Het blijft een uitdaging om medewerkers alleen de toegang tot de applicaties, gegevens en informatie te verlenen die noodzakelijk is om hun werkzaamheden uit te voeren. Autorisatie op basis van rollen – ook wel aangeduid met role-based access control (RBAC) – is een van de mogelijkheden. Maar na een aantal mislukte implementaties groeit de kritiek op dit model. Deze kritiek, de theoretische kaders en RBAC best practices vormen de basis van het architectuurmodel waarmee volgens Theo Krens en Jeroen Speckamp de kans op een succesvolle implementatie aanzienlijk toeneemt.

Recente beveiligingsincidenten of ‘datalekken’ bij zowel UWV als de GGD maken ieder op hun eigen wijze duidelijk dat de toegangsbeveiliging tot applicaties, gegevens en informatie:

• onvoldoende fijnmazig is of zelfs ontbreekt, in zowel oude als nieuwe applicaties;
• achteraf moeilijk te corrigeren is;
• onvoldoende wordt gemonitord en gecontroleerd.