Multi-factor authentication (MFA) is een van de meest effectieve maatregelen om accountmisbruik, phishing en identiteitsdiefstal te voorkomen. Toch blijkt in de praktijk dat een brede uitrol binnen een overheidsorganisatie weerbarstig is. Medewerkers ervaren MFA als extra drempel, sommige diensten draaien nog op legacy-authenticatie en de helpdesk vreest een golf aan ondersteuningstickets. Tegelijkertijd verwachten toezichthouders, de interne auditdienst en de CISO dat MFA niet langer optioneel is, maar een basishygiënecontrole voor vrijwel alle accounts. Binnen de Nederlandse Baseline voor Veilige Cloud wordt MFA gezien als sleutelcontrole om de weerbaarheid van identiteiten aantoonbaar te verhogen.
Deze gids beschrijft hoe je MFA niet benadert als losse techniek, maar als veranderprogramma. In plaats van een plotselinge policy-wijziging die gebruikers verrast, werk je toe naar een gefaseerde overgang van vrijblijvende naar verplicht gestelde MFA. Daarbij staat niet alleen de configuratie van conditional access centraal, maar juist ook de manier waarop je risico’s uitlegt, bestuurders betrekt, medewerkers ondersteunt en uitzonderingen bestuurt. Door de inhoud van deze gids te volgen, bouw je stap voor stap aan een situatie waarin MFA door vrijwel iedereen wordt gebruikt, de primaire dienstverlening doorloopt en de organisatie kan aantonen dat identiteiten structureel beter beschermd zijn.
Een succesvolle MFA-adoptie begint niet in het portaal, maar in het gesprek met bestuurders, ondernemingsraad en medewerkers. Maak het risico concreet met cijfers uit eigen omgeving, leg helder uit wat er voor gebruikers verandert en toon dat er serieuze ondersteuning klaarstaat. Combineer technische maatregelen altijd met duidelijke communicatie, goed voorbereide servicedeskmedewerkers en een transparant proces voor uitzonderingen. Zo groeit MFA van een opgelegde maatregel naar een logisch onderdeel van professioneel werken in een moderne, veilige cloudomgeving.
Geef servicedeskmedewerkers duidelijke draaiboeken met voorbeeldzinnen, screenshots en herstelprocedures voor alle ondersteunde MFA-methoden. Beschrijf stap voor stap hoe een medewerker door de registratie wordt geleid, welke veelgemaakte fouten je kunt verwachten en hoe je deze rustig oplost. Voeg ook korte verklarende teksten toe die servicedeskmedewerkers kunnen gebruiken om uit te leggen waarom MFA nodig is en hoe dit aansluit bij de Nederlandse Baseline voor Veilige Cloud, de BIO en NIS2. Een goed voorbereide servicedesk voorkomt escalaties, vermindert frustratie bij gebruikers en bepaalt in belangrijke mate of de uitrol als professioneel en zorgvuldig of als chaotisch en ad‑hoc wordt ervaren.
1. Maak risico en meerwaarde tastbaar
Een overtuigende businesscase voor MFA begint met het zichtbaar maken van het risico zoals dat zich binnen de eigen organisatie manifesteert. In plaats van abstracte verhalen over wereldwijde dreigingen, laat je zien hoeveel mislukte aanmeldpogingen dagelijks plaatsvinden, hoeveel van deze pogingen van onbekende of vreemde locaties komen en hoe vaak accounts nog zonder extra factor kunnen worden gebruikt. Door gegevens uit bijvoorbeeld Microsoft Secure Score, identity protection rapportages of eigen phishingtests te analyseren, ontstaat een helder beeld van waar identiteiten kwetsbaar zijn en welke typen accounts het grootste risico vertegenwoordigen. Dit maakt de discussie met bestuurders en lijnmanagers concreet: niet “MFA is een best practice”, maar “we hebben dagelijks honderden pogingen op accounts zonder extra beveiligingslaag”.
Naast het risico is het belangrijk om de positieve effecten in kaart te brengen. Organisaties die MFA stevig hebben ingevoerd, zien vaak een daling in het aantal wachtwoordresets, een betere score op interne audits en soms direct effect op cybersecurityverzekeringen of self-assessments richting toezichthouders. Door deze voordelen te koppelen aan de Nederlandse Baseline voor Veilige Cloud, de BIO en NIS2, wordt MFA niet alleen een technische maatregel, maar een logische stap in de bredere governance- en complianceagenda. Je beschrijft bijvoorbeeld hoe MFA bijdraagt aan het verlagen van de kans op datalekken, het beperken van impact bij accountovernames en het aantoonbaar voldoen aan eisen rond toegangsbeveiliging en identiteitsbeheer.
Een derde element van de businesscase is het scherp afbakenen van de scope. Niet alle accounts zijn gelijk en de volgorde waarin je MFA aanscherpt, bepaalt in hoge mate hoe beheersbaar het traject is. Je brengt daarom in kaart welke typen accounts er zijn: bestuurders, medewerkers met verhoogde rechten, externe partners, leveranciersaccounts, gastgebruikers, serviceaccounts en accounts die door applicaties worden gebruikt. Per categorie beschrijf je welke risico’s spelen, welke technische mogelijkheden er zijn en welke afhankelijkheden met primaire processen bestaan. Op basis hiervan bepaal je een gefaseerde routekaart waarin je begint met de hoogste risico’s, maar wel rekening houdt met zichtbaarheid en voorbeeldgedrag. Als bestuurders en beheerders zelf als eerste overstappen op MFA, wordt het eenvoudiger om van andere groepen te vragen hetzelfde te doen.
Tot slot hoort bij de businesscase een realistische inschatting van de benodigde ondersteuning. Je brengt niet alleen licentiekosten en implementatiewerk in beeld, maar ook de extra druk op servicedesk en veranderorganisatie tijdens de uitrol. Door deze inspanningen expliciet mee te nemen en te koppelen aan de hogere weerbaarheid en betere compliancepositie, ontstaat een rond verhaal waarin risico, meerwaarde, kosten en benodigde capaciteit met elkaar in balans zijn. Dit verhaal vormt de basis voor besluitvorming in het bestuur, maar ook voor het meenemen van ondernemingsraad en medewerkersvertegenwoordiging.
Om de businesscase echt te laten leven, vertaal je de cijfers en maatregelen naar herkenbare scenario’s voor bestuurders en proceseigenaren. Je beschrijft bijvoorbeeld hoe één geslaagd phishingincident kan leiden tot verstoring van een publieksdienst, reputatieschade en extra toezicht van externe partijen, terwijl een organisatie met goed ingevoerde MFA veel van deze scenario’s kan voorkomen of beperken. Door incidenten uit de eigen sector – desnoods geanonimiseerd – te gebruiken als illustratie, ontstaat urgentie zonder dat je vervalt in angstcommunicatie. De businesscase wordt daarmee geen theoretisch document, maar een onderbouwde uitnodiging aan bestuur en management om MFA als strategische investering in digitale weerbaarheid te omarmen.
2. Bereid organisatie, techniek en support voor
Voordat de eerste medewerker wordt geconfronteerd met een MFA-registratiescherm, moet de organisatie op meerdere fronten klaarstaan. Aan de technische kant begint dit met het maken van heldere keuzes: welke authenticatiemethoden worden standaard ondersteund, welke worden alleen als tijdelijke fallback geaccepteerd en welke verouderde methoden worden actief uitgefaseerd? In veel omgevingen betekent dit dat push-notificaties in een authenticatorapp en FIDO2‑sleutels de norm worden, terwijl SMS of telefoonaanroepen alleen nog voor specifieke doelgroepen of overgangssituaties beschikbaar blijven. Door deze keuzes vast te leggen in architectuurrichtlijnen en de Nederlandse Baseline voor Veilige Cloud, voorkom je dat er tijdens de uitrol alsnog discussies ontstaan over uitzonderingen of technologische voorkeuren.
Parallel aan de technische voorbereiding werk je aan de organisatorische randvoorwaarden. Bestuurders en directies moeten begrijpen waarom MFA nu prioriteit krijgt, welke impact dit heeft op medewerkers en hoe dit zich verhoudt tot andere verandertrajecten. In een bestuurlijke sessie leg je uit hoe MFA past binnen de bredere identity- en accessmanagementstrategie, welke eisen toezichthouders stellen en hoe dit bijdraagt aan de weerbaarheid van vitale processen. Tegelijkertijd betrek je HR, communicatie en opleidingsafdelingen, zodat MFA wordt ingebed in onboardingprogramma’s, gedragscodes en opleidingsplannen. Nieuwe medewerkers krijgen MFA dan niet als losse IT-actie voorgeschoteld, maar als vanzelfsprekend onderdeel van veilig werken.
De derde pijler is ondersteuning. De servicedesk moet beschikken over actuele kennis, duidelijke werkinstructies en voldoende capaciteit om pieken tijdens de uitrol op te vangen. In de praktijk betekent dit dat je standaardantwoorden ontwikkelt op veelgestelde vragen, dat je korte instructievideo’s of stappenplannen per apparaattype maakt en dat je in de eerste weken extra medewerkers beschikbaar hebt die specifiek zijn getraind op MFA‑vragen. Door ondersteuning te organiseren als integraal onderdeel van het project, voorkom je dat medewerkers worden geconfronteerd met onzekerheid of tegenstrijdige informatie op het moment dat zij zich moeten registreren.
Tot slot hoort bij readiness een grondige toets van de technische configuratie in een gecontroleerde testomgeving. Je simuleert verschillende scenario’s, zoals medewerkers die nog geen smartphone hebben, accounts die vanuit het buitenland aanmelden of applicaties die onbedoeld worden geblokkeerd. Door deze scenario’s vooraf te doorlopen en vast te leggen welke stappen worden genomen bij problemen, bouw je vertrouwen op dat de organisatie klaar is voor een grootschalige uitrol. Readiness gaat daarmee niet alleen over techniek, maar vooral over een organisatie die begrijpt wat er gaat gebeuren, waarom dat nodig is en hoe medewerkers daarbij worden geholpen.
In een volwassen readiness-aanpak wordt bovendien expliciet aandacht besteed aan privacy en arbeidsvoorwaarden. Samen met de functionaris gegevensbescherming en HR wordt uitgewerkt hoe je medewerkers informeert over de gegevens die bij verschillende MFA‑methoden worden verwerkt, welke keuzes zij hebben en hoe je omgaat met uitzonderingssituaties waarin bijvoorbeeld een privételefoon niet beschikbaar is. Door deze aspecten vooraf te adresseren en vast te leggen in beleid, Q&A’s en trainingsmateriaal, voorkom je dat privacybezwaren of misverstanden over verplichtingen de uitrol vertragen. Readiness betekent zo niet alleen dat systemen werken, maar ook dat de organisatie juridisch en sociaal voorbereid is op een nieuwe manier van inloggen.
Een praktische manier om readiness tastbaar te maken is het uitvoeren van een generale repetitie met een beperkt aantal afdelingen. Je doorloopt het volledige proces – van communicatie en registratie tot ondersteuning en rapportage – en gebruikt de ervaringen van deze groep om draaiboeken en documentatie verder te verfijnen. Door deze proefgeneratie goed te evalueren, krijg je zicht op verborgen afhankelijkheden, bijvoorbeeld in roosterplanning, frontofficeprocessen of uitrukdiensten bij hulpverleningsorganisaties. Dat geeft de organisatie de kans om knelpunten op te lossen voordat de grote massa gebruikers aan de beurt is.
3. Rol gefaseerd uit en meet adoptie
Een gefaseerde uitrol is essentieel om grip te houden op zowel de technische impact als de beleving van medewerkers. In plaats van in één keer een harde verplichting in te schakelen, begin je met een beperkte pilotgroep die bestaat uit IT‑medewerkers, securityspecialisten en enkele vertegenwoordigers uit de business. In deze eerste fase test je niet alleen de technische werking van policies en registratiestromen, maar observeer je vooral hoe gebruikers de stappen ervaren, welke instructies onduidelijk zijn en waar ondersteuningsprocessen moeten worden aangescherpt. De feedback uit deze pilot wordt actief verwerkt in aangepaste communicatie, verbeterde handleidingen en waar nodig bijgestelde instellingen.
Daarna verschuift de aandacht naar groepen met hoge zichtbaarheid en verhoogde risico’s, zoals bestuurders, directieleden en beheerders. Door deze doelgroepen vroegtijdig mee te nemen, laat je zien dat MFA geen maatregel is die alleen “op de werkvloer” wordt neergelegd, maar een standaard die door de hele organisatie wordt gedragen. Bestuurders die zélf MFA gebruiken en daarover communiceren, versterken het signaal dat identiteitsbeveiliging een gezamenlijke verantwoordelijkheid is. Tegelijkertijd biedt deze fase de mogelijkheid om te toetsen hoe MFA uitpakt voor medewerkers die intensief reizen, meerdere devices gebruiken of sterk afhankelijk zijn van externe toegang.
Vervolgens worden grotere groepen medewerkers in logische batches aangesloten. Dat kan bijvoorbeeld per organisatieonderdeel, locatie of functieprofiel zijn. Voor elke batch wordt een duidelijke planning gecommuniceerd, inclusief startdatum, ondersteuning en contactpunten. Medewerkers krijgen ruim van tevoren te horen wat er van hen wordt verwacht en wanneer registratie uiterlijk moet zijn afgerond. Tijdens de uitrol monitor je nauwgezet hoeveel mensen zich daadwerkelijk registreren, welke foutcodes of blokkades voorkomen en hoeveel extra belasting de servicedesk ervaart. Deze informatie wordt gebundeld in dashboards, bijvoorbeeld op basis van Entra ID‑rapportages en Power BI, zodat project- en lijnmanagement continu zicht hebben op de voortgang.
Een aparte aandachtspunt vormt de behandeling van externe accounts en serviceaccounts. Voor deze categorieën is MFA minstens zo belangrijk, maar vaak complexer vanwege technische afhankelijkheden en contractuele afspraken. Door voor deze groepen een eigen traject te ontwerpen, voorkom je dat kritieke koppelingen onverwacht uitvallen. Denk aan het vervangen van verouderde authenticatiemechanismen, het migreren naar workload identities of het treffen van compenserende maatregelen zolang een volledige MFA‑invoering nog niet mogelijk is. Ook hier geldt dat je de voortgang actief meet en periodiek rapporteert aan CISO, CIO en auditcommissies. Zo groeit de organisatie in overzichtelijke stappen toe naar een situatie waarin MFA de norm is en uitzonderingen echt uitzondering blijven.
Bij een gefaseerde uitrol horen duidelijke beslismomenten en leerloops. Na elke wave evalueer je samen met de betrokken afdelingen wat goed ging en waar medewerkers vastliepen. Je bekijkt bijvoorbeeld of de tijd tussen aankondiging en daadwerkelijk verplicht stellen voldoende was, of de ondersteuning op piekmomenten toereikend was en of bepaalde doelgroepen meer maatwerk nodig hebben. Deze evaluaties leiden tot aangepaste communicatie, extra trainingen of finetuning van policies, zodat elke volgende wave soepeler verloopt. Door deze iteratieve aanpak voelt de uitrol minder als een top‑downverplichting en meer als een traject waarin ervaringen worden benut om samen beter te worden.
Belangrijk is dat je vanaf het begin duidelijke, meetbare doelstellingen koppelt aan elke fase van de uitrol. Denk aan streefwaarden voor registratiepercentages, het maximum aantal toegestane uitzonderingen of een maximaal volume aan ondersteuningstickets. Door deze doelen vooraf met bestuur, CISO en lijnmanagers af te stemmen, wordt de voortgang van de MFA‑adoptie een vast onderdeel van de reguliere sturingsinformatie. Dat maakt het eenvoudiger om bij te sturen als een wave achterblijft en helpt om successen zichtbaar te maken wanneer mijlpalen worden behaald.
4. Beheer uitzonderingen en legacy
Hoe zorgvuldig je de technische en organisatorische voorbereiding ook uitvoert, er zullen altijd situaties zijn waarin volledige MFA‑handhaving niet direct haalbaar is. Sommige applicaties ondersteunen nog geen moderne authenticatie, er zijn koppelingen met externe partijen die alleen met verouderde protocollen werken of er bestaan functionele scenario’s waarin strikte policies tijdelijke verstoringen zouden veroorzaken. In plaats van deze realiteit weg te poetsen, is het belangrijk om uitzonderingen expliciet en beheerst te organiseren. Dat begint met een systematische inventarisatie van alle toepassingen en accounts die nog afhankelijk zijn van legacy‑authenticatie of die om andere redenen (tijdelijk) buiten de standaard MFA‑handhaving vallen. Voor elk van deze situaties beschrijf je welke risico’s dit oplevert en welke compenserende maatregelen mogelijk zijn, zoals netwerksegmentatie, aanvullende logging of versnelde migratieplannen.
Een professioneel exceptionproces kent duidelijke criteria en governance. Uitzonderingen worden niet informeel afgesproken via e‑mail, maar vastgelegd in een standaardformulier of workflow waarin de aanvrager motiveert waarom MFA op dit moment niet volledig kan worden afgedwongen. De CISO‑organisatie en, waar relevant, de CIO of proceseigenaar beoordelen of dit verzoek past binnen het risicokader, welke aanvullende maatregelen nodig zijn en welke einddatum voor de uitzondering geldt. Door uitzonderingen altijd tijdgebonden te maken en periodiek te herbeoordelen, voorkom je dat tijdelijke oplossingen permanent worden zonder dat iemand dat nog expliciet besluit. Dit sluit aan bij de principes van de Nederlandse Baseline voor Veilige Cloud, waarin proportionaliteit en aantoonbaarheid centraal staan.
Een bijzonder type uitzondering zijn break‑glass‑accounts: zeer beperkt gebruikte accounts die bedoeld zijn voor noodsituaties waarin reguliere aanmeldstromen niet functioneren. Deze accounts mogen niet buiten beeld raken. Je legt daarom vast wie toegang heeft, in welke scenario’s de accounts mogen worden gebruikt en hoe misbruik wordt gedetecteerd. Daarnaast worden de accounts periodiek getest, zodat je zeker weet dat ze beschikbaar zijn als ze nodig zijn, en wordt elke inzet achteraf geëvalueerd en vastgelegd in een incidentdossier. Op die manier combineer je de noodzaak van een laatste redmiddel met strikte governance en transparantie.
Door uitzonderingen en legacy-situaties op deze manier te organiseren, ontstaat er geen parallel universum zonder MFA, maar een tijdelijk beheerst landschap met duidelijke route naar verbetering. Dat stelt de organisatie in staat om toch brede MFA‑handhaving te realiseren, terwijl je tegelijkertijd rekening houdt met technische beperkingen en kritieke processen die niet meteen kunnen worden aangepast. Uitzonderingen zijn daarmee geen achterdeurtje, maar een expliciet gestuurd onderdeel van de MFA‑strategie.
Belangrijk is dat de status van uitzonderingen en legacy‑componenten ook bestuurlijk zichtbaar blijft. Door periodiek te rapporteren hoeveel uitzonderingen er zijn, in welke processen deze voorkomen en welke migratiepaden zijn afgesproken, blijven bestuurders en toezichthouders in staat om een geïnformeerd oordeel te vormen over het resterende risico. Dit stimuleert proceseigenaren om actief te blijven werken aan het verminderen van de uitzonderingslijst en maakt het eenvoudiger om investeringen in modernisering of vervanging van verouderde systemen te onderbouwen.
Door uitzonderingsbeheer te koppelen aan contractmanagement en leveranciersgesprekken, wordt bovendien zichtbaar welke externe partijen achterblijven in het ondersteunen van moderne authenticatie. Dit geeft onderhandelingsruimte bij contractverlengingen en aanbestedingen en helpt om expliciete eisen rond MFA en moderne protocollen op te nemen in nieuwe overeenkomsten. Zo wordt het beheer van uitzonderingen niet alleen een interne controlmaatregel, maar ook een instrument om de keten stap voor stap naar een hoger beveiligingsniveau te brengen.
5. Borg governance en continue verbetering
Wanneer MFA eenmaal breed is uitgerold, verschuift de aandacht van projectmatige implementatie naar structurele borging. Dat begint met het opnemen van MFA‑vereisten in het beveiligingsbeleid, de architectuurprincipes en de standaardisatiekaders van de organisatie. In beleidsdocumenten leg je vast dat MFA de norm is voor alle accounts met toegang tot cloudomgevingen en gevoelige gegevens, met een duidelijke koppeling naar de Nederlandse Baseline voor Veilige Cloud, de BIO en relevante NIS2‑artikelen. Deze beleidskaders vormen de basis voor audits, leveranciersbeoordelingen en evaluaties van nieuwe projecten, zodat MFA niet telkens opnieuw ter discussie staat maar in de basis is verankerd.
Governance betekent ook dat je op structurele basis inzicht houdt in het werkelijke gebruik van MFA. Maandelijkse of kwartaalrapportages tonen niet alleen het adoptiepercentage, maar ook welke methoden worden gebruikt, in welke segmenten nog relatief veel uitzonderingen voorkomen en waar opvallende patronen in aanmeldlocaties of risicosignalen zichtbaar zijn. Deze rapportages worden besproken in overlegstructuren waarin CISO, CIO, lijnmanagement en eventueel de ondernemingsraad zijn vertegenwoordigd. Door trends te duiden en concrete verbeteracties vast te leggen, groeit de organisatie stap voor stap naar een volwassen identity‑governancepraktijk.
Daarnaast speelt continue verbetering op technisch vlak een belangrijke rol. MFA‑technologie en aanvallen ontwikkelen zich snel; wat vandaag als voldoende wordt gezien, kan morgen alweer kwetsbaar blijken. Door periodiek te beoordelen welke nieuwe authenticatiemethoden beschikbaar zijn, welke combinaties van factoren het beste passen bij verschillende doelgroepen en hoe phishingresistente oplossingen breder kunnen worden ingezet, voorkom je dat het niveau van bescherming stilvalt. Tegelijkertijd houd je rekening met gebruiksvriendelijkheid: waar mogelijk vervang je belastende methoden door gebruiksvriendelijke alternatieven, zodat medewerkers veiligheid niet ervaren als permanente hinder.
Tot slot vraagt borging om aandacht voor menselijk gedrag. Nieuwe medewerkers moeten vanaf dag één begrijpen dat MFA onlosmakelijk verbonden is met hun digitale werkomgeving. Dat betekent dat MFA‑registratie wordt geïntegreerd in onboarding, dat leidinggevenden worden ondersteund met gesprekskaarten om MFA binnen hun teams te bespreken en dat ervaringen uit incidenten of bijna‑incidenten worden teruggekoppeld naar de organisatie. Door MFA op deze manier onderdeel te maken van de dagelijkse praktijk en de bredere securitycultuur, blijft het geen tijdelijk project, maar een duurzaam fundament onder de digitale weerbaarheid van de organisatie.
In volwassen organisaties wordt MFA bovendien actief gekoppeld aan andere governanceprocessen, zoals periodieke access reviews, wijzigingen in rol- en rechtenstructuren en evaluaties van leveranciersrelaties. Wanneer een medewerker van functie verandert of een extern contract afloopt, wordt automatisch beoordeeld of de gebruikte MFA‑methoden en toegangsrechten nog passen bij de nieuwe situatie. Op die manier blijft het gebruik van MFA niet beperkt tot een eenmalige registratiestap, maar wordt het een dynamisch onderdeel van het bredere identity‑ en toegangsbeheer.
Een laatste element van governance is het verankeren van MFA in de bredere dialoog over digitale weerbaarheid op bestuursniveau. Door MFA‑rapportages onderdeel te maken van periodieke voortgangsgesprekken over de Nederlandse Baseline voor Veilige Cloud, kan het bestuur gericht sturen op prioriteiten, middelen en tempo. MFA wordt dan niet gezien als technisch detail, maar als zichtbare indicator van volwassen identiteitsbeveiliging en verantwoord cloudgebruik. Dit helpt tevens om keuzes over uitzonderingen, investeringen in nieuwe authenticatiemethoden en afspraken met leveranciers te plaatsen binnen één herkenbaar kader van risicosturing en publieke verantwoording.
Universalisering van MFA vraagt meer dan het inschakelen van een paar policies in het portaal. Organisaties die blijvend succes boeken, benaderen MFA als een samenhangend veranderprogramma waarin risicoanalyse, techniek, ondersteuning, governance en cultuur hand in hand gaan. Door eerst scherp te maken waarom MFA noodzakelijk is, vervolgens de organisatie grondig voor te bereiden en daarna in overzichtelijke stappen uit te rollen, ontstaat een traject waarin medewerkers zich serieus genomen voelen en de dienstverlening doorloopt. Een bewust ingericht exceptionproces voorkomt dat technische beperkingen de uitrol blokkeren, terwijl duidelijke governance en rapportages zorgen voor langdurige borging en continue verbetering.
Binnen de Nederlandse Baseline voor Veilige Cloud vormt MFA een van de hoekstenen van identiteitsbeveiliging. Wie de stappen uit deze gids volgt, bouwt aan een omgeving waarin MFA voor vrijwel alle accounts de norm is, uitzonderingen transparant en tijdelijk zijn en bestuurders aantoonbaar grip hebben op de beveiliging van digitale identiteiten. Zo wordt MFA niet ervaren als een losstaand beveiligingsproject, maar als vanzelfsprekend onderdeel van professioneel, veilig en verantwoord werken in de cloud.