken met de gegevens wat ze graag willen zien. Of dat ze via een Teamsverbinding of andere applicatie mee kunnen kijken naar de inhoud van de accounts en vragen kunnen stellen.
Hierdoor blijft het wachtwoord bij jou in beheer, en kan de klant toch aan de gewenste informatie komen.

wat ik nog niet helemaal lees wat voor soort omgeving het gaat.

Het gaat zo te lezen om een "inventarisatie"
Als de klant bezig is met een nieuwe partij, dan kan je een transitie periode in gaan.

Voor de meeste zaken kun je gewoon nieuwe accounts met alleen lees rechten geven.
Zeker voor een inventarisatie zou je geen 'echte' beheer accounts met change rechten hoeven uit te delen.

E.e.a. idd wel vastleggen. Want zomaar elke mogelijke nieuwe partij info geven vind ik not done.
Maar als ze echt een nieuw contract hebben met de nieuwe partij? dan ook meteen een einddatum bepalen voor jullie contract. En dan de transitie periode in bv.

Zou zelf nooit change accounts geven. Ook niet met een document en een handtekening.
De omgeving is zo te lezen nog jullie verantwoording. De nieuwe partij heeft die verantwoording nog niet.

Wat men hier zegt:
Gewoon een read only admin accountje aanmaken voor ze: ze inventariseren toch alleen, dat kan daar prima mee, geen changes.

Aangeven dat als ze van jullie af willen dat kan; maar dan is er een overdracht moment waarbij de verantwoording voor de IT verplaatst wordt naar de klant.

Wat ik absoluut niet zo doen is derden mijn eigen admin account wachtwoord geven: maak dan maar een nieuwe aan: anders ga je nooit meer met logs bewijzen dat pietje op jouw account heeft zitten stinkvingeren...

Is het niet mogelijk om met de andere partij een sessie van 1-2 uur te plannen om door de omgeving te lopen? Alternatief kan je ook vragen of ze even willen opgeven wat ze willen weten en deze informatie aan te leveren.

Walkingshadown schreef op vrijdag 13 maart 2026 @ 22:23:
Eventueel zou ook een read-only account voor de manager in de MS-omgeving een optie kunnen zijn, zodat hij mee kan kijken. Wel lijkt het me verstandig om, voordat we zo’n account aanmaken, eerst te kijken of we onze verantwoordelijkheid richting onszelf goed hebben afgedekt.

Als het echt om een inventarisatie zijn, zou het voldoende moeten zijn om een read only account aan te leveren zodat de klant zelf kan kijken (of een gezamelijke walkthrough door de omgeving). Persoonlijk zou ik het af kaderen en bespreken wat ze precies willen inventariseren zodat je de rechten van het read only account ook kan beperken tot enkel het noodzakelijk, als ze echt full admin rechten willen hebben kan je toch gewoon aangeven dat dat niet gaat wegens de contracten en dus de juridische verantwoordelijkheid die jullie hebben als leverancier ? Ik zie het probleem niet zo het gaat om een soepele transitie en die faciliteren lijkt mij Prio 1.

Als de klant daarover gaat stuiteren kan je altijd nog met een overdracht in verantwoording komen zodra je ze admin geeft. Wel eerst laten tekenen en als ze willen opzeggen is dat prima, dan spreek je gewoon de maand opzegtermijn af en aan het einde van die maand deel je de admin gegevens met de nieuwe partij, eventueel kan je een tijdelijk contract afspreken voor de periode erna waarin je enkel een advies rol hebt naar de nieuwe leverancier.

[ Voor 17% gewijzigd door ShadowBumble op 13-03-2026 22:50 ]

Sommige reacties lijken nogal te neigen naar het gijzelen van de omgeving van jullie klant. De overnemende partij te weinig mogelijkheden geven om zich voor te bereiden op de overname van het beheer is niet correct en ook niet geheel risicoloos voor jullie. Je klant zou daar schade door kunnen lijden en je zou daar aansprakelijk voor kunnen zijn.

Maar jullie zorgen omtrent risico's en aansprakelijkheid bij het verlenen van toegang zijn ook terecht.

Spreek daarom met je klant af welke verantwoordelijkheden en aansprakelijkheden je niet langer kunt dragen als er andere partijen toegang hebben tot het account, leg dat goed vast en faciliteer daarna een soepele overdracht. Uiteraard kan je de klant ook wijzen op mogelijkheden om de overnemende partij voldoende inzicht te geven zonder gevaarlijke toegang, zoals readonly-accounts, of informatie-exports. Maar uiteindelijk is de omgeving van de klant

[ Voor 14% gewijzigd door eamelink op 13-03-2026 22:49 ]

Dat mee laten lopen van de nieuwe partij, is gratis training die TS verzorgt?
De architectuurplaten die worden opgevraagd kunnen ze zelf ook maken.

Weet niet wat juridisch juist is maar zou er weinig trek meer in hebben om deze klant nog extra service te bieden.

eamelink schreef op vrijdag 13 maart 2026 @ 22:46:
Sommige reacties lijken nogal te neigen naar het gijzelen van de omgeving van jullie klant. De overnemende partij te weinig mogelijkheden geven om zich voor te bereiden op de overname van het beheer is niet correct en ook niet geheel risicoloos voor jullie. Je klant zou daar schade door kunnen lijden en je zou daar aansprakelijk voor kunnen zijn.

Er valt natuurlijk nog niks over te geven aan een andere partij want de klant heeft naar wat ik begrijp nog niet opgezegd, dus er valt gewoon nog niks over te dragen. Inventariseren door zo'n andere partij zou ook raar zijn, dat hun een contract hebben met de klant terwijl de klant die verantwoording nog bij een andere actieve partij heeft liggen.

Dit is precies waarom je opzeggingen kan doen en in de opzegging een transitie contract neer legt, dus klant zegt op bij Partij van de TS op datum X, op datum X draagt de TS alle admin account over en op datum X gaat een tijdelijk contract in waarin de TS een adviserende of ondersteunende rol heeft naar de nieuwe partij. ( Desnoods op basis van uurtje factuurtje maar de verantwoordelijkheid ligt al bij de nieuwe partij)

Walkingshadown schreef op vrijdag 13 maart 2026 @ 23:14:
Dit is precies wat ik aan het uitzoeken ben: binnen het lijntje kleuren. Uiteraard, als er nieuwe partijen zijn, gaan we hen niet begeleiden in hoe alles werkt. Een rechter zou zeggen dat we redelijk moeten zijn, en dat zijn we ook. Indien de klant de beheergegevens wil ontvangen, dient hij ons te vrijwaren van enige verantwoordelijkheid met betrekking tot het verdere beheer.

Er zijn diverse zienswijzen in de rechtspraak.
https://www.juridict.nl/j...den-niet-af-aan-eigenaar/ (verstrekken wachtwoorden).

https://www.security.nl/p...nsomware-aanval+bij+klant (onvoldoende beveiliging door ict leverancier)
https://www.security.nl/p...r+gehackte+Azure-omgeving (onvoldoende beveiliging door ict leverancier)

Hieruit volgt dat er MFA actief moet zijn, en dat het netwerk veilig opgezet moet zijn (segmentatie). Alleen een wachtwoord zou niet moeten kunnen werken.

Als gecontracteerd verantwoordelijke ICT dienstverlener moet je waken voor de veiligheid van het systeem, wachtwoorden verstrekken is tegengesteld aan dat doel. Je weet waarschijnlijk niet wat ze er mee gaan doen en wie de toegang gaat krijgen.

Dus zo makkelijk is dit niet. Zoals ik het zie laat de uitspraken van rechters je geen andere keus dan niet akkoord gaan met betrekking tot het vrijgeven van wachtwoorden op basis van de aangegeven redenen zolang het contract loopt. Je kan wel een eventueel gevraagde inventarisatie maken en die aan de klant geven, waarbij je gevoelige beveiliging- en privacygegevens zoals IP nummers, MAC adressen, wachtwoorden, persoonsnamen niet daarin vermeldt. Gebruik bijvoorbeeld uitsluitend rollen.

Bij overname door een andere dienstverlener of bij beeindiging van de overeenkomt verstrek je de wachtwoorden tijdens de overdracht, na het tekenen van de documenten. Je kan een nieuw contract aangaan voor de duur van de overgangsperiode. Daarin leg je de volledige verantwoordelijkheid bij de klant en geef je aan dat dit nieuwe contract de oude vervangt. Zo dek je je juridisch in. Zolang het contract loopt waarin staat dat jij verantwoordelijk bent kun je niet door een simpel emailtje aangeven dat je niet verantwoordelijk bent, zo werkt dat niet. Daar heb je echt een nieuwe door beide partijen getekende overeenkomst voor nodig waarin duidelijk is dat je alleen nog een adviserende rol hebt en dat het oude contract is beëindigd.

Laat ik het even omdraaien. Als ik een nieuwe klant zou krijgen, waarvan de vorige IT beheerder erg moeilijk doet over overdracht en ik daardoor op geen manier mezelf kan voorbereiden, zou ik dat ook niet professioneel vinden. Het zou gewoon een professionele samenwerking moeten zijn tussen beide IT partijen. Recent heeft mijn opdrachtgever een bedrijf overgenomen en we werken ook samen met meerdere toeleveranciers en wordt een deel van de contracten opgezegd, incl. die van de (inmiddels) vorige IT-er. Ik verwacht dat deze partijen en persoon gewoon aan overdracht doen en mij alles tijdig geven voor een volledige toegang tot het netwerk.
En hoezo, zou het verstrekken van wachtwoorden een probleem moeten zijn? Als ik als nieuwe beheerpartij het root wachtwoord wil hebben van een router, dan moet ik die gewoon krijgen. Ik neem aan dat de vorige IT partij niet zijn wachtwoorden hergebruikt bij andere klanten.

[ Voor 17% gewijzigd door segil op 14-03-2026 10:04 ]

Ik heb als ZZP'er nou 4 klanten gehad die naar een andere partij gingen:
- klant 1, eigen IT van de partij die ze heeft overgenomen, gewoon meegenomen in het traject en alles in stappen afgebouwd
- klant 2, idem
- klant 3, rechtstreeks contact met nieuwe partij, ook afbouwen en overdragen
- klant 4: kleine factuur voor wat onderhoud, "waar is dit voor? we doen de computers nu bij partij X".

Bij die 4e klant heeft partij X nooit wat aan mij gevraagd. Monitoring op de server liep door, ding ging kapot, ik benader klant actief dat er wat met hun server is, reageren eerst vragend, maar factuur van het onderzoek is nooit betaald. Geen backups want ook dat kreeg ik nooit reactie op en toen het pand affikte belde een software leverancier mij om te vragen of ik nog backups had...

Ik zit nu zelf in een traject met een overname, maar krijg niks geregeld. Zeer frustrerend, zowel voor klant als voor mij.

segil schreef op zaterdag 14 maart 2026 @ 10:02:
Laat ik het even omdraaien. Als ik een nieuwe klant zou krijgen, waarvan de vorige IT beheerder erg moeilijk doet over overdracht en ik daardoor op geen manier mezelf kan voorbereiden, zou ik dat ook niet professioneel vinden. Het zou gewoon een professionele samenwerking moeten zijn tussen beide IT partijen. Recent heeft mijn opdrachtgever een bedrijf overgenomen en we werken ook samen met meerdere toeleveranciers en wordt een deel van de contracten opgezegd, incl. die van de (inmiddels) vorige IT-er. Ik verwacht dat deze partijen en persoon gewoon aan overdracht doen en mij alles tijdig geven voor een volledige toegang tot het netwerk.
En hoezo, zou het verstrekken van wachtwoorden een probleem moeten zijn? Als ik als nieuwe beheerpartij het root wachtwoord wil hebben van een router, dan moet ik die gewoon krijgen. Ik neem aan dat de vorige IT partij niet zijn wachtwoorden hergebruikt bij andere klanten.

En als jij die configuratie van de router per ongelukt aanpast waardoor Internet niet meer werkt en het bedrijf plat ligt? Mogelijke schadeclaims bij de huidige beheerder wil indienen?

Moet het oorspronkelijke beheer bedrijf dan de problemen oplossen die de andere partij heeft veroorzaakt? Hoe bewijs je, wie er aansprakelijk is voor fouten, of incidenten, als jij niet meer volledig controle hebt over je omgeving?

Soms op te lossen met leesrechten, maar zeker niet altijd.

Ik heb heel wat transities mee gemaakt, en "admin" rechten zijn altijd een grote discussie.

Rolfie schreef op zaterdag 14 maart 2026 @ 10:43:
[...]

En als jij die configuratie van de router per ongelukt aanpast waardoor Internet niet meer werkt en het bedrijf plat ligt? Mogelijke schadeclaims bij de huidige beheerder wil indienen?

Moet het oorspronkelijke beheer bedrijf dan de problemen oplossen die de andere partij heeft veroorzaakt? Hoe bewijs je, wie er aansprakelijk is voor fouten, of incidenten, als jij niet meer volledig controle hebt over je omgeving?

Soms op te lossen met leesrechten, maar zeker niet altijd.

Ik heb heel wat transities mee gemaakt, en "admin" rechten zijn altijd een grote discussie.

Dan heb je een audit trail die aantoont wie dat probleem heeft veroorzaakt en mag oplossen.
Bij een transitie van 1 beheerspartij naar een ander kan je niet de verantwoordelijk 100% van het ene op het andere moment overgeven. Het is een gedeelde verantwoording die je samen met de klant afspreekt.

Normaal gesproken stel je een plan op voor overdracht met taken, eigenaren en data. Dit plan werk je af en je houdt de klant op te hoogte hiervan. Als de andere partij een fout maakt en je merkt dit op, kaart je dit aan bij de klant en de andere partij en los je het samen op.

Ik heb vaak genoeg in migratie projecten meegemaakt dat een toeleverancier bij overdracht een fout maakte. Kan gebeuren, zolang je maar goede afspraken hebt hoe daarmee om te gaan.

segil schreef op zaterdag 14 maart 2026 @ 10:02:
Laat ik het even omdraaien. Als ik een nieuwe klant zou krijgen, waarvan de vorige IT beheerder erg moeilijk doet over overdracht en ik daardoor op geen manier mezelf kan voorbereiden, zou ik dat ook niet professioneel vinden. Het zou gewoon een professionele samenwerking moeten zijn tussen beide IT partijen. Recent heeft mijn opdrachtgever een bedrijf overgenomen en we werken ook samen met meerdere toeleveranciers en wordt een deel van de contracten opgezegd, incl. die van de (inmiddels) vorige IT-er. Ik verwacht dat deze partijen en persoon gewoon aan overdracht doen en mij alles tijdig geven voor een volledige toegang tot het netwerk.
En hoezo, zou het verstrekken van wachtwoorden een probleem moeten zijn? Als ik als nieuwe beheerpartij het root wachtwoord wil hebben van een router, dan moet ik die gewoon krijgen. Ik neem aan dat de vorige IT partij niet zijn wachtwoorden hergebruikt bij andere klanten.

Er zijn meerdere wegen die naar Rome leiden, zonder dat je daarbij "gewoon" een wachtwoord doorgeeft, maar gewoon hen daar zelf (wanneer de tijd er voor is) de toegang geeft om eea over te nemen, met eigen accounts en (dus) wachtwoorden. Ook een root password kun je uiteindelijk met behulp van sudo rechten bijvoorbeeld wijzigen. Eerst geef je daar de toestemming niet toe en pas wanneer je eea daadwerkelijk overdraagt wel.

segil schreef op zaterdag 14 maart 2026 @ 10:02:
Laat ik het even omdraaien. Als ik een nieuwe klant zou krijgen, waarvan de vorige IT beheerder erg moeilijk doet over overdracht en ik daardoor op geen manier mezelf kan voorbereiden, zou ik dat ook niet professioneel vinden. Het zou gewoon een professionele samenwerking moeten zijn tussen beide IT partijen. Recent heeft mijn opdrachtgever een bedrijf overgenomen en we werken ook samen met meerdere toeleveranciers en wordt een deel van de contracten opgezegd, incl. die van de (inmiddels) vorige IT-er. Ik verwacht dat deze partijen en persoon gewoon aan overdracht doen en mij alles tijdig geven voor een volledige toegang tot het netwerk.
En hoezo, zou het verstrekken van wachtwoorden een probleem moeten zijn? Als ik als nieuwe beheerpartij het root wachtwoord wil hebben van een router, dan moet ik die gewoon krijgen. Ik neem aan dat de vorige IT partij niet zijn wachtwoorden hergebruikt bij andere klanten.

De post van TS komt niet over alsof ze niet mee willen werken, maar dat ze alles op een nette manier willen afhandelen waarbij zij niet aansprakelijk zijn voor iets wat een ander doet.

Ik zou als klant blij zijn wanneer de huidige dienstverlener wat pushback levert in plaats van gelijk maar een spreadsheet met login gegevens van alle root wachtwoorden doormailt. Waarom zou je uberhaupt het root wachtwoord moeten hebben bij een inventarisatie?

Dan heb je een audit trail die aantoont wie dat probleem heeft veroorzaakt en mag oplossen.

En hoe wil je aantonen wie wat gedaan heeft als beide partijen toegang hebben tot het root-account?

Inmiddels gaat de discussie over twee verschillende zaken. Namelijk om een inventarisatie wat in de TS staat, en een overdracht van gegevens naar een nieuwe partij.

Bij een overdracht is het duidelijk dat je alles netjes gedocumenteerd oplevert aan de nieuwe partij, inclusief (nieuwe) beheerdersaccounts.
Maar bij een inventarisatie is het vrijgeven van van een beheerdersaccount niet nodig, en dat is het stadium waar de TS nu in zit.

segil schreef op zaterdag 14 maart 2026 @ 10:56:
[...]


Dan heb je een audit trail die aantoont wie dat probleem heeft veroorzaakt en mag oplossen.

Zie zegt dat auditing hier geregeld is als onderdeel van de SLA? Of dat auditing dit oppakt of verwerkt.

Bij een transitie van 1 beheerspartij naar een ander kan je niet de verantwoordelijk 100% van het ene op het andere moment overgeven. Het is een gedeelde verantwoording die je samen met de klant afspreekt.

Er is altijd maar 1 kapitein op het schip, die is verantwoordelijk voor de omgeving. En dat is meestal de gene die de admin wachtwoorden heeft.

En dat doe je inderdaad in overleg met een transitie plan. Echter als de klant even een mail stuurt van een opzegging, en je al eerdere discussies hebt gehad, over werkzaamheden / dat je problemen van een 3de partij in een systeem waar jij verantwoordelijk voor bent, dan ben je niet meer zo gemakkelijk. Blijkbaar zijn de verwachtingen van de klant, van hele andere aard. Dan moet je dus heel goed nadenken over admin rechten geven aan een 3de partij. Want voor je het weet, mag jij de problemen oplossen, of ben jij verantwoordelijk voor een incident.

Normaal gesproken stel je een plan op voor overdracht met taken, eigenaren en data. Dit plan werk je af en je houdt de klant op te hoogte hiervan. Als de andere partij een fout maakt en je merkt dit op, kaart je dit aan bij de klant en de andere partij en los je het samen op.

Blijkbaar weinig ervaring met transities met een klant, die even opzegt per email? Of al een 3de partij werkzaamheden laat uitvoeren, waarna jij de problemen mag oplossen?

Ik heb vaak genoeg in migratie projecten meegemaakt dat een toeleverancier bij overdracht een fout maakte. Kan gebeuren, zolang je maar goede afspraken hebt hoe daarmee om te gaan.

Fouten worden gemaakt, maar wat ik lees, zou ik ook heel terughoudend zijn bij deze klant. Opzeggen per email, is al een rode vlag, als de klant al bedenkt, dat je al problemen mag oplossen, van een 3de partij die hij even heeft ingehuurd, dan moet je als partij heel voorzichtig zijn en alles heel goed afbakenen.

Je maakt inderdaad goede afspraken over de governance en verantwoordelijkheden. Om dit eventueel uit te werken, zitten natuurlijk ook weer (financiele) afspraken over te maken. Want om dit uit te werken, is vaak geen standaard werk en zal de klant bijvoorbeeld ook voor moeten betalen. Wat waarschijnlijk ook weer een discussiepunt gaan worden bij deze klant. Maar dan krijg je dus een koude handover.

En afspraken maken blijkt, uit de huidige informatie, heel lastig met deze klant. Deze denkt heel anders over IT. Waarbij je dus heel duidelijk moet zijn in bepaalde dingen. Admin rechten zouden voor mij echt een no go zijn, als ik er verantwoordelijk voor zou zijn.

Joesv schreef op zaterdag 14 maart 2026 @ 11:10:
En hoe wil je aantonen wie wat gedaan heeft als beide partijen toegang hebben tot het root-account?

Dit is echt een scenario die je nooit moet doen. Accounts delen enzo is echt not done. Je maakt een nieuw account aan voor de nieuwe medewerkers met de rechten wat nodig is. Dit kan global admin zijn of meer beperkt, de klant moet dat uiteindelijk bepalen al dan niet op advies van een van de 2 professionele partijen die het beheer doen.

Wij hebben een hele exit procedure. Klanten kunnen prima naar een andere partij gaan, ook is er dan overdracht naar de nieuwe partij waarbij de omgevingen en dergelijke worden uitgelegd. De kosten hiervoor zijn voor de klant, wij sturen dan gewoon een factuur met daarop regels als overdracht naar xxx. We zorgen dat alle documentatie zoveel mogelijk up-to-date is. Vaak is er ongeveer 1 maand dat beide partijen dezelfde rechten hebben, de nieuwe partij kan dan de omgeving verkennen en nog vragen stellen als die er nog komen.

Nou moet ik wel zeggen dat wij hierin erg professioneel zijn en dat de tegenpartij meestal pas met vragen komen 1 a 2 maanden nadat wij geen toegang meer hebben tot het systeem. We helpen dan met best effort (de factuur gaat dan wederom naar de desbetreffende klant). Dit wordt uiteraard wel in overleg met de klant gedaan, we sturen nooit een factuur waar de klant niks van af weet.

Bij de overdracht bereiden wij meestal een powerpoint presentatie voor om de hele omgeving door te lopen, de gebruikte technieken te melden en bijzonderheden die voor het hele nieuwe team gelden door te geven. De presentatie delen we ook. Daarna plannen we elke week (in de maand dat beide partijen toegang hebben) een meeting in van 2 uur waarbij de nieuwe partij nog vragen kan stellen. Die meetings worden vaak geannuleerd omdat ze geen vragen hebben.

In essentie is het niet zo moeilijk. Klant wil een inventarisatie van zijn omgeving. Ik ken als IT’er maar twee mogelijkheden:

• Klant geeft mij een lijst van zaken die hij wil weten. Ik ga die informatie aanleveren.
• Klant stuurt iemand die de inventarisatie gaat maken. Die persoon krijgt geen account maar we gaan het samen doen.

We gaan natuurlijk geen onbevoegden, waar wij geen enkele contractuele relatie mee hebben, admin toegang tot de omgeving geven. En gevoelige informatie zoals passwords wordt niet overgedragen. Mocht de klant naar een nieuwe leverancier willen dan worden de passwords overgedragen op de dag dat de contractuele verantwoordelijkheid overgaat.

Vergelijk het met het kopen van een huis. Je krijgt de sleutels pas als het koopcontract is ondertekend. Gelijk oversteken. Dat jij liever een weekje eerder al begint met schilderen is jouw probleem.

Ik heb audits en soortgelijke inventarisaties bij redelijk serieuze bedrijven meegemaakt. Dat is altijd in de vorm van vragenlijsten voor de IT’ers. Soms krijg je voor het gemak scripts en commando’s om uit te voeren. Maar die check je dan wel zelf zodat je kunt verifiëren dat er geen gekke dingen gebeuren (want jij blijft verantwoordelijk) en bij twijfel doe je het toch gewoon handmatig. En soms worden er daarnaast ook interviews gedaan.

Het idee dat een onbekende op eigen houtje (en met admin rechten) gaat grasduinen in de systemen waar jij contractueel verantwoordelijk voor bent is voor mij heel vreemd. Want die persoon is waarschijnlijk een concurrent van jullie en heeft niet voor geheimhouding en aansprakelijkheid getekend.

Rolfie schreef op zaterdag 14 maart 2026 @ 11:21:
[...]

Er is altijd maar 1 kapitein op het schip, die is verantwoordelijk voor de omgeving. En dat is meestal de gene die de admin wachtwoorden heeft.

[...]

Blijkbaar weinig ervaring met transities met een klant, die even opzegt per email? Of al een 3de partij werkzaamheden laat uitvoeren, waarna jij de problemen mag oplossen?

Ik proef hier een beetje uit dat jij vooral doelt op simpelere MKB omgevingen, die redelijk eenvoudig over te dragen zijn. Mijn ervaringen zijn met complexere omgevingen, met een doorlooptijd van > 1 jaar voor volledige overdracht. Daar volsta je niet met 1 moment om alles over te dragen en zul je geleidelijk aan in fases beheerstaken overnemen. Waar mogelijk uiteraard met nieuwe admin accounts. Maar dat is niet altijd mogelijk en dan maak je goede afspraken.

Edit: een voorbeeld. Een partij die we overgenomen hebben is een MKB bedrijf met 40 man office medewerkers en 100 man productie medewerkers. Alle IT werd gedaan door 2 personen. Naast de standaard IT diensten voor office personeel, hebben ze ook een productie omgeving met een productielijn met meerdere embedded systemen: aansturing, monitoring, bediening, etc . Gescheiden netwerk, eigen maintenance windows, etc. Een deel van het beheer van die omgeving werd ook gedaan door deze 2 personen. En de rest door de leveranciers van deze systemen.
Gezien dit allemaal, denk je dat een overdracht mogelijk is die jij beschrijft? Een eenvoudige inventarisatie vooraf, en dan in 1 dag tijd een handover van alle verantwoordelijkheden?

[ Voor 28% gewijzigd door segil op 14-03-2026 11:51 ]

segil schreef op zaterdag 14 maart 2026 @ 11:42:
[...]


Ik proef hier een beetje uit dat jij vooral doelt op simpelere MKB omgevingen, die redelijk eenvoudig over te dragen zijn. Mijn ervaringen zijn met complexere omgevingen, met een doorlooptijd van > 1 jaar voor volledige overdracht. Daar volsta je niet met 1 moment om alles over te dragen en zul je geleidelijk aan in fases beheerstaken overnemen. Waar mogelijk uiteraard met nieuwe admin accounts. Maar dat is niet altijd mogelijk en dan maak je goede afspraken.

Dat proef je verkeerd verkeerd. je kunt bepaalde diensten soms wel stap voor stap overnemen. Bijvoorbeeld netwerk locaties per locatie. Of Firewall beheer, of server voor server. AD kun je ook in stapjes doen met RBAC. En meestal als je op >50% overname zit, ben jij hoofdverantwoordelijke / aanspreekpunt, meestal ook wanneer bijvoorbeeld domain admin rechten overgedragen worden.

Je kunt eventueel ook eventueel locatie voor locatie overzetten, en daarmee alle spullen direct vervangen.

Of je moet een greenfield bouwen natuurlijk, dan is de scheiding gemakkelijker, je hebt alleen weer een goede interop nodig. Maar alles hangt er weer vanaf, wat je overname is geweest. Bij grote deals, kan het bijvoorbeeld alleen maar KA zijn, en blijven bijvoorbeeld Active directory, fabrieken, VOIP, SOC,SIEM, Antivirus of application servers out of scope of onderdeel van een andere aanbesteding.

Edit: een voorbeeld. Een partij die we overgenomen hebben is een MKB bedrijf met 40 man office medewerkers en 100 man productie medewerkers. Alle IT werd gedaan door 2 personen. Naast de standaard IT diensten voor office personeel, hebben ze ook een productie omgeving met een productielijn met meerdere embedded systemen: aansturing, monitoring, bediening, etc . Gescheiden netwerk, eigen maintenance windows, etc. Een deel van het beheer van die omgeving werd ook gedaan door deze 2 personen. En de rest door de leveranciers van deze systemen.
Gezien dit allemaal, denk je dat een overdracht mogelijk is die jij beschrijft? Een eenvoudige inventarisatie vooraf, en dan in 1 dag tijd een handover van alle verantwoordelijkheden?

Hangt allemaal van een hoop af. Een andere partij kan een bepaalde tijd mee kijken, en zich gereedmaken voor de overdracht, maar er is altijd 1 eind verantwoordelijke. Je kunt niet 2 eindkapiteins op 1 schip (dienst,server,locatie), tenzij je hele goede (DAP) afspraken hebt gemaakt, die waar verantwoordelijk voor is op welk onderdeel.

Maar alles draait om afspraken (en deze goed vastleggen).

Walkingshadown schreef op zaterdag 14 maart 2026 @ 17:57:
[...]

Kan dit gezien worden als (gedeeltelijke) overname van beheer, of blijft de dienstverlener volgens de SLA verantwoordelijk?

Juridisch gezien ben jij (het bedrijf) dus eindverantwoordelijke als dienstleverancier/beheerder, dat staat er in het contract namelijk. Stel jij hebt toevallig een collega en die geef je ook een login dan blijf jij (of het bedrijf) nog steeds verantwoordelijk richting de klant als er iets mis gaat. Als jij een login geeft aan de melkboer op de hoek en die delete alles, ben jij nog steeds verantwoordelijk. Dit is niet anders, enkel dat het de klant is.

Alles valt en staat dus met afspraken, afspraken die je maakt met de klant over dat hun zelf verantwoordelijk zijn voor de acties die uitgevoerd worden met dit account, dan zou je alle acties kunnen beleggen bij de klant. Kan dat ? Ja dat kan, zou je dat willen ? Nee want de bewijslast ligt bij jouw om aan te tonen dat het aan dat account lag.

Walkingshadown schreef op zaterdag 14 maart 2026 @ 18:57:
[...]

Begrijp ik het goed dat, zelfs als de wachtwoorden zijn overgedragen en er een document is getekend waarin staat dat de klant zelf beheerrechten krijgt, wij als IT-leverancier mogelijk nog steeds verantwoordelijk kunnen worden gehouden voor wat er daarna gebeurt zolang de SLA nog loopt?

Als jij niet in dat document expliciet hebt afgesproken dat de verantwoording van dat account en de acties die uitgevoerd worden met dat account bij de klant liggen dat begrijp je dat goed inderdaad. Daarnaast zelfs al zet je dat er wel in blijft het nog steeds jouw plicht om aan te tonen dat wijzigingen, storing of verwijderde configuratie aantoonbaar door dat account komen anders kom je in een eindeloos "Nee hoor, ik heb niks gedaan".

Walkingshadown schreef op zaterdag 14 maart 2026 @ 18:47:
[...]

In dit geval weten wij eigenlijk niets van een eventuele nieuwe leverancier. Het verzoek dat we kregen was alleen om de inloggegevens te delen en de vraag waar men kan inloggen.

Nieuwe leverancier of niet doet er niet zoveel toe. Dat zou geen factor in jouw reactie moeten zijn. De klant vraagt inzicht, wat ie daarmee doet is zijn probleem, jij moet als leverancier gewoon op een verantwoorde manier dat inzicht geven. Meer niet. De vraag moet alleen zijn wat “verantwoord” in deze situatie precies inhoudt.

Ik zou er niet aan beginnen. Tenzij dat inzicht integraal is aan de werking van hetgeen wat jullie leveren en jullie contractbreuk plegen door dat inzicht niet te geven dan mogen ze heel duidelijk en expliciet beargumenteren waarom ze dat nodig hebben. Als je daar geen goed argument op terug krijgt dan weiger je het verzoek. Zeker als dat inzicht inzage geeft in de implementatie van hetgeen wat jullie leveren.

Je kan ook een alternatieve manier aanbieden om het inzicht te geven wat ze willen hebben, zonder ze volledige toegang te geven. Bijvoorbeeld door documentatie aan te leveren. Maar stap 1 is dus om de vraag achter de vraag te achterhalen.

Walkingshadown schreef op maandag 16 maart 2026 @ 18:26:
De klant blijft echter hameren op het krijgen van beheerdersrechten. Tegelijkertijd noemt de klant het vendor lock-in.

Dan willen ze zelf dus aanpassingen kunnen doen. (Of iemand anders aanpassingen laten doen.)

Ze willen hoe dan ook beheerdersrechten krijgen, dus ga er maar vanuit dat je vroeg of laat extra beheerders toe moet laten.
Oftewel, je moet zorgen voor aanvullende afspraken wat betreft de verantwoordelijkheden en SLA response tijden indien er problemen optreden.

Dergelijke klanten moet je zelf opzeggen, dwz de einddatum aankondigen. De opvolger krijgt admin-rechten die ingaan op einddatum+1.

Mijn uitgangspunt is altijd: de klant bepaalt. Als die een eigen expert inschakelt om het beheer (deels) over te nemen, waarom zou je dat dan tegenhouden? Dat levert alleen maar conflicten op en het wekt al snel de indruk dat je niet wilt meewerken.

Vrijwel alle enterprise apparaten en software hebben audit logs, soms moeten die alleen nog aangezet worden. Regel dat, geef de klant een account met de rechten die die nodig heeft, en klaar. Sloopt die de boel? Dan kun je dat gewoon aantonen met de logs en is duidelijk wie waarvoor verantwoordelijk is.
Hybride beheersituaties zijn bij ons trouwens heel normaal. Zo sprak ik vandaag nog een klant waarbij een eigen medewerker App Secrets kan aanmaken in hun Azure omgeving, iets wat eigenlijk onze taak is, maar die doet dat alleen op verzoek van een PO. Soms is er zelfs een derde partij die het security- en accountbeheer doet, terwijl wij ons beperken tot het ontwikkelwerk en integratiebeheer. Zoveel klanten, zoveel wensen.

Het principe blijft wel: de klant bepaalt. Vind je iets geen goed idee, dan adviseer je, met een duidelijke uitleg en de mogelijke gevolgen erbij. Zo hebben wij een klant die geen dev-, test- en acceptatieomgeving wil, puur vanwege de kosten. Prima, maar dan leg je wel uit dat een incident langer duurt om op te lossen, omdat we voor een productie-uitrol eerst op een acc-omgeving willen testen, die dan ter plekke opgezet moet worden. Dat soort afspraken zet je gewoon zwart op wit.

Ten eerste; als jullie overeenkomst deze situatie niet dekt zou ik je aanraden om eens met een jurist om tafel te gaan om dit écht goed in te dekken in je standaardovereenkomst. Niet alleen voor derde partijen, maar ook wanneer de klant zelf iets verkloot. Iedereen die instellingen aanraakt behalve jullie zou gewoon meteen tot facturabele uren vanuit jullie moeten leiden en moeten jullie niet aansprakelijk voor zijn.
Dat gezegd hebbende, de klant wint er niks mee om iets te tekenen waarin staat dat <tot het contract beëindigd is>, jullie niet aansprakelijk zijn voor evt. schade of verlies van gegevens door aanpassingen van de klant of een vertegenwoordiger daarvan. Tenzij de klant bij voorbaat van plan is jullie aansprakelijk te stellen.

Ik zou het heel simpel en zakelijk houden; tenzij klant expliciet op papier akkoord gaat met dat jullie niet aansprakelijk zijn worden er geen beheerdersgegevens gedeeld omdat dat in strijd is met de overeenkomst die jullie hebben. Wil de klant dat er gegevens gedeeld worden dan kan dat, maar eerst tekenen.
Weigeren ze te tekenen dan is het een klant waar je niet droevig om hoeft te zijn als ze zelf uit onvrede weg gaan.

Het is wel leuk dat je met audit-logs kunt aangeven dat de oorzaak van een probleem bij de klant zelf ligt en dat je de uren vergoed wilt hebben, maar om het daadwerkelijk betaalt te krijgen is een ander probleem. Vandaar dat hierover ook gewoon iets ondertekent moet worden.

En aangezien de TS al aangeeft dat ze niets over verantwoordelijkheid willen tekenen, lijkt mij dat juist een reden om alles op papier te zetten voordat de klant beheerdersrechten krijgt.

Walkingshadown schreef op maandag 16 maart 2026 @ 21:44:
Bedankt voor jullie advies hierover.

In de getekende SLA staat: “De opdrachtnemer werkt mee aan de overdracht van de gegevens aan de opdrachtgever in de laatste 7 dagen van de contractuele opzegtermijn van 1 maand.”

Ik zou dit stukje tekst opsturen en dan op zoek gaan naar een jurist of advocaat die gespecialiseert is in dit soort dingen.

Walkingshadown schreef op zaterdag 31 januari 2026 @ 19:57:
[...]

Het contract vermeldt een opzegtermijn van één maand. De klant heeft wel via e-mail opgezegd, maar geen specifieke datum genoemd. Hij vroeg wel om tekeningdocumentatie en andere benodigde documenten om met andere partijen te delen. Ik heb dit met iemand besproken en die raadde aan om zelf een opzegdatum te geven, bijvoorbeeld eind februari. “Geef de klant daarna een termijn om te reageren en akkoord te gaan met de opzegdatum. Spreek vervolgens een datum af, bijvoorbeeld een paar dagen voor het einde van het contract, om de wachtwoorden over te dragen. Zorg er daarbij voor dat juridisch duidelijk is dat de verantwoordelijkheid wordt overgedragen bij de overdracht van de wachtwoorden”.

Los van data en opzegtermijnen, is het verstandig om de ‘ontkoppeling’ vooraf in een SLA of addendum vast te leggen. Dus hoe organiseer je overdracht, worden extra werkzaamheden betaald en is er een aangepaste responstijd van toepassing ( als voorbeeld)

Misschien is het wel tijd om een account manager op jullie klant te zetten en die eens helder te laten krijgen wat er nu allemaal precies speelt en wat er gewenst is.

Laat hem/haar vragen waarom er vanuit het niets een verzoek is gekomen om het contract op te zeggen zonder einddatum, waarom er kort daarna in ene een verzoek is voor alle beheeraccounts met wachtwoorden zonder structurele onderbouwing en daarna willen ze een inventarisatie hebben van het netwerk en de accounts en willen ze niks tekenen.

Ik heb je topic een passender titel gegeven en verplaatst naar PFSL.

Lever je een product? Dus een compleet werkende omgeving, die draait op jouw hardware / stukje cloud waar jij het beheer en alles verzorgt?
Of lever je een dienst dat de hardware / stukje cloud op naam staat van de klant, en je puur de externe handjes bent die alles aan elkaar geknoopt heeft?

Als de klant mee wilt kijken in zijn eigen omgeving, maar een read-only account aan.
Als de klant een beheersaccount wilt, maak een nieuwe aan met de juiste rechten. Stel dat er aanpassingen gedaan worden je dit kan herleiden naar dit specifieke account. En daar tekent de klant dan ook voor de verantwoordelijkheid.
Als de klant allen huidige beheersaccounts wilt hebben met het bijbehorende wachtwoord, dan verander je 1 seconde later alle wachtwoorden omdat ze gelekt zijn en je anders niet aan jouw dienstverlening kan voldoen.

Afhankelijk van de omgeving, complexiteit etc, is een nieuwe beheers of read-only account de beste optie.

Walkingshadown schreef op maandag 16 maart 2026 @ 21:44:
Bedankt voor jullie advies hierover.

Vandaag hebben wij de klant alsnog verzocht om de vrijwaring te tekenen. Zonder deze vrijwaring kunnen wij de verantwoordelijkheid niet dragen. De klant geeft echter aan: “maar wij wijzigen niets”.

Wij willen niet het gevoel geven dat wij niet willen meewerken. Uiteraard werken wij mee, maar wij moeten onszelf ook beschermen.

In de getekende SLA staat: “De opdrachtnemer werkt mee aan de overdracht van de gegevens aan de opdrachtgever in de laatste 7 dagen van de contractuele opzegtermijn van 1 maand.”

De klant heeft echter nog niet opgezegd.

Hoe zouden jullie hier verder mee omgaan? De klant wil de vrijwaring niet tekenen, maar eist wel dat hij de beheerdersrechten krijgt.

Als ze niets wijzigen volstaat een read-only account toch?

Zou gewoon terugsturen dat jullie zoals in de getekende SLA staat alleen gegevens delen in de laatste week voor het einde van de overeenkomst, maar dat jullie nu wel read-only gegevens kunnen delen met daarbij gewoon heel simpel in het mailtje vermeld dat jullie niet verantwoordelijk zijn voor evt. misbruik van die gegevens. Als je dat op papier hebt en de klant zegt dan 'stuur maar', dan is dat prima toch?

Standeman schreef op maandag 16 maart 2026 @ 21:53:
[...]
Ik zou dit stukje tekst opsturen en …

Oon schreef op dinsdag 17 maart 2026 @ 13:40:
…
Zou gewoon terugsturen dat…

Ik zou stoppen met “sturen” en gewoon eens een gesprek aangaan. Jeweetwel, fysiek, in zo’n vergaderzaal, waar je elkaar aan kan kijken (eng!) en je elkaars intonatie kan horen (ook eng!). En daar gewoon even de tijd nemen om elkaar (weer/eindelijk) te leren kennen.
En uiteindelijk stel je elkaar de vraag: waar maak je je zorgen over?
Vanaf daar is het écht zo moeilijk niet om een oplossing te bedenken waar iedereen zich in kan vinden.

[ Voor 13% gewijzigd door Illusion op 17-03-2026 13:55 ]

Walkingshadown schreef op vrijdag 13 maart 2026 @ 19:06:
De discussie met de nieuwe manager loopt nog steeds. Vandaag heb ik opnieuw met hem gesproken. Hij geeft aan dat hij de beheerwachtwoorden wil ontvangen om zogenaamd “inzicht in de omgeving” te krijgen en vraagt daarbij om alle beheeraccounts.

Het is goed.. Hooguit krijgen ze nieuwe persoonsgebonden read-only accounts. Dat voldoet aan het doel, en maakt duidelijk op wie op welk moment toegang gezocht heeft tot de omgeving.

Pas op het formele moment van beheeroverdracht zou men van mijn privileged accounts gaan krijgen.

Walkingshadown schreef op maandag 16 maart 2026 @ 21:44:
Hoe zouden jullie hier verder mee omgaan? De klant wil de vrijwaring niet tekenen, maar eist wel dat hij de beheerdersrechten krijgt.

Duidelijk blijven aangeven dat dit niet kan onder jullie huidige security-policies/kwaliteitsstandaarden, die jullie (neem ik aan) contractueel aan hun verplicht zijn. En dat als ze daar vanaf willen wijken dat dus wel degelijk een wijziging van de contractuele voorwaarden is. Of simpeler gezegd: met het huidige contract kun je niet aan hun verzoek voldoen. Dat is geen klantje pesten, dat is leveren wat je contractueel belooft. Soms "nee" zeggen vanuit security-oogpunt juist een dienst.

Ten minste, ik neem aan dat jullie contract wel een algemen catch-all heeft wat betreft het handelen naar kwaliteits/security-standaarden. Zo niet, dan wordt het een wat wazigere discussie, maar dan nog valt handelen naar zulke standaarden impliciet wel aan de verwachtingen die je van een professioneel bedrijf mag verwachten.

Standeman schreef op maandag 16 maart 2026 @ 21:53:
[...]

Ik zou dit stukje tekst opsturen en dan op zoek gaan naar een jurist of advocaat die gespecialiseert is in dit soort dingen.

Lijkt me niet echt nodig in dit stadium, behalve een klant die een beetje raar doet en ontevreden is is er juridisch nog niks aan de hand. Zolang zij hun rekening betalen is er juridisch niks aan de hand.

[ Voor 18% gewijzigd door bwerg op 17-03-2026 15:23 ]

Walkingshadown schreef op dinsdag 17 maart 2026 @ 16:57:
Wat wij hier vooral zien is dat er twee dingen door elkaar lopen: de wens van de klant vs. de verantwoordelijkheid vanuit de SLA.

Bij ons ligt beheer én security expliciet bij ons. Daardoor past het delen van beheeraccounts/wachtwoorden of volledige beheertoegang eigenlijk niet binnen die afspraak.

De klant wil inmiddels ook geen read-only toegang, maar echt beheerrechten. Begrijpelijk, maar daarmee verschuift de situatie wel: als wij die toegang geven, kunnen wij in de praktijk geen volledige verantwoordelijkheid meer dragen voor beheer en security.

Wat wij normaal wél doen:
• Persoonsgebonden read-only accounts
• Volledige inzage in de omgeving

Willen ze toch beheerrechten, dan zien wij dat als een wijziging in verantwoordelijkheden. Dat betekent dus ook: contractueel aanpassen.

Daarnaast hanteren wij dat bij overdracht van beheeraccounts altijd een vrijwaring wordt getekend, zodat duidelijk is dat de verantwoordelijkheid (deels of volledig) bij de klant komt te liggen.

We gaan het gesprek sowieso aan, maar voor ons blijft het uitgangspunt: verantwoordelijkheid en toegang moeten in balans zijn.

Interessant om te lezen hoe anderen dit aanpakken, vooral in hybride omgevingen.

Ik denk dat je hier vooral gewoon heel duidelijk in moet zijn en echt absoluut geen uitzondering gaan maken. Een readonly account kun je nog wel verantwoorden, maar volledige beheerdersrechten hebben ze alleen nodig als ze wél aanpassingen willen doen.

Ik zou met de klant in gesprek gaan, kijken wat de reden is, en dan aangeven dat als ze nu opzeggen ze over 3 weken die rechten kunnen krijgen want dan is het een week voor de opzegtermijn verstreken is

Ik zou inderdaad ook even het persoonlijke gesprek aan gaan.
Daar komt mogelijk de vraag, achter de vraag er ook uit. En werkt vaak toch fijner.
Ik weet zelf nog steeds niet exact wat nu de wens is van de klant.

In het gesprek zal ik ook zeker aangeven dat jullie echt wel willen meewerken aan een transitie als ze dat willen. Maar hierover wel graag heldere afspraken willen maken.

Denk aan:

• De omgeving is nu onze verantwoording. Wij kunnen alleen garantie geven als wij ook in control zijn.
• Als een andere partij mogelijk onze taken wilt overnemen. Is dat prima.
• Zij krijgen dan een read only account om de omgeving te scannen en te inventariseren. Zodat zij zicht goed kunnen voorbereiden.
• Wij staan klaar voor vragen waarom er bv bepaalde keuzes gemaakt zijn. En kunnen in gezamenlijke gesprekken e.e.a. uit leggen.
• Er wordt dan gewerkt aan een datum van overdracht van de dienst verlening. Met een officiële opzeggen.
• Voor een x-periode zal er dan een gezamenlijke verantwoordelijkheid zijn. Welke te herleiden zijn aan de changelogs En op basis van audits aangetoond kan worden wie wat gedaan heeft..
• Op datum Y stopt onze dienstverlening en worden onze accounts met beheer rechten ook ontmanteld door de nieuwe partij.
• In deze transistie periode zullen wij de benodigde beheer documenten etc volgens afgestemd proces overdragen.
• Mocht u de beheertaken niet willen overdragen aan een andere partij, maar zelf wel beheerders rechten willen verkrijgen. Dan zullen we hiervoor het huidige contract, DAP en SLA moeten aanpassen.
• Wij kunnen nog steeds beheertaken doen, maar ook advies geven of gevraagde changes doorvoeren. Echter zelf gemaakte wijzigingen met een ongewenst effect zijn voor de verantwoording van u zelf. Dient herstel uitgevoerd te worden door ons, gelden hiervoor andere uurtarieven. Zie hiervoor het nieuwe contract

Je doel moet zijn om er samen goed uit te komen. Dat jullie mee werken aan een transitie.
Maar ook dat het duidelijk moet zijn als er 2 kapiteinen op het schip staan, wie wat doet. En de verantwoordelijkheid heeft.

idd
En dan gewoon wachten.
Zoals ik ook aangaf. Als zij beheertaken willen kunnen doen, Prima
Maar dat is dan aanpassing van de huidige contracten, Sla en DAP etc.

Het antwoord blijft hetzelfde. Als je niets wilt veranderen, is een read only account ook prima.

Weet verder niet hoe de verhoudingen liggen. Qua relatie tussen opdrachtgever en leverancier zeg maar.
En of een ontmoeting op kantoor makkelijk of moeilijk is. Door bv de reisafstand.

Maar mijn ervaring is wel dat je op een punt uit de mail discussie moet komen.

Beetje project management van beide kanten zou niet kwaad zijn.
Bij overdracht van infrastructuur heb je altijd een periode waar de overname zit, dit gebeurt niet binnen een dag en daar mag iemand eerst wel een plan en tijdlijn voor maken ipv gewoon om wachtwoorden te vragen.
Daar hangt ook een kostenpost aan voor jouw klant.

Ziet er nu aan de buitenkant uit als 2 amateur IT clubs die elkaar niet kunnen uitstaan.

Even een tip voor de toekomst: begin bij nieuwe klanten met het make van een exit plan bij aanbieden van contract en deel deze met je klant. Dat is transparant en zijn ze direct op de hoogte over eventuele kosten en risico’s als zij van dienstverlening willen beëindigen/switchen. Doe dit ook voor je huidige klanten, maar deel deze niet tenzij een contract wordt aangepast.

Daarnaast: stuur de klant waar je nu dit issue hebt een plan. Laat deze ondertekenen. Hier staat in voor welke datum jullie e.a. overdragen en wat er aangeleverd wordt naar nieuwe dienstverlener. Zet daar ook uit tarief op en wees duidelijk dat het contract is opgezegd dus jullie de offboarding voor x datum geregeld willen hebben en anders extra kosten in rekening worden gebracht. Daarnaast vervalt elke vorm van aansprakelijkheid en mogen er nog vragen gesteld worden door de nieuwe leverancier tot bijv. 2 weken na overdracht.
En als je het slim formuleert dan is de overdracht direct bij overhandigen wachtwoorden.

Beetje leverancier heeft genoeg aan tekeningen en documentatie, tenzij het een complexe omgeving is. Maar daar ga ik niet vanuit gezien de vraagstelling.

Snap die andere partij trouwens niet, je vraagt toch gewoon of je agent geïnstalleerd kan worden voor je over wachtwoorden begint. Dat geeft een betere overzicht dan op elke omgeving inloggen (even vanuit gaande dat we het hier over infra hebben en bijv. niet een M365 tenant, want dan is het ww overhandigen en klaar)

Je gaat hier verschillende adviezen krijgen, ook omdat je in de topicstart zegt, dat er is opgezegd, en 3 posts hierboven zeg je dat er niet is opgezegd. Dit zorgt voor ruis en verschillende adviezen.

Ik destilleer eruit : Klant wil admin account om op de omgeving te kunnen kijken. Dat kan bijna overal zonder een admin account, dus niet nodig. WIl men dat echt, dan zal men moeten begrijpen dat met een account met admin rechten, er ook een verantwoordelijkheid komt, die de klant zal moeten dragen. OF hij wijzigingen wil doen, maakt niet uit. Hij kan het met dat account !

Dit probleem zal blijven dooretteren zolang de TS zijn bedrijfje niet zelf de verbintenis opzegt. Dan is er een duidelijk traject waarbij je kunt aangeven wanneer bepaalde dingen worden overgedragen, inclusief verantwoordelijkheden etc.

Het is dit gedraal en uitstellen en nathouden dat het echte probleem is. Knoop, doorhakken. Dan geef je ook een duidelijk signaal aan de klant.

Walkingshadown schreef op woensdag 18 maart 2026 @ 21:09:
[...]

Er is geen sprake van een opzegging, alleen een e-mail van de manager waarin hij aangeeft dat dit hun omgeving is en dat zij toegang willen krijgen tot een beheerdersaccount, inclusief de vraag hoe zij kunnen inloggen.

Je verhaal wordt niet echt duiderlijker als ik eerlijk ben de beste en meest toepasbare adviezen zijn al gegeven, maar het lijkt erop alsof je eigenlijk niet wilt doorzetten of een standpunt wilt/durft te nemen tegenover het verzoek van de klant (positief of negatief).

Mijn vraag is nu dus "Wat voor Manager heeft dat verzoek ingedient" is dit een gemachtigede vanuit je klant of heb je te maken met een overijverige project manager die "wel ff iets gaat inventariseren", Het feit dat er expliciet gehammerd blijft worden op een beheerders account wijst gewoon op een achterliggende vraag.

Walkingshadown schreef op woensdag 18 maart 2026 @ 21:09:
[...]

Ik heb aangegeven dat het niet verstandig is om de beheergegevens over te dragen zolang er geen officiële opzegging of transitie plaatsvindt. Hij gaf daarop aan dat zij niets zullen wijzigen.

Wel belangrijk om te weten hier, is de klant eigenaar van de tenant of zijn jullie eigenaar van de tenant en resellen jullie het incl. beheer ? Ik ga een beetje uit dat de klant echt eigenaar is van de tenant ( dus op de klant zijn naam, facturatie door de klant etc etc ) en dat jullie enkel beheer leveren. Dan is het inderdaad helemaal niet zo raar om een overdracht van verantwoording te doen, alhoewel als hun aangeven niks te willen wijzigen aan de overeenkomst het wat mij betreft vrij duidelijk is en je dus in een impasse zit. Want jij kan dan vanuit je contract gezien niet eens de accounts overdragen ivm verantwoordelijkheid.

In het geval dat jij de eigenaar van de tenant bent, jij de facturatie doet richting microsoft en deze boel reselled naar de klant incl. Beheer. Dan zou ik niet eens een beheer account geven, je kan een read only account krijgen ter verificatie en inventarisatie ( mits je niet meerdere klanten in die omgeving hebt ofcourse).

Anyways ben benieuwd hoe het afloopt, maar misschien een tip voor in de toekomst, zorg de volgende keer dat je DAP, SLA en contractuele afspraken goed vast legt, je laat veel te veel ruimte voor emotie in een discussie die gewoon puur zakelijk zou moeten zijn en afgekaderd.

gambieter schreef op donderdag 19 maart 2026 @ 12:02:
Dit probleem zal blijven dooretteren zolang de TS zijn bedrijfje niet zelf de verbintenis opzegt. Dan is er een duidelijk traject waarbij je kunt aangeven wanneer bepaalde dingen worden overgedragen, inclusief verantwoordelijkheden etc.

Het is dit gedraal en uitstellen en nathouden dat het echte probleem is. Knoop, doorhakken. Dan geef je ook een duidelijk signaal aan de klant.

Helemaal inderdaad, het verhaal hefet gewoon veel te veel ruimte voor emotie ipv een zakelijke en contractuele afspraak.

[ Voor 11% gewijzigd door ShadowBumble op 19-03-2026 12:17 ]

Walkingshadown schreef op woensdag 18 maart 2026 @ 21:09:
[...]

Er is geen sprake van een opzegging, alleen een e-mail van de manager waarin hij aangeeft dat dit hun omgeving is en dat zij toegang willen krijgen tot een beheerdersaccount, inclusief de vraag hoe zij kunnen inloggen.

Ik begrijp je niet helemaal. In je eerste post gaf je wel aan dat er is opgezegd, echter zonder datum. Willen ze nu wel of niet het contract opzeggen?

En stel even dat ze wel iets hebben gezegd, maar geen harde einddatum hebben genoemd. Is het gedonder je dan die extra maand inkomsten waard? Anders zou ik zeggen: zeg vanuit jullie kant het contract op per eind volgende maand en vraag aan welke partij je de accounts moet overdragen. Komen ze met niemand, dan stuur je hen zelf op de laatste dag de gegevens, en succes ermee.

Ik heb aangegeven dat het niet verstandig is om de beheergegevens over te dragen zolang er geen officiële opzegging of transitie plaatsvindt. Hij gaf daarop aan dat zij niets zullen wijzigen.

Als ze aangeven niets te willen wijzigen, dan geef je ze toch een read-only account? Dikke kans dat die manager eigenlijk niet weet waar hij het over heeft. Hij heeft waarschijnlijk gewoon een vraag bij een nieuwe partij open staan om een offerte voor beheer te maken, en die partij wil even kijken waar ze aan beginnen. Logisch dat die nieuwe partij dan om toegang vraagt, en dan is er ergens een spraakverwarring over het type account dat moet worden overhandigd. Typisch x-y probleem, lijkt me.

Dit maakt het lastig om een gesprek in te plannen.

Juist het feit dat er onduidelijkheid bestaat over een wens maakt het toch een uitgelezen mogelijkheid om de telefoon, teams of een kop koffie te pakken en elkaar te spreken over wat men nu echt wil?

Daarnaast is er nu een verzoek gestuurd om een document te ondertekenen waarin onze verantwoordelijkheid wordt beperkt en wij enkel verantwoordelijk zijn voor helpdesk en support, zodra wij de beheergegevens overdragen.

Voor nu is het afwachten wat hun reactie zal zijn.

Als ze een, in hun ogen, simpele vraag stellen en jij reageert met ‘doen we niet tenzij je dit tekent’, dan snap ik dat ze niet zo’n lekker gevoel krijgen bij de gang van zaken. Daarom het advies uit eerdere reacties: ga met elkaar praten. Mail alleen om een afspraak te regelen, en na die afspraak mail je om de besproken punten even op papier te zetten.

Dit komt echt behoorlijk over als twee partijen die proberen alles met mailtjes op te lossen, maar niet heel vaardig zijn in het uitdrukken van hun precieze bedoelingen in diezelfde mails. Recept voor drama, dat allemaal voorkomen zou kunnen worden.

Persoonlijk zou ik heel duidelijk zijn: Geen beheersrechten als jullie de verantwoordelijkheid hebben. Wil de klant het wel dan wordt er een expliciete vrijwaring getekend waarin staat dat klant de leverancier vrijwaardt van aansprakelijkheid.
Wilt de klant dit niet dan zou ik het contract verbreken.

Denk dat dit deels relevant is: nieuws: Rechter: IT-bedrijf is niet verantwoordelijk voor cyberaanval Hof van Twente
Ook hierbij was de klant (gemeente) koppig en wilde zelf de beheerrechten hebben. Tegen uitdrukkelijk advies in van de leverancier, maar die waren slim om dit duidelijk te documenteren. De gemeente is daarna door de rechter op de vingers getikt.

Walkingshadown schreef op donderdag 19 maart 2026 @ 18:09:
Ik heb vandaag een reactie van een klant ontvangen die volledige administrator-toegang tot de ICT-omgeving eist. Op zich is dat prima, maar ze stellen een document voor met de volgende voorwaarden: 
• Verdeelde verantwoordelijkheid: Wij blijven volledig verantwoordelijk voor het beheer, de monitoring en de security conform de bestaande SLA. 
• Eigen acties: De klant is alleen verantwoordelijk voor hun eigen specifieke acties. 
• Onduidelijkheid: Bij onduidelijkheid over wie een wijziging heeft doorgevoerd, moeten we dit "samen in redelijkheid oplossen". 
• SLA-geldigheid: De SLA blijft onverkort van kracht en wordt door dit document niet beperkt. 
Mijn zorg:
Dit voelt als een zeer scheve risicoverdeling. Ik verlies de volledige controle over de omgeving, maar behoud wel de volledige verantwoordelijkheid voor de stabiliteit en veiligheid. Daarnaast is de bewijslast ("wie heeft wat gedaan") in de praktijk vaak erg lastig vast te stellen.

Tja, hoe vaak moeten we het nu nog zeggen? Nee.

Tijd voor een ruggegraat en wegwezen. De klant is onredelijk maar jullie tonen ook geen daadkracht.

[ Voor 3% gewijzigd door gambieter op 19-03-2026 18:13 ]

Walkingshadown schreef op donderdag 19 maart 2026 @ 18:09:
Ik heb vandaag een reactie van een klant ontvangen die volledige administrator-toegang tot de ICT-omgeving eist. Op zich is dat prima, maar ze stellen een document voor met de volgende voorwaarden: 
• Verdeelde verantwoordelijkheid: Wij blijven volledig verantwoordelijk voor het beheer, de monitoring en de security conform de bestaande SLA. 
• Eigen acties: De klant is alleen verantwoordelijk voor hun eigen specifieke acties. 
• Onduidelijkheid: Bij onduidelijkheid over wie een wijziging heeft doorgevoerd, moeten we dit "samen in redelijkheid oplossen". 
• SLA-geldigheid: De SLA blijft onverkort van kracht en wordt door dit document niet beperkt. 
Mijn zorg:
Dit voelt als een zeer scheve risicoverdeling. Ik verlies de volledige controle over de omgeving, maar behoud wel de volledige verantwoordelijkheid voor de stabiliteit en veiligheid. Daarnaast is de bewijslast ("wie heeft wat gedaan") in de praktijk vaak erg lastig vast te stellen.

nee, neem een jurist in de hand. gewoon niet doen dit.

Zoals hierboven gemeld, deze voorwaarden niet accepteren.
Zo te zien willen ze niet eens aan jouw voorwaarden tegemoet komen en willen ze er alleen zelf voordeel uit halen.

Maar bekijk het nu eens globaal. Hoeveel tijd ben je al aan deze klant kwijt, en hoeveel tijd verwacht je nog aan deze klant moeten te besteden? Wil je per se die klant behouden?

Zij stellen nu dus iets voor, met daaraan voorwaarden verbonden. Je bent een onderneming en je kunt dus als gelijkwaardige partij in onderhandeling treden. Daarbij is nee zeggen ook nog een optie. Je hebt hier al heel veel advies en perspectieve gekregen. Uiteindelijk heb je twee mogelijkheden:

Wil je de klant behouden: kijk waar je elkaar kunt vinden, spreek dat af en leg dat vast.

Wil je van dit gezeik af omdat het ten koste gaat van de dienstverlening aan de klanten die wel tevreden zijn: zeg de overeenkomst op, kusjes en de groeten.

Nou ja, je hebt ook nog een derde optie: blijf vaag, reageer traag, werk niet meer mee dan je contractueel verplicht bent, en wacht totdat ze zelf de stekker eruit trekken. Maar commercieel lijkt me optie 2 dan beter.

Walkingshadown schreef op donderdag 19 maart 2026 @ 18:09:
Daarnaast is de bewijslast ("wie heeft wat gedaan") in de praktijk vaak erg lastig vast te stellen.

Nu is dat puur technisch af te vangen door te zorgen dat ze een apart beheersaccount hebben, de juiste auditing in te stellen, en vooral de (audit) logs streamen naar een locatie waar zij geen beheerder zijn (en dus ook niet de rechten hebben om deze te wissen). Dan is er altijd voor elke actie een "papertrail" waarmee je de verantwoordelijkheid op de klant afschuift.

Vervolgens kan je met de juiste tools die brij van audit logs inzichtelijk maken, en ja dat kost geld (en tijd om in te richten) maar geeft je wel veel meer inzicht in wat er nou in al de omgevingen gebeurt. Of dat financieel uitkomt met een twee-pitter bedrijfje dat wat IT doet her en der is een tweede.

Walkingshadown schreef op donderdag 19 maart 2026 @ 18:09:
Ik heb vandaag een reactie van een klant ontvangen die volledige administrator-toegang tot de ICT-omgeving eist.
...
• SLA-geldigheid: De SLA blijft onverkort van kracht en wordt door dit document niet beperkt. 

Ik weet natuurlijk niet precies wat er in de overeenkomst staat. Maar het zou kunnen dat je met het geven van wachtwoorden al niet meer voldoet aan de voorwaarden uit die zelfde overeenkomst. (Het verspreiden van wachtwoorden kan onmogelijk als goed beheer worden uitgelegd) Dan zou die sowieso moeten worden aangepast.

Je zou de klant eens kunnen wijzen op een lijst concrete risico's die ze lopen wanneer de wachtwoorden uitlekken. Laat duidelijk weten dat je geen uitputtende lijst hebt gemaakt. En dat je vanwege dat soort risico's die wachtwoorden niet zonder meer kunt geven. Misschien verandert de klant daarmee van gedachten. Het minste wat je bereikt is dat de klant aantoonbaar op de hoogte is van een aantal risico's.

Je kunt de klant verder vragen om duidelijk te maken met welk doel ze precies de wachtwoorden willen hebben, zodat je kunt bekijken of er veilige alternatieven zijn die in lijn zijn met de overeenkomst. Voor het maken van een inventarisatie zijn de wachtwoorden niet noodzakelijk. Je kunt dat, eventueel samen met de nieuwe IT partij, prima maken zonder de wachtwoorden te verspreiden.

Het lijkt me dat je dit op een vriendelijke manier kunt vragen/mededelen, zodat de relatie met de klant niet verder onder druk komt te staan. Hopelijk lok je hiermee de klant uit de "ik wil de wachtwoorden" modus, naar een meer constructieve aanpak die niet in een juridische strijd eindigt.

ik neem aan dat dit een andere klant is, met een vergelijkbare vraag?

Zie alle opmerkingen hierboven hoe hier mee om te gaan.

De geldende SLA en verantwoordelijk kan niet gelden in mijn optiek als er meer dan 1 kapitein op het schip is.

Het voorstel is al een waarschuwing
Alles is natuurlijk goed zolang er niets gebeurt. Maar zodra er wel wat gebeurt, ookal is het niet jullie fout, weet ik nu al dat de kans op gezeur 90% of hoger is.

TLDR: niet doen

Je hebt al een hoop advies gekregen waarmee je denk ik vooruit kan.

Je geeft aan dat ze willen dat ze niet genoegen nemen met read-only en tegelijkertijd zeggen ze dat ze niets willen wijzigen. Dat is eigenlijk al raar.

Verder geef je aan dat bij onduidelijkheid over een wijziging dit ‘in alle redelijkheid’ samen moet worden opgelost. Succes daarmee, want in feite ben jij dan hun gratis verzekering. Stel het gaat fout, dan gaat er een heleboel tijd en geld zitten met (forensisch) onderzoek en bewijs verzamelen. Dan mag jij raden wat “in alle redelijkheid oplossen” gaat inhouden (spoiler: jullie komen er niet uit, zij beroepen zich op de SLA en jij mag onbetaald hun troep opruimen ).

Wat je nog zou kunnen doen is ze aanbieden om een middag langs te komen, letterlijk naast hun te zitten en gezamenlijk door de omgeving lopen (uiteraard volgt hiervoor een factuur en dit geef je vooraf aan).

Tot slot gaf je aan dat je ook helemaal van de security en dergelijke bent, maar op basis van je posts heb ik niet echt het idee dat er goede audit logs zijn, gebruik van juiste principes als least privileged, etc. - als dat klopt, dan raad ik je aan dat hoe dan ook op te pakken…

@Walkingshadown heb je ze nu al telefonisch of in levende lijve gespreken? Zo niet, dan zou ik minimaal de telefoon oppakken en ze bellen.

Maar deze twee absoluten zouden voor jou niet onderhandelbaar moeten zijn: ofwel volledige toegang voor hun, nul aansprakelijkheid voor jou. Ofwel read-only toegang voor hun, en de aansprakelijkheid houden zoals die is. Niets daartussen is acceptabel en verstandig voor je.

Walkingshadown schreef op zaterdag 31 januari 2026 @ 20:17:
[...]

In het verleden heeft de klant meerdere ICT-partijen naast ons ingeschakeld, waardoor keuzes soms buiten ons om zijn gemaakt, zoals het inschakelen van een ERP-consultant. Vervolgens worden wij geconfronteerd met onderdelen binnen het ERP-systeem die niet naar behoren functioneren, waarbij wordt verwacht dat wij dit oplossen terwijl de oorzaak buiten onze invloed ligt. Dit soort situaties hebben zich vaker voorgedaan en vormen ook één van de redenen dat wij de samenwerking niet doorvoeren .

Beetje late reactie op dit punt: het is gebruikelijk bij managed service contracten dat als de opdrachtgever iets laat wijzigen in de omgeving (zelf, of een andere partner) dat de managed service partner ook een offerte maakt voor de scope-uitbreiding, of eventuele ondersteunende taken tijdens het project. Vervolgens moet degene die de wijzigingen doorvoert na afloop een formele handover doen volgens de contractuele afspraken die er zijn gemaakt.

Hebben jullie hiervoor clausules in het afgesloten contract staan?

Helemaal eens met @Illusion: plan een persoonlijk gesprek om zaken duidelijk te krijgen.

En eigenlijk zijn de opties niet zo ingewikkeld natuurlijk: of zij krijgen beheerdersrechten, maar dan wordt jouw verantwoordelijk beperkt of ze krijgen dat niet en dan blijf jij verantwoordelijk.

Ze willen wel de lusten, maar niet te lasten.

En het argument: “maar we veranderen niets” is bullshit. Want dan zouden ze dat read only account toch gewoon kunnen accepteren?

De kern van de vraag is dus: waarom willen ze volledige rechten hebben, terwijl ze niets willen veranderen? Als ze daar een antwoord op kunnen geven bij je alweer een stap verder. Ik vermoed echter dat ze dat niet doen. Of om met een quote uit de film van Roger Rabbit te spreken: “This case stinks like yesterdays diepers.”