Procedurer eller teknik opsættes således, at organisationen påtvinges en reaktion, når der sker ændringer i ansættelsesmæssige forhold, så som ansættelse, ændrede arbejdsopgaver, orlov, fratrædelse, fritstilling, langtidssygdom og død. Ændringer i ansættelsesforhold kan udløse en notifikation, fx via et HR-system. Alternativt kan der etableres en fast procedure, som indebærer, at unødvendige adgangsrettigheder nedlægges. Processen skal sikre samme høje fokus på nedlæggelse af eksisterende rettigheder som på oprettelse af nye.
Det sikres, at rette medarbejder får information om ændringen for at undgå situationer, hvor adgange forbliver åbne efter medarbejderfratrædelse.
Nogle ændringer i ansættelsesforhold kræver, at der på forhånd er sat et tidspunkt for, hvornår der skal "hejses et flag", og en særlig proces skal startes – det gælder fx, hvis en sikkerhedsgodkendelse automatisk udløber efter x år med deraf følgende manglende godkendelse til at tilgå visse særligt klassificerede data.
Orlov, barsel, sygemelding mv. er situationer, hvor der formentlig skal lukkes adgange, men idet der også er behov for at fastholde medarbejdere, sker lukning på en anden måde end ved fratrædelser. Eksempelvis kan medarbejderes adgang til intranet bibeholdes, fordi der her deles information om sociale aktiviteter og information om udviklingen af arbejdspladsen. På den måde kan den fraværende medarbejder stadig føle sig som en del af arbejdspladsen. Samtidig bliver medarbejderes adgange til fagsystemer lukket eller midlertidigt deaktiveret.
Ved intern rokering kan arbejdsopgaver ændres gradvist. I denne situation sikres procedure eller automatik, som bevirker, at adgange lukkes, når de ikke længere er nødvendige.
Endeligt etableres der en særlig procedure for de perifere/eksterne systemer, som ikke kan lukkes gennem en centraliseret brugeradministrationsenhed.
Overvej følgende, når adgangsrettigheder skal fjernes eller ændres:
- Medarbejderen skal evt. selv lukke adgange i eksterne it-systemer, som det ellers vil være sværere for andre at lukke efter fratrædelse eller overgang til anden stilling.
- Medarbejdere med administrative rettigheder skal evt. selv overdrage disse til en anden medarbejder.
- Sletning af data på pc/smartphone inden aflevering og evt. nulstilling eller udlevering af kode, så udstyr kan genanvendes.
- Oprydning på e-mailkonto, netværksdrev og især på steder, hvor kun denne medarbejder havde adgang, eller oprydning i private data, så kontoens indhold kan gøres tilgængelig for andre efter fratrædelsen.
- Lukning af adgange til it-systemer, funktionspostkasser og eksterne it-systemer.
- Inddragelse af id-kort, nøglebrik, nøgler til døre/postkasser/racks/..., adgangsgivende tokens, pc, smartphone, USB-nøgler, harddiske, fysiske dokumenter, mv.
- Ændring af koder, som er delt mellem flere brugere (flerbrugerkonti).
- Spærring af adgange via nøglebrikker, adgangskort fysiske adgangs-/alarmpaneler, sikringsskabe/pengeskabe.
- Udskiftning/omkodning af låsecylindre (hvis ikke nøgle er kopibeskyttet).
- Spærring af fjernadgang til it-systemer.
- Spærring af adgange med certifikater og evt. certifikaterne selv (MitID Erhverv, certifikater knyttet til hardware, ...).
- Ophævelse af telefonabonnement og internetabonnement gennem virksomheden. Hvis medarbejderen får lov til at beholde telefonen, er der særlig opmærksomhed på, at der ikke er virksomhedsdata på telefonen, og at synkronisering af data (typisk kalenderaftaler og e-mails) er standset.
- Sletning af data om medarbejder, der ikke længere er nødvendige, fx foto anvendt til id-kort eller telefonbogsoplysninger på intranettet.
- Interne kontaktlister opdateres, og eksterne samarbejdspartnere informeres om ændring i kontaktpunkter (kunder, vagtselskab, håndværkere, ...), især hvis medarbejder fortsat kan anvende telefonnummer efter fratrædelse.
- Revision af beredskabsorganisation, systemejerskab, mv. hvis medarbejderen var omfattet af dette.
- Undersøgelse af, om der opstår uhensigtsmæssig afhængighed af enkeltpersoner, når adgangsrettigheder fjernes eller ændres.