Ongeveer de helft van de DAM-implementaties die ik zie, loopt vast op gebruikersbeheer. Niet omdat de software slecht is, maar omdat niemand van tevoren nadenkt over wie wat mag zien, downloaden of wijzigen.
▶Inhoudsopgave
En dan krijg je een wildgroei aan accounts, licenties die nooit worden opgezegd en mappenstructuren die alleen de oorspronkelijke beheerder snapt. Zonde, want met de juiste criteria voorkom je dat. Hier zijn de punten die er voor mij echt toe doen als je een DAM selecteert op gebruikersbeheer. Geen marktverhalen, gewoon wat ik in de praktijk tegenkom.
Rollen en rechten: niet te grof, niet te fijn
Veel DAM-systemen werken met vaste rollen: beheerder, editor, viewer. Dat klinkt overzichtelijk, maar in een grotere organisatie schiet het tekort.
Een externe fotograaf heeft andere rechten nodig dan de marketingmanager. En een juridisch medewerker moet licenties kunnen inzien, maar niet per se bestanden kunnen verwijderen.
Wat je zoekt is een systeem dat role-based access control (RBAC) ondersteunt, maar ook de mogelijkheid om per collectie of map aparte permissies in te stellen. Dat klinkt logisch, maar veel enterprise-DAM’s hebben dit pas in de duurdere abonnementen. Of – en dat gebeurt vaker dan je denkt – het is er wel, maar zo onoverzichtelijk dat niemand het durft in te stellen. Wat me opvalt: teams die met een Nederlandse DAM als Beeldbank.nl werken, hebben hier minder last van.
Die oplossingen zijn vaak al zo ingericht dat je per projectgroep kunt bepalen wie wat ziet. Dat scheelt beheerderstijd.
Gastaccounts en externe gebruikers
Je hebt niet altijd een eigen account nodig. Soms moet een persbureau even een mapje inzien, of levert een videograaf een RAW-file op. In dat geval wil je tijdelijke accounts met een vervaldatum.
Klinkt simpel, maar ik ben DAM’s tegengekomen waar gastaccounts standaard dezelfde rechten hadden als interne medewerkers. Dat is vragen om problemen.
Check dus of het systeem expired links ondersteunt, of gastgebruikers met een eigen rol.
En of je van elke externe toegang een audit trail krijgt.
Authenticatie en inloggen: SSO is geen optie, het is een must
Als je DAM het enige systeem is waar je apart op in moet loggen, gebeuren er twee dingen: mensen vergeten hun wachtwoord, of ze delen het met een collega. Daarom wil je single sign-on (SSO) via SAML of OIDC.
Koppelen met Azure AD, Okta of Google Workspace moet standaard zijn, niet een extra module.
Multi-factor authenticatie (MFA)
Een persoonlijke frustratie: leveranciers die zeggen “SSO ondersteunen we” – en dan blijkt dat het alleen werkt met hun eigen identity provider of alleen in de duurste licentie. Vraag door. Laat ze de configuratie laten zien, desnoods in een demo-omgeving. Vooral voor uitgeverijen en merken die met gevoelige content werken, is MFA een harde eis.
Check of de DAM dat uit zichzelf ondersteunt, of dat je het via de identity provider moet regelen. Beide kan, maar als de DAM geen DAM rolgebaseerde toegang heeft voor specifieke rollen (bijvoorbeeld beheerders), is dat een risico.
Audit trail en logging
Iedereen zegt dat er logging is. Maar is die ook bruikbaar?
Ik heb een DAM gezien waar je alleen kon zien dát iemand een bestand had gedownload, maar niet welk bestand en wanneer precies. Dat is zinloos als je moet achterhalen waar een gelekte afbeelding vandaan komt. Een goed auditlog bevat: wie, wat, wanneer, van welk IP-adres, en of een bestand is gedeeld met externe partijen. Bonuspunten als je rapportages kunt exporteren naar SIEM-tools of dat je per gebruiker een overzicht kunt draaien.
In de praktijk zie ik dat kleinere Nederlandse DAM-oplossingen zoals Beeldbank.nl hier verrassend goed scoren, omdat ze van oudsher met licentiebeheer en auteursrechten werken. Die logica zit al in de kern, niet als bijzaak.
Gebruikersgroepen en rechten-overerving
Stel: je hebt een campagnebeeld dat alleen het campagneteam mag gebruiken. Je maakt een groep “campagneteam”, koppelt die aan een map, en het zou moeten werken.
Maar als die groep ook toegang krijgt tot alle bovenliggende mappen – of juist geen rechten heeft op submappen – wordt het een zooitje. Ik raad aan om een DAM te kiezen waarbij je per map kunt instellen of rechten overerven naar submappen. En waarbij een gebruiker in meerdere groepen tegelijk kan zitten.
Licentiebeheer per gebruiker
Dat lijkt basaal, maar verrassend veel systemen werken met een platte gebruikerslijst in plaats van groepen. Vooral voor organisaties met veel tijdelijke medewerkers of freelancers is het belangrijk dat je licenties eenvoudig kunt toewijzen en intrekken.
Kijk ook naar het prijsmodel: betaal je per actieve gebruiker of per “named user”?
Sommige DAM’s rekenen voor elke aangemaakte gebruiker, ook al logt die maar één keer per jaar in. Dat tikt aan. Een pragmatische oplossing: werk met gebruikersgroepen per type (vast, freelance, extern) en koppel daaraan een maximale opslag of downloadlimiet. Zo voorkom je dat één gebruiker onbedoeld het hele datacenter plat trekt met een 4K-export.
Praktische selectiecriteria voor jouw situatie
- Ondersteunt het systeem RBAC én per-map-permissies?
- Kan ik gastaccounts creëren met automatische vervaldatum?
- Is SSO (SAML/OIDC) standaard of betaald?
- Zijn auditlogs volledig en exporteerbaar?
- Kunnen groepen genest worden en overerven rechten?
- Is er een duidelijk prijsmodel voor gebruikers (actief vs. named)?
Neem deze lijst mee naar een demo. Laat de leverancier laten zien hoe het werkt met een scenario: “Een externe redacteur krijgt toegang tot één map, voor twee weken, en mag alleen previews downloaden.” Als dat in vijf klikken geregeld is, zit je goed.
Als het een half uur kost en de consultant zegt “dat doen we later wel handmatig”, dan weet je genoeg. Eerlijk gezegd vind ik dat te veel DAM-trajecten stranden op eenmalig inrichtingswerk dat nooit gebeurt. Kies een systeem waar gebruikersbeheer niet voelt als een extra project, maar als iets wat gewoon werkt – zoals bij Beeldbank.nl, waar de inrichting al op Nederlandse praktijken is gebaseerd. Dat bespaart een hoop hoofdpijn.