Inloggen
Registreren

Microsoft 365 offboarding van een medewerker: complete checklist voor het MKB in 2026

INHOUD

    Een medewerker laten gaan klinkt als een HR-aangelegenheid, maar in een MKB-bedrijf dat op Microsoft 365 draait is het minstens zo zeer een IT-vraag. Wie haalt de toegang weg? Wat gebeurt er met de mail, de OneDrive-bestanden, de Teams-chats en het inlogtoken op de privé-telefoon? En vooral: wat doet de wet als die data na het vertrek nog jaren ergens rondzwerft? In de praktijk zien we bij MKB-klanten dat vertrokken medewerkers nog wekenlang toegang houden tot mailbox, OneDrive of gedeelde mappen, vaak zonder dat iemand het doorheeft. Dat is geen detail, dat is een datalek wachtend om te gebeuren.

    In deze gids loop je stap voor stap door een goede Microsoft 365 offboarding voor het MKB. Van wat je vóór de laatste werkdag al regelt, tot welke knoppen je op de dag zelf indrukt in de Microsoft 365 admin center, hoe je sessies en tokens intrekt zodat de vertrekkende collega na zonsondergang echt nergens meer in komt, en wat je met de mailbox en OneDrive doet als de licentie eraf gaat. Bedoeld als praktische checklist die je in dezelfde middag kunt uitvoeren, ook als je geen fulltime IT-team hebt.

    Waarom offboarding in Microsoft 365 vaak slordig gaat

    De drie veelvoorkomende fouten zien we steeds terug bij MKB-klanten die te laat aanbellen. Eén: de licentie wordt direct verwijderd, waarna de mailbox 30 dagen later definitief weg is, inclusief mail die juridisch nog bewaard had moeten worden. Twee: het account wordt geblokkeerd, maar de actieve sessies op telefoon en laptop blijven gewoon draaien tot het bestaande token verloopt, soms wel een uur. Drie: OneDrive-bestanden worden niet overgedragen aan een collega en verdwijnen na een paar weken in het niets.

    Bij alle drie zit het probleem niet in Microsoft, maar in de volgorde van handelen. Microsoft 365 ondersteunt prima een schone, controleerbare offboarding, maar alleen als je de stappen in de juiste volgorde doet, en bij voorkeur al begint voordat de medewerker daadwerkelijk vertrekt.

    Stap 1. Voorbereiden: een week voor de laatste werkdag

    Een paar dingen die je beter wel een week vooraf regelt dan op de dag zelf. Stel met de manager vast welke data overgedragen moet worden, en aan wie. Spreek af welke privé-spullen de medewerker zelf nog mag downloaden. Inventariseer welke gedeelde mailboxen en SharePoint-sites de medewerker beheert, want die rechten moeten naar iemand anders verhuizen vóór het account dichtgaat. Check welke devices op naam staan (laptop, telefoon, eventueel tablet via Intune) en welke daarvan terug moeten naar het bedrijf.

    Wat je ook vooraf doet: bekijk welke externe applicaties via SSO of een Microsoft-account toegang hebben. Denk aan Slack, Notion, Trello, Canva of cloud-tools die met “log in met Microsoft” zijn ingericht. Die accounts blijven niet automatisch dicht zodra je het Microsoft-account blokkeert, dus die zet je apart op een lijstje.

    Stap 2. Op de laatste werkdag: sessies intrekken en account blokkeren

    Dit is het moment waarop een schoenmaker zijn leest pakt. Volg deze volgorde, dat scheelt zenuwen achteraf.

    2a. Blokkeer aanmelden

    Ga naar het Microsoft 365 admin center, open Gebruikers, selecteer de medewerker en zet “Aanmelden toegestaan” op uit. Vanaf dit moment kan er met dit account geen nieuwe sessie meer worden gestart, ook niet op een vergeten privé-telefoon. Bestaande sessies blijven wel doorlopen tot het toegangstoken vervalt, dus we zijn er nog niet.

    2b. Trek alle sessies in via Microsoft Entra

    Sinds februari 2026 heeft Microsoft de oude “Revoke MFA sessions”-knop in Microsoft Entra vervangen door “Revoke sessions”, die nu echt álle sessies invalideert, niet alleen die met MFA. Open Microsoft Entra admin center, ga naar Identity, dan Users, kies de medewerker, en klik bovenin op Revoke sessions. Hiermee maak je alle refresh tokens ongeldig, zodat actieve apps op laptop, telefoon en tablet de eerstvolgende keer dat ze een nieuwe access token nodig hebben, om opnieuw inloggen vragen. En dat lukt niet meer, want stap 2a heeft het account al gesloten.

    Belangrijk om te weten: bestaande access tokens kunnen nog tot een uur geldig blijven afhankelijk van je Conditional Access-configuratie. Wil je dat continuous access evaluation (CAE) de sessies binnen enkele minuten kapt, dan moet die feature voor je tenant aanstaan. Hoe je dat (en andere security-instellingen) goed inricht, lees je in onze gids over Microsoft 365 Conditional Access voor het MKB.

    2c. Reset het wachtwoord

    Genereer een lang, willekeurig wachtwoord en sla het op in je wachtwoordmanager (niet bij HR, maar bij IT). Dit is een vangnet voor het geval het account later weer geopend moet worden voor herstel of forensisch onderzoek. Vink ook aan dat het wachtwoord bij volgende aanmelding gewijzigd moet worden, dan kan een vergeten geautomatiseerd proces er nooit per ongeluk mee verder.

    Stap 3. Mailbox: hou hem of laat hem gaan

    Dit is de plek waar veel MKB’ers later spijt van krijgen. Standaard geldt: zodra je de Microsoft 365 licentie van een gebruiker afhaalt, wordt de mailbox een “disabled mailbox” en is hij na 30 dagen definitief weg. Dat is in 2026 zelden wat je wil, omdat je vaak nog langer juridisch verplicht bent om correspondentie te bewaren. Er zijn drie scenario’s.

    • Toegang voor een collega tijdelijk nodig. Geef een collega via “Toegang verlenen tot e-mail” toegang tot de mailbox vanuit het admin center. Dit werkt zonder dat de mailbox in een gedeelde mailbox wordt omgezet en is handig als iemand de inkomende mail nog even moet afhandelen.
    • Mailbox blijven gebruiken zonder licentie. Zet de mailbox om naar een gedeelde mailbox vóór je de licentie afhaalt. Een gedeelde mailbox tot 50 GB is gratis (vereist geen license) en blijft toegankelijk voor collega’s met machtigingen. Dit is voor de meeste MKB-situaties de praktischste keuze.
    • Compliance-vereisten: bewaar voor langere tijd. Plaats de mailbox eerst onder Litigation Hold of een retentiepolicy via Microsoft Purview en haal pas dan de licentie eraf. Zodra het account verwijderd wordt, converteert de mailbox naar een inactive mailbox die zonder licentie tot wel 10 jaar bewaard kan blijven. Let op: voor het instellen van een litigation hold moet de gebruiker op dat moment minimaal een Exchange Online Plan 2, Microsoft 365 Business Premium, of E3/E5 licentie hebben.

    Welk scenario van toepassing is hangt af van je branche en interne afspraken. Voor financiële dienstverlening, advocatuur of zorg is een hold standaard te overwegen, voor een algemeen MKB-bedrijf is omzetten naar gedeelde mailbox vaak voldoende.

    Stap 4. OneDrive en bestanden overdragen

    Voor de OneDrive van de vertrekkende medewerker geldt: zodra het account verwijderd wordt, blijft de data standaard 30 dagen bewaard. Dat is in te stellen tot maximaal 3650 dagen via de SharePoint admin center, maar in de praktijk wil je deze data actief overdragen aan een collega in plaats van vertrouwen op retentie.

    De cleanste route: ga in het Microsoft 365 admin center naar Users, kies de medewerker, open OneDrive en wijs een andere medewerker aan die toegang krijgt tot deze OneDrive. Die collega heeft daarna 30 dagen om de relevante bestanden te downloaden of te kopiëren naar zijn eigen omgeving. Plan dit aan de voorkant in en spreek met de ontvangende collega af welke mappen daadwerkelijk overgenomen moeten worden, dan voorkom je dat hij tussen 60 GB persoonlijke notities moet ploegen.

    Heb je geautomatiseerde backup zoals SaaS Protection draaien, dan blijft de OneDrive en mailboxinhoud sowieso buiten Microsoft 365 bewaard volgens jouw retentiebeleid, ongeacht wat er met het account gebeurt. Dat is voor compliance-gevoelige bedrijven een aanrader, omdat het je niet afhankelijk maakt van een snelle restore-actie binnen die 30 dagen.

    Stap 5. Teams, SharePoint en gedeelde rechten

    Microsoft Teams en SharePoint zijn de plekken waar het meest over het hoofd gezien wordt bij offboarding. Loop deze checklist door:

    • Verwijder de medewerker uit alle Teams en kanalen. Eigenaren-rol overdragen aan een collega vóór het account dicht gaat, anders kan een team zonder eigenaar achterblijven.
    • Check SharePoint-sites waar deze persoon eigenaar of unieke beheerder was. Wijs een nieuwe eigenaar aan voordat het account verwijderd wordt.
    • Doorloop gedeelde mailboxen waar de medewerker volledige toegang had en haal de machtigingen weg.
    • Controleer of er externe gasten waren waar deze medewerker als sponsor of inviter aan gekoppeld stond. Die kunnen na vertrek nog toegang houden tot Teams-kanalen en SharePoint-bestanden zonder dat iemand het doorheeft.

    Externe toegang die niet automatisch dichtgaat is een terugkerend thema bij MKB-securityincidenten. Lees daarover ook onze gids veilige toegang voor externe partijen regelen en weer intrekken, die hetzelfde principe behandelt voor freelancers en externe developers.

    Stap 6. Devices en Intune

    Werk je met Microsoft Intune of Microsoft 365 Business Premium met apparaatbeheer, dan kun je de werkdata op zakelijke laptops en telefoons gericht wissen zonder de privé-data aan te raken. Voor BYOD-telefoons gebruik je een “selective wipe” die alleen het werkprofiel weghaalt. Voor zakelijke devices kies je een full wipe en zet je ze klaar voor de volgende medewerker.

    Doe dit pas nadat je sessies hebt ingetrokken (stap 2b), anders kan de gebruiker tijdens de wipe nog snel iets exporteren. Vraag ook altijd het zakelijke device fysiek terug, ook als je het later toch wist. Een teruggehouden laptop blijft een ingang voor wachtwoord-resets via de helpdesk, wifi-credentials en eventueel offline gecachte data.

    Stap 7. Externe applicaties en SSO-koppelingen

    Voor elke externe applicatie waar de medewerker met “log in met Microsoft” gebruik van maakte, geldt: het Microsoft-account dichtzetten blokkeert wel het inloggen, maar niet alle apps loggen direct uit. Loop je SaaS-stack langs en deactiveer expliciet bij Slack, Notion, Trello, Canva, Mailchimp en alle andere tools die het bedrijf gebruikt. Vergeet ook eventuele tools die met persoonlijke credentials werken (FTP-accounts bij webhosting, externe databases, marketing dashboards).

    Een goede tactiek is om een SaaS-inventaris bij te houden per medewerker, die je bij onboarding aanlegt en bij offboarding afwerkt. Geen rocket science, een Excel-bestand volstaat, mits je het discipline hebt om hem bij te werken.

    Stap 8. Licentie vrijgeven en account afronden

    Pas op het einde, en pas nadat mailbox en OneDrive volgens stap 3 en 4 zijn afgehandeld, haal je de licentie van de gebruiker af. Daarna heb je twee opties: het account 30 dagen “soft deleted” laten staan voor noodgevallen (Microsoft houdt het account 30 dagen in de prullenbak voordat het definitief weg is), of het account meteen permanent verwijderen via PowerShell als je zeker weet dat alles is afgehandeld.

    De licentie zelf is direct beschikbaar om aan een nieuwe medewerker toe te wijzen zodra hij van het oude account is gehaald. Voor MKB-bedrijven die per maand afrekenen scheelt dit direct in de volgende factuur.

    Stap 9. Documenteren wat je hebt gedaan

    Klinkt overbodig, maar maakt later het verschil. Houd een eenvoudig offboarding-logboek bij waarin per vertrekkende medewerker staat: datum laatste werkdag, datum sessies ingetrokken, wat er met de mailbox en OneDrive is gedaan, welke devices teruggekomen zijn en gewist, welke licentie is vrijgekomen. Bij een audit of een toekomstig vermoeden van datalek bewijs je hiermee dat je zorgvuldig hebt gehandeld.

    Een goede vuistregel: als je het over een jaar niet meer in detail kunt navertellen, schrijf het op. Een gedeeld SharePoint-document met een vaste template per offboarding voldoet ruimschoots.

    Microsoft 365 voor het MKB

    Laat PC Patrol jullie Microsoft 365 inrichten, beveiligen en beheren

    Inclusief migratie, Conditional Access, MFA, gedeelde mailboxen en een nette offboarding-procedure voor wanneer een collega vertrekt. Vanaf 4,44 euro per gebruiker per maand, met Nederlandse support en maandelijks opzegbaar. Eén factuur voor licenties, beheer en domeinen.

    Bekijk Microsoft 365 voor MKB Plan gratis adviesgesprek

    Veelgestelde vragen over Microsoft 365 offboarding

    Hoe lang blijft een mailbox bewaard na een offboarding?

    Standaard 30 dagen na het verwijderen van de licentie. Met een retentiepolicy of litigation hold ingericht vóór het verwijderen van de licentie, kan de mailbox als inactieve mailbox tot 10 jaar bewaard blijven zonder dat je er nog een licentie aan vast hoeft te houden.

    Wat is het verschil tussen het blokkeren van aanmelden en het intrekken van sessies?

    Het blokkeren van aanmelden voorkomt nieuwe logins, maar bestaande actieve sessies blijven doorlopen tot het toegangstoken verloopt. Het intrekken van sessies via Microsoft Entra invalideert ook de refresh tokens, waardoor lopende sessies opnieuw zouden moeten inloggen. Doe altijd beide.

    Kan ik een verwijderd account terughalen als ik per ongeluk te snel was?

    Ja, Microsoft houdt verwijderde accounts 30 dagen in de prullenbak. Binnen die periode kun je via het admin center het account herstellen, inclusief mailbox en OneDrive. Na 30 dagen is het account permanent verwijderd en zijn de data alleen nog terug te halen vanuit een externe backup zoals SaaS Protection.

    Moet ik de licentie meteen vrijgeven of even bewaren?

    Pas vrijgeven nadat mailbox en OneDrive zijn overgedragen of in een hold zijn geplaatst. Daarna is de licentie direct beschikbaar voor een nieuwe medewerker. Voor MKB-bedrijven met maandelijkse betaling scheelt dat direct geld in de volgende factuur.

    Hoe pak ik dit aan als ik geen IT-afdeling heb?

    Een paar opties. Volg deze checklist samen met iemand binnen je organisatie die comfortabel is met het Microsoft 365 admin center. Laat een externe IT-partner het in een uur voor je doen. Of besteed het hele Microsoft 365 beheer uit aan een partij die offboarding standaard onderdeel van het pakket maakt. PC Patrol biedt deze derde optie aan voor MKB-bedrijven die Microsoft 365 willen gebruiken zonder zelf in admin centers te hoeven duiken.

    Tot slot: offboarding is een proces, geen knop

    De meeste MKB-bedrijven hebben geen formeel offboarding-proces, en dat valt op het moment dat iemand vertrekt pas op. Een lichte voorbereiding van een week (stap 1) en een vast volgordelijk stappenplan op de laatste werkdag (stap 2 tot en met 9) maakt het verschil tussen een veilige overdracht en een datalek dat zes maanden later boven komt drijven. Tien tot vijftien minuten extra discipline tijdens elke offboarding bespaart op de lange termijn enorm veel risico, en het werkt ook nog eens beter voor de vertrekkende medewerker zelf die met een duidelijk afronding van zijn dienstverband het bedrijf verlaat.

    Wil je niet zelf bedenken hoe dit precies moet, of overweeg je sowieso je Microsoft 365 beheer uit handen te geven? Bekijk dan onze Microsoft 365 voor het MKB, waar inrichting, migratie, beveiliging via Conditional Access, een nette offboarding-procedure en Nederlandse support standaard inbegrepen zijn. Of plan direct een gratis adviesgesprek om te kijken of jouw huidige Microsoft 365 omgeving goed is ingericht voor zowel onboarding als offboarding.

    Tik je bedrijfsnaam in en check de extensies.

    Eén afrekening, drie domeinen, volledige bescherming.
    Domein zoeken

    Misschien ook interessant

    AI

    Microsoft Copilot voor het MKB in 2026: wanneer is het rendabel, en hoe zet je het veilig in?

    Microsoft Copilot voor het MKB klinkt overal, maar wanneer verdient het zich terug en hoe rol je het...

    Chris 8 mei 2026 7 min
    Microsoft 365

    Outlook beveiligen voor het MKB: 10 instellingen tegen phishing, account-takeover en datalekken in 2026

    Voor de meeste MKB-bedrijven is Outlook de digitale voordeur. Daar komt het contact met klanten, leveranciers, accountants en...

    Chris 4 mei 2026 10 min
    Blog

    SPF, DKIM en DMARC voor het MKB: zo zorg je dat je zakelijke e-mail in 2026 nog aankomt bij klanten

    SPF, DKIM en DMARC bepalen in 2026 of je zakelijke e-mail in de inbox of in spam belandt....

    Chris 8 mei 2026 10 min