Waar organisaties vroeger een beperkt aantal pakketten op eigen servers draaiden, gebruiken medewerkers tegenwoordig een veelvoud aan applicaties in de cloud. Het gevolg is een explosieve groei van het aantal gebruikte SaaS-applicaties. Die flexibiliteit klinkt aantrekkelijk, maar in de praktijk leidt het vaak tot wildgroei, ook wel bekend als SaaS-sprawl.
Uit internationaal onderzoek blijkt dat een middelgrote organisatie met 500 medewerkers gemiddeld meer dan 100 verschillende SaaS-apps gebruikt. In de praktijk weten IT-afdelingen vaak niet eens dat al die applicaties bestaan, omdat ze buiten de formele processen zijn aangeschaft. Medewerkers downloaden een handige app of nemen een gratis trial, en voor je het weet zit de organisatie opgescheept met tientallen ongedocumenteerde toepassingen.
Deze wildgroei leidt tot drie structurele problemen. Ten eerste lopen de kosten ongemerkt op. Veel SaaS-apps kennen een abonnementsmodel per gebruiker, en vergeten licenties blijven doorlopen zonder dat iemand ze benut. Ten tweede ontstaat er schaduw-IT: applicaties die buiten het zicht van IT draaien en daardoor niet zijn geïntegreerd in security- en compliancebeleid. Ten derde ontstaan er risico’s rond data-integriteit en governance. Waar worden de gegevens opgeslagen, wie heeft toegang en hoe wordt de beveiliging geregeld?
Waarom juist het mkb kwetsbaar is
Voor grote ondernemingen met een volwassen IT-afdeling zijn dit al lastige vraagstukken, maar voor het mkb zijn de risico’s nog groter. Mkb-bedrijven hebben vaak beperkte middelen en vertrouwen op hun msp of IT-partner om structuur te brengen. Tegelijkertijd is de drempel voor medewerkers om zelf een SaaS-dienst te gebruiken laag: een creditcard en een paar muisklikken zijn genoeg.
Daar komt bij dat veel mkb’s niet beschikken over een formeel inkoopproces voor software. Een marketingteam kiest zijn eigen analyse-app, HR kiest een tool voor recruitment en de financiële afdeling werkt met een cloudgebaseerd boekhoudpakket. Zonder centrale regie is het overzicht snel zoek. Voor je het weet staan er gevoelige bedrijfsgegevens verspreid over tientallen omgevingen.
De rol van de msp
Msp’s en andere kanaalpartners kunnen erbij helpen om orde in de chaos te scheppen. Grip op SaaS-sprawl vraagt om drie kerntaken: inventariseren, centraliseren en beheren. Inventariseren begint met het in kaart brengen van alle gebruikte applicaties. Dat kan via scanningtools, maar ook door interviews met afdelingen en analyse van financiële data. Centraliseren betekent dat de organisatie één overzicht en één governance-structuur krijgt voor al die toepassingen. Beheren gaat vervolgens over het actief managen van licenties, toegang en security.
Door deze stappen te combineren kun je klanten helpen om kosten te besparen, maar ook om risico’s te verminderen. Bovendien biedt het je de kans om je te positioneren als strategisch adviseur in plaats van alleen als leverancier van technologie. Hoe pak je dit concreet aan? Er zijn verschillende strategieën die msp’s kunnen inzetten om SaaS-sprawl te beheersen.
Een eerste stap is identity & access management (IAM). Door alle SaaS-apps te koppelen aan één centrale identityprovider (bijvoorbeeld Azure AD, Okta of OneLogin), krijgt de organisatie overzicht en controle. Gebruikers loggen in via single sign-on, en IT kan rechten centraal toekennen of intrekken. Dat scheelt niet alleen beheerlast, maar voorkomt ook dat oud-medewerkers toegang behouden tot gevoelige data.
Daarnaast zijn er kostenbeheertools die licentiegebruik monitoren. Denk aan platforms die automatisch signaleren wanneer licenties ongebruikt blijven of wanneer er dubbele abonnementen zijn. Voor het mkb kan dit direct duizenden euro’s per jaar schelen.
Op het gebied van security-integratie is het essentieel om SaaS-apps onder te brengen in bestaande monitoring- en detectiesystemen. Zonder logging en alerting kunnen aanvallers via een vergeten SaaS-app toegang krijgen tot bedrijfsdata. MSP’s kunnen hier proactief beleid ontwikkelen: welke apps zijn toegestaan, welke moeten extra worden beveiligd en welke worden geblokkeerd?
Voorbeeld uit de praktijk
Neem een middelgroot adviesbureau met 150 medewerkers. Na een inventarisatie bleek dat er meer dan 60 SaaS-apps in gebruik waren, variërend van projecttools tot losse survey-apps. Een groot deel was buiten de IT-afdeling om aangeschaft. Na centralisatie via een IAM-oplossing en het opschonen van licenties wist de organisatie het aantal applicaties terug te brengen naar 35. De besparing: ruim 40.000 euro per jaar. Bovendien werd de securitypositie versterkt, omdat alle toegangen voortaan via multifactor-authenticatie verliepen.
De volgende stap: SaaS-governance
SaaS-sprawl vraagt niet alleen om technisch beheer, maar ook om governance. Wie mag nieuwe applicaties introduceren, en onder welke voorwaarden? Hoe zorg je dat data veilig blijft als medewerkers externe tools gebruiken? En welke afspraken maak je met leveranciers over compliance, uptime en integratie? Dat gaat verder dan technologie en raakt aan processen en cultuur. Medewerkers moeten begrijpen waarom grip op SaaS belangrijk is en welke spelregels gelden.
De verwachting is dat SaaS-gebruik de komende jaren alleen maar verder groeit. Nieuwe AI-tools, sector-specifieke apps en niche-oplossingen maken het ecosysteem complexer. Voor msp’s betekent dit dat SaaS-sprawl een blijvend thema is, waarin je een steeds belangrijkere rol kunt spelen.
