Medewerkers die e-mail gebruiken zijn een potentieel doelwit voor criminelen.

Phishing en social engineering richten zich bewust op de mens achter het scherm, niet op de techniek. En dat maakt ze zo effectief. Want terwijl firewalls en antivirussoftware continu worden bijgewerkt, blijft menselijk gedrag voorspelbaar en daardoor kwetsbaar.

Bij de aanval op Odido (een telecomprovider met miljoenen klanten) begon alles met een gewone phishingmail. Niet met een geavanceerde technische inbraak, niet met een zero-day exploit. Gewoon een e-mail. Dat is het startpunt geweest van een van de grootste datalekken in Nederland.

1. Phishingmail als eerste stap

Phishingmails zijn berichten die er legitiem uitzien maar een kwaadaardig doel hebben. Ze worden verstuurd om inloggegevens te stelen, systemen te infecteren of medewerkers te misleiden tot een actie die ze normaal gesproken niet zouden uitvoeren.

Wat deze aanvalsvorm zo gevaarlijk maakt:

• Phishingmails zijn steeds moeilijker te onderscheiden van echte berichten
• Ze worden gepersonaliseerd op basis van openbare informatie over het bedrijf of de ontvanger
• Één medewerker die klikt is voldoende om een aanvaller toegang te geven
• De mail hoeft technisch niets te doen — het enige doel is dat de medewerker zelf zijn gegevens invoert

Organisaties die denken beschermd te zijn omdat ze een spamfilter hebben, onderschatten hoe verfijnd deze aanvallen zijn geworden. Een modern phishingbericht passeert veel filters omdat het geen verdachte bijlagen bevat en afkomstig lijkt van een betrouwbare afzender.

Hoe criminelen zich voordoen als de ICT-afdeling

Nadat inloggegevens zijn buitgemaakt via phishing, begint de volgende fase. Criminelen nemen telefonisch contact op met de medewerker wiens gegevens zijn gestolen. Ze doen zich voor als de interne ICT-afdeling. Ze klinken professioneel, kennen de naam van de medewerker, weten bij welk bedrijf die werkt en spelen in op urgentie.

Dit wordt social engineering genoemd: het manipuleren van mensen door vertrouwen te wekken en druk te creëren.

Kenmerken van deze aanpak:

• De beller heeft al basisinformatie en gebruikt die om geloofwaardig over te komen
• Er wordt een situatie gecreëerd die direct handelen vereist (“uw account wordt misbruikt, keur dit verzoek goed”)
• De medewerker wordt gevraagd een inlogpoging te bevestigen — waarmee een extra beveiligingsstap wordt omzeild
• De urgentie laat weinig ruimte voor twijfel of verificatie

Voor een medewerker die gewend is aan interne IT-verzoeken is dit scenario niet direct verdacht. Zeker niet als de beller precies de juiste toon aanslaat en de juiste informatie heeft.

Waarom MFA geen garantie is

Multifactorauthenticatie — waarbij een tweede bevestiging vereist is naast een wachtwoord — wordt terecht gepromoot als een sterke beveiligingsmaatregel. Maar de aanval op Odido laat zien dat MFA omzeild kan worden zonder technische kennis, puur door menselijke manipulatie.

De medewerker keurde zelf de frauduleuze inlogpoging goed. Niet omdat de techniek faalde, maar omdat de medewerker werd misleid. MFA stopt een aanvaller die alleen het wachtwoord heeft. Het stopt geen aanvaller die ook de medewerker heeft overtuigd.

Dit is een belangrijk inzicht voor directies en bestuurders:

• Technische maatregelen werken alleen als medewerkers begrijpen wat ze bevestigen
• Een beveiligingsmelding die medewerkers niet begrijpen, wordt goedgeklikt
• MFA is waardevol maar geen eindstation in een beveiligingsstrategie
• Bewustwording en training zijn de noodzakelijke aanvulling op technische oplossingen

Van één account naar toegang tot miljoenen gegevens

Het meest verontrustende aan deze aanvalsmethode is de schaalvergroting. Eén gehackt medewerkeraccount gaf toegang tot een systeem met gegevens van miljoenen mensen. Dat is geen uitzondering: het is een structureel risico in organisaties waar medewerkers brede toegangsrechten hebben tot klant- of patiëntsystemen.

Interne toegangsbeheer speelt hierin een sleutelrol. De vraag die organisaties zichzelf zouden moeten stellen: hoeveel medewerkers hebben toegang tot welke data, en is die toegang echt noodzakelijk voor hun functie?

Relevante principes die hier van toepassing zijn:

• Need-to-know: medewerkers krijgen alleen toegang tot informatie die ze voor hun werk nodig hebben
• Least privilege: zo min mogelijk rechten per account, om schade bij misbruik te beperken
• Monitoring: detectie van ongebruikelijk gedrag, zoals het in bulk opvragen van klantgegevens

De Autoriteit Persoonsgegevens (AP) verwacht dat organisaties aantoonbaar invulling geven aan dit soort maatregelen. Niet alleen op papier, maar in de dagelijkse praktijk.

Datzelfde geldt voor de verplichtingen die voortvloeien uit de NIS2-richtlijn, die door het Nationaal Cyber Security Centrum (NCSC) wordt ondersteund met praktische richtlijnen voor organisaties in kritieke sectoren.

Wat directeuren en managers als vertrekpunt kunnen nemen:

• Vraag de IT-afdeling of interne beheerder om een overzicht van wie toegang heeft tot welke systemen
• Stel vast of medewerkers training hebben gehad in het herkennen van phishing
• Controleer of er beleid bestaat voor het melden van verdachte telefoontjes of e-mails
• Ga na of toegangsrechten periodiek worden herzien

Informatiebeveiliging begint niet bij de firewall!

Het begint bij de vraag of medewerkers weten wat ze moeten doen als iemand hen belt namens de ICT-afdeling.

2. Wat criminelen doen zodra ze binnen zijn

Datadiefstal uit een CRM-systeem begint niet met een explosie. Het begint met stilte. Zodra een aanvaller toegang heeft tot een klantcontactsysteem, is het eerste doel niet opvallen. Datadiefstal uit bedrijfssystemen verloopt in de meeste gevallen geruisloos, geautomatiseerd en over een langere periode dan organisaties verwachten. Wie denkt dat een inbraak direct zichtbaar is, onderschat hoe geduldig en methodisch criminelen te werk gaan.

Zoals eerder besproken begint de aanval bij een menselijke fout. Maar wat daarna gebeurt, speelt zich volledig af op systeemniveau. En daar liggen de meeste organisaties wakker van als ze er achteraf over nadenken.

Toegang tot een CRM-systeem als jackpot

Een CRM-systeem, ook wel klantbeheersysteem genoemd, is ontworpen om informatie over klanten overzichtelijk en toegankelijk te maken voor medewerkers. Dat is precies wat het ook voor criminelen aantrekkelijk maakt.

Waar een gehackte e-mailaccount toegang geeft tot de inbox van één persoon, geeft toegang tot een CRM-systeem zicht op:

• Contactgegevens van honderdduizenden of miljoenen klanten tegelijk
• Historische interacties en klantprofielen
• Financiële gegevens zoals rekeningnummers die zijn opgeslagen voor facturatie
• Identificatiegegevens die zijn ingevoerd voor verificatiedoeleinden

Voor een crimineel is dit geen deur naar één kamer. Het is een deur naar het hele gebouw. En in tegenstelling tot fysieke inbraak laat digitale toegang in eerste instantie geen sporen achter die direct opvallen.

Geautomatiseerd data verzamelen zonder alarm

De methode die aanvallers gebruiken om grote hoeveelheden gegevens te onttrekken aan een systeem heet scraping. Dit is het geautomatiseerd opvragen en opslaan van gegevens, pagina voor pagina, record voor record. Het systeem registreert de opvragingen wel, maar interpreteert ze niet automatisch als verdacht omdat ze lijken op normaal gebruikersgedrag.

Dit is een fundamenteel probleem in veel organisaties:

• Systemen loggen activiteit, maar analyseren die activiteit niet actief
• Afwijkend gedrag wordt pas zichtbaar als iemand actief naar zoekt
• Grote hoeveelheden opvragingen in korte tijd worden niet altijd als alarm ingesteld
• Medewerkers in klantenservice vragen regelmatig veel gegevens op, waardoor het patroon niet direct opvalt

Het resultaat is dat een aanvaller soms dagen of weken onopgemerkt actief kan zijn. Hoe langer de toegang duurt, hoe meer data er wordt buitgemaakt. En hoe meer data er wordt gestolen, hoe groter de schade voor klanten en organisatie.

Waarom detectie zo laat op gang komt

Veel organisaties hebben detectiesystemen. Maar detectie is niet hetzelfde als tijdige detectie. Er is een groot verschil tussen een systeem dat registreert wat er is gebeurd, en een systeem dat in real time waarschuwt als iets ongewoons plaatsvindt.

De Autoriteit Persoonsgegevens (AP) stelt dat organisaties verplicht zijn om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beschermen. Dat omvat ook het monitoren van toegang tot systemen waarin persoonsgegevens worden verwerkt. In de praktijk schiet dit er bij veel organisaties bij in, niet uit onwil maar door een gebrek aan capaciteit, prioriteit of kennis.

Factoren die late detectie in de hand werken:

• Beveiligingsmonitoring is belegd bij een kleine IT-afdeling met veel andere taken
• Logbestanden worden wel bewaard maar niet of nauwelijks geanalyseerd
• Er zijn geen drempelwaarden ingesteld die automatisch een melding triggeren
• Interne kennis ontbreekt om verdacht gedrag te herkennen aan de hand van systeemdata

Voor bestuurders en managers is dit een concreet aandachtspunt. Informatiebeveiliging is niet alleen een kwestie van de juiste software installeren. Het vereist actief beheer, periodieke controle en een organisatie die weet wat normaal gedrag is in haar eigen systemen.

Hoeveel schade er in korte tijd mogelijk is

De omvang van een datalek wordt bepaald door drie factoren: de breedte van de toegang, de snelheid van de extractie en de tijd die verstrijkt voor de inbraak wordt ontdekt. In het geval van een goed ingericht CRM-systeem met miljoenen klantrecords kan een aanvaller in relatief korte tijd een enorme hoeveelheid gegevens verzamelen.

Beveiligingsonderzoekers wijzen er op dat het volledig leegschrapen van een groot systeem meerdere dagen in beslag neemt. Maar een deel van de data binnenhalen is in veel gevallen al voldoende voor criminelen om er waarde uit te halen.

Wat de omvang van de schade vergroot:

• Brede toegangsrechten voor medewerkers die meer data kunnen bereiken dan strikt noodzakelijk
• Geen automatische uitlogtijden of sessiebeperkingen op gevoelige systemen
• Ontbreken van segmentering, waarbij toegang tot één onderdeel automatisch toegang geeft tot andere onderdelen
• Geen maximumaantal opvragingen per account per tijdseenheid ingesteld

Het Nationaal Cyber Security Centrum (NCSC) publiceert richtlijnen voor het inrichten van veilige toegangsstructuren en het monitoren van systemen. Deze zijn beschikbaar voor organisaties die hun beveiligingsbeleid willen aanscherpen, ook zonder uitgebreide technische achtergrond.

Voor directies geldt een eenvoudige maar scherpe vraag: als een medewerkeraccount morgen wordt gehackt, hoe lang duurt het dan voordat de organisatie dat merkt? En hoeveel data kan er in die tijd worden meegenomen? Wie die vraag niet kan beantwoorden, heeft werk te doen.

3. Welke gegevens het gevaarlijkst zijn om te verliezen

Niet alle gestolen data is even schadelijk. Sommige gegevens verliezen snel hun waarde, andere blijven tientallen jaren bruikbaar voor criminelen. De gevaarlijkste combinatie van gestolen persoonsgegevens is niet één type gegeven, maar de stapeling van meerdere gegevens die samen een volledig profiel vormen. Gestolen persoonsgegevens worden op criminele markten verhandeld, en de prijs wordt bepaald door volledigheid en bruikbaarheid.

Organisaties die persoonsgegevens verwerken, dragen een verantwoordelijkheid die verder gaat dan het voorkomen van een inbraak. Ze zijn ook verantwoordelijk voor wat er gebeurt als die inbraak toch plaatsvindt. En de ernst van de gevolgen hangt direct samen met welke gegevens ze bewaarden en hoe die waren beveiligd.

Waarom IBAN-nummers een aparte categorie vormen

Een naam of e-mailadres is vervelend om te verliezen. Een IBAN-nummer is gevaarlijk. Rekeningnummers worden in combinatie met andere persoonsgegevens gebruikt voor het afsluiten van automatische incasso’s, het aanvragen van financiële producten op naam van iemand anders of het overtuigen van bankmedewerkers bij frauduleuze verzoeken.

Wat een IBAN-nummer in criminele handen mogelijk maakt:

• Incasso-opdrachten afsluiten op naam van de gedupeerde
• Financiële instellingen benaderen met valse identiteitsverificatie
• Overtuigende fraudeberichten opstellen die verwijzen naar het echte rekeningnummer
• Combineren met andere gegevens voor gerichte bankfraude

Het probleem is dat een rekeningnummer in veel gevallen niet eenvoudig te vervangen is. Een wachtwoord kan worden gewijzigd. Een IBAN is gekoppeld aan een bankrekening en veranderen kost moeite, tijd en niet elke bank faciliteert dit soepel.

De gevaarlijke combinatie van naam, adres en identiteitsbewijs

Een paspoort- of rijbewijsnummer in combinatie met een naam, adres en geboortedatum is de meest waardevolle dataset die criminelen kunnen hebben. Het stelt hen in staat om zich geloofwaardig voor te doen als iemand anders, ook in situaties waar verificatie normaal gesproken een drempel zou moeten zijn.

Dit type gegevens wordt gebruikt voor:

• Het openen van bankrekeningen of aanvragen van kredieten op naam van slachtoffers
• Identiteitsverificatie bij telecombedrijven, verzekeraars of overheidsinstanties
• Het omzeilen van controlevragen bij klantenservice-afdelingen
• Langdurige identiteitsfraude die soms pas jaren later wordt ontdekt

Het bijzondere aan identiteitsgegevens is dat ze niet verlopen op het moment dat ze worden gestolen. Een paspoortnummer dat vandaag wordt buitgemaakt, kan over twee jaar nog steeds worden misbruikt. Slachtoffers weten dan vaak niet meer waar de fraude vandaan komt.

De Autoriteit Persoonsgegevens (AP) classificeert dit soort gegevens als bijzonder gevoelig en stelt aanvullende eisen aan de beveiliging ervan. Organisaties die identiteitsgegevens bewaren zijn verplicht te kunnen aantonen dat ze deze gegevens adequaat beschermen.

Wat criminelen met volledige profielen kunnen doen

Een volledig profiel, bestaande uit naam, adres, geboortedatum, telefoonnummer, e-mailadres, rekeningnummer en identiteitsbewijs, geeft criminelen mogelijkheden die ver uitstijgen boven de som der delen. Het is niet langer een kwestie van één type fraude. Het wordt een gereedschapskist.

Wat er mogelijk is met een volledig klantprofiel:

• Gerichte phishingberichten opstellen die persoonlijke details bevatten en daardoor geloofwaardig zijn
• Telefonisch contact opnemen met bedrijven en zich authenticeren als het slachtoffer
• Contracten afsluiten, bestellingen plaatsen of diensten aanvragen op naam van de gedupeerde
• Het slachtoffer benaderen met oplichting die is toegesneden op zijn of haar specifieke situatie
• Gegevens doorverkopen aan andere criminelen of inlichtingendiensten

Voor organisaties in sectoren met gevoelige doelgroepen, zoals de zorg, overheid of financiële dienstverlening, geldt dat een datalek niet alleen de direct getroffen personen schaadt. Het kan ook een instrument worden in grotere operaties gericht op spionage, chantage of georganiseerde fraude.

Waarom dit datalek anders is dan de meeste

De meeste datalekken betreffen één of twee typen gegevens. Een gelekt e-mailadressenbestand is vervelend maar beheersbaar. Wat dit type aanval onderscheidt, is de combinatie van financiële gegevens, identificatiegegevens en contactgegevens in één dataset.

Beveiligingsonderzoekers wijzen er op dat de waarde van gestolen data exponentieel toeneemt naarmate de combinatie completer is. Een naam alleen is weinig waard. Een naam met adres, geboortedatum, rekeningnummer en paspoortnummer is aanzienlijk meer waard op criminele markten en aanzienlijk gevaarlijker voor het slachtoffer.

Voor bestuurders en managers is de kern van dit inzicht eenvoudig samen te vatten: de vraag is niet alleen of gegevens worden gestolen, maar welke gegevens de organisatie überhaupt bewaart en of dat noodzakelijk is. Elke dataset die niet wordt bewaard, kan ook niet worden gestolen.

Het Nationaal Cyber Security Centrum (NCSC) adviseert organisaties om periodiek te beoordelen welke persoonsgegevens zij verwerken, hoe lang die worden bewaard en of de bewaarperiode nog in verhouding staat tot het oorspronkelijke doel.

Informatiebeveiliging is ook: bewust kiezen om minder te bewaren!

4. Hoe slachtoffers worden opgelicht met gestolen data

Identiteitsfraude na een datalek begint zelden direct. Criminelen werken methodisch en wachten soms weken of maanden voordat ze gestolen data inzetten. Oplichting met persoonsgegevens is een groeiende vorm van criminaliteit die moeilijk te bestrijden is, juist omdat de aanvaller beschikt over echte informatie. Het slachtoffer heeft geen idee dat er iets mis is, totdat de schade al is aangericht.

Zoals eerder besproken vormt een volledig klantprofiel een gevaarlijk pakket. Maar de manier waarop criminelen dat pakket inzetten, verdient apart aandacht. Want het gaat niet alleen om technische fraude. Het gaat ook om psychologische manipulatie op grote schaal.

Berichten die geloofwaardig lijken omdat ze echt zijn

Traditionele oplichting is relatief herkenbaar. Een vreemd geformuleerde e-mail, een onbekende afzender, een algemene aanhef. Dat verandert fundamenteel wanneer een crimineel beschikt over echte persoonsgegevens.

Een bericht dat de volledige naam, het woonadres, het telefoonnummer en het rekeningnummer van de ontvanger bevat, ziet er niet uit als oplichting. Het ziet eruit als een legitieme communicatie van een bank, verzekeraar of overheidsinstantie. En dat is precies de bedoeling.

Wat dit type bericht gevaarlijk maakt:

• De ontvanger herkent zijn eigen gegevens en interpreteert dat als bewijs van echtheid
• Er wordt verwezen naar een specifieke situatie, zoals een openstaande betaling of een verdachte inlogpoging
• De toon is professioneel en urgent, wat leidt tot onbezonnen actie
• Links leiden naar nepwebsites die identiek zijn aan de echte versie

Helpdeskfraude en bankfraude nemen in dit soort gevallen een nieuwe dimensie aan. Waar slachtoffers vroeger een algemeen opgezette oplichterstruc herkenden, is dat onderscheid nu veel moeilijker te maken.

Fraude plegen op naam van iemand anders

Een tweede vorm van misbruik speelt zich af zonder dat het slachtoffer direct wordt benaderd. Criminelen gebruiken de gestolen gegevens om zich voor te doen als de gedupeerde bij bedrijven, banken of overheidsinstanties.

Voorbeelden van deze aanpak:

• Bellen naar een klantenserviceafdeling en zich authenticeren met echte gegevens van het slachtoffer
• Adreswijzigingen doorgeven zodat post en facturen naar een ander adres worden gestuurd
• Nieuwe contracten afsluiten bij telecombedrijven of energieleveranciers
• Kredietaanvragen indienen bij financiële instellingen
• Bestaande accounts overnemen door wachtwoordresets aan te vragen via bekende contactgegevens

Het probleem voor slachtoffers is dat deze vormen van fraude vaak pas aan het licht komen als er al schulden zijn gemaakt, incassobureaus in beeld komen of een kredietwaardigheidscheck wordt uitgevoerd. De schade is dan al aanzienlijk en het herstelproces is tijdrovend en frustrerend.

Het Centraal Meldpunt Identiteitsfraude (CMI) biedt ondersteuning aan slachtoffers van identiteitsfraude en werkt samen met gemeenten, banken en andere instanties om de schade te beperken. Maar voorkomen blijft eenvoudiger dan herstellen.

Risico voor politici, overheidsmedewerkers en andere doelwitten

Niet elk slachtoffer van een datalek loopt hetzelfde risico. Voor de meeste mensen betekent een datalek een verhoogde kans op phishing en mogelijk financiële fraude. Voor een specifieke groep zijn de risico’s fundamenteel anders van aard.

Politici, overheidsmedewerkers, journalisten, rechters en medewerkers van vitale infrastructuur zijn potentieel interessant voor statelijke actoren, georganiseerde criminaliteit of extremistische groeperingen. Voor hen betekent een uitgelekt telefoonnummer en woonadres een veiligheidsrisico dat verder gaat dan financiële schade.

Toepassingen van gestolen data gericht op deze groep:

• In kaart brengen van contacten en sociale netwerken
• Intimidatie via telefoon, e-mail of fysieke post
• Doxxing, het publiekelijk delen van privégegevens met als doel te intimideren
• Gerichte desinformatiecampagnes gebaseerd op persoonlijke informatie
• Inzet als onderdeel van bredere spionageoperaties

De AIVD (Algemene Inlichtingen- en Veiligheidsdienst) waarschuwt regelmatig voor pogingen van buitenlandse inlichtingendiensten om Nederlandse burgers en instellingen te profileren via onder andere gestolen datasets. Een grootschalig datalek levert daarvoor waardevolle bouwstenen.

Wat slachtoffers nu concreet kunnen doen

Voor mensen van wie de gegevens mogelijk zijn buitgemaakt, zijn er concrete stappen die het risico op misbruik verkleinen. Volledig uitsluiten is helaas niet mogelijk, maar de drempel voor misbruik kan wel worden verhoogd.

Stappen die direct genomen kunnen worden:

• Tweestapsverificatie instellen op e-mail, bankieren en andere belangrijke accounts via Digitaal Veilig (het platform van de overheid voor digitale veiligheid voor burgers)
• Extra alert zijn op telefonisch contact waarbij om bevestiging van persoonlijke gegevens wordt gevraagd
• Verdachte berichten melden via Fraudehelpdesk (Fraudehelpdesk)
• Bij vermoeden van identiteitsfraude direct contact opnemen met de bank en aangifte doen bij de politie
• Controleren of gegevens zijn verschenen in bekende datalekken via Have I Been Pwned

Wat ook helpt is bewustzijn over hoe legitieme instanties communiceren. Banken, verzekeraars en overheidsinstanties vragen nooit telefonisch om wachtwoorden, pincodes of het goedkeuren van inlogpogingen. Dat principe geldt altijd, ongeacht hoe geloofwaardig de beller of het bericht overkomt.

5. Wat dit datalek onthult over digitale veiligheid

Digitale veiligheid in organisaties wordt vaak beoordeeld aan de hand van wat er technisch is geregeld. Firewalls, encryptie, antivirussoftware. Maar de aanval die leidde tot een van de grootste datalekken in Nederland laat zien dat technische maatregelen alleen een organisatie niet beschermen. Cybersecurity bedrijven verbeteren begint bij een eerlijke beoordeling van waar de echte kwetsbaarheden zitten. En die zitten zelden uitsluitend in de techniek.

Zoals eerder besproken begon de inbraak bij een medewerker, verliep de datadiefstal geruisloos en was de schade enorm door de combinatie van gegevens die werden bewaard. De vraag die overblijft is wat organisaties structureel anders kunnen doen. Niet als eenmalige reactie op een incident, maar als blijvende verandering in hoe zij omgaan met digitale risico’s.

Beveiligers moeten alles goed doen, hackers één ding

Er bestaat in de beveiligingswereld een bekende asymmetrie. Een organisatie moet honderdduizenden beslissingen goed nemen om veilig te blijven. Een aanvaller hoeft er maar één te vinden die fout is. Die ongelijkheid is niet op te lossen met meer technologie. Ze is alleen te beheersen door de kans op die ene fout zo klein mogelijk te maken.

Dat betekent in de praktijk:

• Regelmatig testen of medewerkers phishingpogingen herkennen, niet als straf maar als leermoment
• Processen inrichten waarbij medewerkers verdachte situaties laagdrempelig kunnen melden
• Interne communicatie over beveiliging normaliseren zodat het geen uitzonderlijk onderwerp is
• Beveiligingsincidenten intern evalueren zonder schuldcultuur, zodat er van wordt geleerd

De organisatie die haar eigen zwakke plekken het best kent, is het best voorbereid. Dat vraagt om een cultuur waarin beveiliging een gedeelde verantwoordelijkheid is en niet uitsluitend de taak van een technische afdeling.

Wat banken anders doen dan andere sectoren

De financiële sector heeft in de afgelopen decennia een testcultuur opgebouwd die andere sectoren kunnen navolgen. Banken laten zich structureel aanvallen door ethische hackers, ook wel penetratietesten genoemd, om kwetsbaarheden te vinden voordat criminelen dat doen. Toezichthouders in de financiële sector verwachten dit aantoonbaar en periodiek.

In veel andere sectoren ontbreekt deze cultuur nog. Beveiliging wordt er reactief benaderd: er wordt gehandeld na een incident, niet structureel getest vóór een incident plaatsvindt.

Wat organisaties kunnen leren van de bancaire aanpak:

• Periodieke penetratietesten door externe partijen, niet alleen interne controles
• Simulaties van aanvalsscenario’s om te testen hoe medewerkers en systemen reageren
• Structureel rapporteren aan bestuur over beveiligingsrisico’s en testresultaten
• Beveiliging opnemen als vast agendapunt in bestuurs- en directievergaderingen

De rol van medewerkersbewustzijn bij het voorkomen van inbraken

Technische maatregelen en bewustwording zijn geen concurrerende aanpakken. Ze versterken elkaar. Een medewerker die begrijpt waarom bepaalde regels gelden, is eerder geneigd die regels te volgen. En een medewerker die weet hoe een aanval eruitziet, is minder snel het slachtoffer ervan.

Bewustwording is daarmee geen zachte maatregel. Het is een structurele beveiligingsinvestering met aantoonbaar effect.

Effectieve bewustwording heeft de volgende kenmerken:

• Het is continu, niet eenmalig. Een jaarlijkse training verandert gedrag niet structureel
• Het is concreet en herkenbaar, gebaseerd op realistische scenario’s uit de eigen sector
• Het sluit aan bij de dagelijkse werkpraktijk van medewerkers, niet bij abstracte theorie
• Het wordt gemeten via kennistoetsen, gedragsobservaties of gesimuleerde aanvallen
• Het heeft zichtbare steun vanuit de top van de organisatie

De NIS2-richtlijn verplicht organisaties in kritieke sectoren om aantoonbaar te investeren in bewustwording en opleiding van medewerkers op het gebied van cyberbeveiliging. Die verplichting is niet vrijblijvend. Organisaties die bij een incident niet kunnen aantonen dat zij hun medewerkers structureel hebben opgeleid, lopen het risico op sancties.

Waarom technische maatregelen alleen niet volstaan

Informatiebeveiliging is geen product dat een organisatie aanschaft en installeert. Het is een doorlopend proces dat vraagt om aandacht, bijsturing en inbedding in de organisatiecultuur.

De aanval op Odido illustreert dat zelfs een organisatie met technische beveiligingsmaatregelen kwetsbaar blijft als het menselijke en organisatorische fundament niet op orde is.

De Autoriteit Persoonsgegevens (AP) beoordeelt bij datalekken niet alleen of een organisatie technisch op orde was, maar ook of zij aantoonbaar heeft geïnvesteerd in het bewustzijn en de opleiding van medewerkers. Organisaties die dat niet kunnen aantonen, staan bij een incident met lege handen.

Het datalek dat in februari 2025 plaatsvond bij Odido is geen geïsoleerde gebeurtenis. Het is een symptoom van een breder patroon waarbij organisaties de menselijke kant van beveiliging onderschatten. Zolang dat patroon voortduurt, blijft de vraag niet óf een vergelijkbaar incident zich ergens anders voordoet. De vraag is wanneer.

Samengevat

Een datalek is zelden het gevolg van één technische fout. Het is het resultaat van een opeenstapeling van kwetsbaarheden, menselijke handelingen en organisatorische keuzes die samen een opening creëren voor criminelen. Voor zorginstellingen, die dagelijks werken met bijzonder gevoelige persoonsgegevens en wettelijk verplicht zijn tot aantoonbare informatiebeveiliging, zijn de lessen uit dit datalek direct toepasbaar.

1. De mens is het primaire doelwit, niet het systeem Aanvallers kiezen bewust voor de medewerker als zwakste schakel omdat dat sneller en goedkoper werkt dan technische inbraak. In de zorg, waar medewerkers onder hoge druk werken en minder digitaal getraind zijn dan in de financiële sector, is dit risico structureel groter.

2. Toegang tot systemen is een kritisch beveiligingsvraagstuk Wie toegang heeft tot welke patiëntgegevens, en of die toegang strikt noodzakelijk is, bepaalt de omvang van de schade bij een inbraak. Zorginstellingen die werken met elektronische patiëntdossiers dragen een bijzondere verantwoordelijkheid om toegangsrechten periodiek te herzien en te beperken tot wat strikt noodzakelijk is.

3. Detectie is minstens zo belangrijk als preventie Een aanval volledig voorkomen is niet altijd realistisch. Snel ontdekken dat er iets mis is, beperkt de schade aanzienlijk en bepaalt het verschil tussen een beheersbaar incident en een catastrofaal datalek.

4. De combinatie van gegevens bepaalt de ernst van het risico Zorginstellingen bewaren niet alleen contactgegevens maar ook medische, financiële en identificatiegegevens in combinatie. Juist die combinatie maakt een datalek in de zorg potentieel ernstiger dan in andere sectoren, voor zowel patiënten als de instelling zelf.

5. Bewustwording is geen eenmalige actie maar een doorlopend proces Een jaarlijkse verplichte training volstaat niet. Structurele bewustwording, ingebed in de dagelijkse werkpraktijk van zorgmedewerkers, is de meest effectieve maatregel tegen aanvallen die beginnen bij menselijk gedrag.

6. Compliance is een vloer, geen plafond NEN 7510, de NIS2-richtlijn en de AVG stellen minimumvereisten aan informatiebeveiliging in de zorg. Organisaties die alleen aan de minimumvereisten voldoen, zijn niet per definitie veilig. Echte weerbaarheid vraagt om een beveiligingsniveau dat verder gaat dan wat toezichthouders minimaal verwachten.

7. Wat niet wordt bewaard kan niet worden gestolen Zorginstellingen bewaren soms gegevens langer dan noodzakelijk of verwerken meer gegevens dan strikt vereist voor de zorgverlening. Een kritische beoordeling van welke gegevens worden verzameld, hoe lang ze worden bewaard en of dat nog proportioneel is, verkleint het risico bij een inbraak structureel.

6. Het lek is gedicht, het vertrouwen niet

Een groot datalek treft miljoenen mensen. De technische teams werken dag en nacht. De kwetsbaarheid wordt gedicht, de systemen worden hersteld, de forensische analyse loopt. En dan verschijnt het persbericht: de organisatie benadrukt dat alle beveiligingsmaatregelen op orde waren, dat er geen wachtwoorden zijn buitgemaakt, en dat klanten “extra alert” moeten zijn op verdachte berichten.

De crisis is bezworen. Tenminste, dat denkt de organisatie.

De blinde vlek in incidentrespons

Wat in de nasleep van grote datalekken structureel ontbreekt, is aandacht voor de menselijke dimensie. Organisaties investeren miljoenen in firewalls, detectiesystemen en incident response teams. Maar zodra het misgaat, beperkt de communicatie zich vaak tot een technisch incidentbericht, een FAQ-pagina en de oproep om “waakzaam te blijven.”

Voor een bestuurder of CISO voelt dat misschien als adequate informatievoorziening. Voor de ontvanger, de klant, de patiënt, de burger wiens gegevens nu ergens rondzwerven, is het iets heel anders. Het is een abstracte mededeling die geen antwoord geeft op de vraag die werkelijk brandt: wat betekent dit voor mij? En wat doet deze organisatie om mij te helpen?

De realiteit is dat voor veel mensen een datalek geen abstract veiligheidsrisico is, maar een bron van concrete angst. Angst om slachtoffer te worden van identiteitsfraude. Angst om spaargeld kwijt te raken. Angst om “weer iets fout te doen” in een digitale wereld die toch al ingewikkeld genoeg is. Vooral mensen met beperkte digitale vaardigheden, taalproblemen of stress op andere leefgebieden hebben moeite om technische incidentmeldingen te verwerken en te vertalen naar concrete actie.

De tweede golf: wanneer oplichters toeslaan

En dan komt de tweede klap. Binnen dagen na een groot datalek duiken websites op die claimen slachtoffers te helpen met schadeclaims. Tegen betaling, uiteraard. Mails circuleren die inspelen op de angst en verontwaardiging van gedupeerden. De Fraudehelpdesk waarschuwt, maar het kwaad is al geschied: mensen die net te horen kregen dat hun gegevens zijn gestolen, worden nu actief benaderd door partijen die hen opnieuw willen benadelen.

Dit fenomeen, dubbel slachtofferschap, is geen incident maar een patroon. Oplichters volgen het nieuws net zo goed als security-professionals. Zodra een datalek de krantenkoppen haalt, staan de nepwebsites en phishingmails klaar. De gestolen gegevens maken gerichte fraude bovendien geloofwaardiger: een mail die begint met de juiste naam, het juiste adres en het juiste klantnummer voelt nu eenmaal echter dan generieke spam.

Hier wordt de link met crisiscommunicatie pijnlijk duidelijk. Een organisatie die haar klanten na een lek alleen technische informatie stuurt via e-mail en website, laat een vacuüm achter. Dat vacuüm wordt gevuld door anderen, en niet allemaal met goede bedoelingen. Goede crisiscommunicatie is dus niet alleen een kwestie van reputatiemanagement of klantvriendelijkheid. Het is een verlengstuk van de zorgplicht die organisaties hebben voor de mensen wiens gegevens zij beheren.

Wat crisiscommunicatie werkelijk vraagt

De reflexmatige reactie na een datalek is begrijpelijk: benadruk wat goed ging, minimaliseer de schade, verwijs naar bestaande procedures. Maar deze aanpak mist het punt. Wat mensen nodig hebben na een incident is niet de verzekering dat “alle systemen op orde waren”, want dat is evident niet zo, anders was er geen lek geweest. Wat mensen nodig hebben is erkenning, duidelijkheid en ondersteuning.

Erkenning betekent: expliciet uitspreken dat dit niet had mogen gebeuren, ongeacht hoe goed de beveiligingsmaatregelen waren. Honderd procent digitale veiligheid bestaat niet, en juist daarom schuurt het wanneer organisaties vooral benadrukken hoe goed alles geregeld wás. Een oprecht excuus, zonder juridische slagen om de arm, is het begin van herstel van vertrouwen.

Duidelijkheid betekent: in gewone taal uitleggen wat er precies is gebeurd, welke gegevens zijn geraakt, en wat de concrete risico’s zijn. Niet alleen voor de technisch onderlegde lezer, maar voor iedereen. Dat vraagt om communicatie die verder gaat dan een persbericht: telefonische bereikbaarheid, instructies voor baliepersoneel, samenwerking met publieke steunpunten.

Ondersteuning betekent: mensen niet alleen waarschuwen voor risico’s, maar hen ook helpen die risico’s te beheersen. Dat kan variëren van concrete stappenplannen tot actieve doorverwijzing naar instanties als de Fraudehelpdesk. De boodschap “wees alert” is welgemeend maar praktisch waardeloos voor wie niet weet waar precies op te letten.

In de zorg ligt de lat hoger

De lessen uit recente datalekken gelden voor elke organisatie die persoonsgegevens verwerkt. Maar voor de zorgsector liggen de stakes fundamenteel hoger. Waar een telecomprovider namen, adressen en rekeningnummers beheert, beheren zorgorganisaties informatie die tot de meest intieme sfeer van mensen behoort: diagnoses, behandelingen, medicatiegebruik, psychische klachten, verslavingsproblematiek, genetische gegevens.

De AVG classificeert gezondheidsgegevens niet voor niets als “bijzondere persoonsgegevens” waarvoor verzwaarde bescherming geldt. De schade bij een lek is navenant groter. Een gestolen IBAN-nummer kan leiden tot financiële fraude; gestolen medische gegevens kunnen leiden tot discriminatie bij verzekeringen of werkgevers, tot chantage, tot sociale stigmatisering. En in tegenstelling tot een rekeningnummer kan een medische diagnose niet worden “vervangen.”

Dit heeft directe consequenties voor de communicatieplicht. Een zorgorganisatie die na een datalek communiceert alsof het om reguliere klantgegevens gaat, miskent de bijzondere aard van de relatie met patiënten. Die relatie is gebouwd op vertrouwen: het vertrouwen dat mensen hun meest kwetsbare informatie kunnen delen zonder dat die tegen hen wordt gebruikt. Een datalek schendt dat vertrouwen op een manier die verder reikt dan financiële schade.

De communicatie moet daar rekening mee houden. Dat betekent niet alleen uitleggen welke gegevens zijn geraakt, maar ook eerlijk zijn over de mogelijke gevolgen. Het betekent rekening houden met het feit dat patiënten mogelijk al in een kwetsbare positie verkeren: ziek, onzeker, afhankelijk van zorg. Het betekent samenwerken met hulpverleners en patiëntenorganisaties die kunnen helpen de boodschap te vertalen naar wat mensen werkelijk nodig hebben.

En het betekent, misschien wel het belangrijkste, dat de communicatie niet stopt na het eerste bericht. Mensen die zojuist hebben gehoord dat hun medische gegevens zijn gestolen, hebben niet alleen informatie nodig maar ook geruststelling en begeleiding in de weken en maanden daarna. De angst verdwijnt niet met een e-mail.

De bestuurlijke dimensie

Voor bestuurders en directies van zorgorganisaties zijn hier belangrijke lessen te trekken. Crisiscommunicatie is geen PR-aangelegenheid die kan worden gedelegeerd aan de afdeling communicatie zodra de technische brand is geblust. Het is een integraal onderdeel van incidentrespons dat vooraf moet worden doordacht en geoefend.

De vraag is niet óf een organisatie ooit met een datalek te maken krijgt, maar wanneer. En op dat moment bepaalt de kwaliteit van de communicatie in belangrijke mate hoe groot de schade wordt, niet alleen voor de organisatie, maar vooral voor de mensen die afhankelijk zijn van haar zorgvuldigheid. Een organisatie die na een incident alleen maar benadrukt dat de systemen weer veilig zijn, mist het punt. Het gaat niet om de systemen. Het gaat om de mensen achter de data.

Dat vraagt om een fundamenteel andere benadering van incidentcommunicatie. Niet reactief en defensief, maar proactief en empathisch. Niet gericht op het beperken van aansprakelijkheid, maar op het beperken van schade voor betrokkenen. Niet beperkt tot digitale kanalen, maar gebruikmakend van alle beschikbare contactmomenten.

Vertrouwen is geen bijproduct

Een technische kwetsbaarheid kan worden gedicht. Een beveiligingslek kan worden gerepareerd. Maar vertrouwen werkt anders. Vertrouwen bouw je op door consistent te laten zien dat je de belangen van mensen serieus neemt, ook, en misschien vooral, wanneer het misgaat.

Organisaties die na een incident vooral bezig zijn met het beschermen van hun eigen reputatie, bereiken vaak het tegenovergestelde. De mensen die zij claimen te beschermen, voelen zich in de steek gelaten. De oplichters die in het gat springen, krijgen vrij spel. En het vertrouwen dat essentieel is voor elke relatie tussen organisatie en klant, tussen zorgverlener en patiënt, tussen overheid en burger, erodeert verder.

De les is even simpel als veeleisend: crisiscommunicatie is geen sluitstuk van incidentrespons, maar een kernonderdeel ervan. Organisaties die dat begrijpen, investeren niet alleen in detectie en respons, maar ook in de capaciteit om op het moment dat het ertoe doet de juiste woorden te vinden. Niet de woorden die de juridische afdeling heeft goedgekeurd, maar de woorden die mensen nodig hebben om te begrijpen wat er is gebeurd en wat zij kunnen doen.

Het lek is misschien gedicht. Maar het werk begint dan pas.

7. De gevolgen na de hack: wie draagt de last?

De informatiebeveiliging van organisaties wordt pas echt getest wanneer het misgaat. Na een datalek van deze omvang beginnen de werkelijke consequenties zich pas te manifesteren in de weken en maanden die volgen. Voor bestuurders en managers die verantwoordelijk zijn voor informatiebeveiliging binnen hun organisatie, biedt deze casus een confronterende blik op wat er gebeurt wanneer preventieve maatregelen onvoldoende blijken.

De directe schade van een datalek beperkt zich zelden tot het moment van ontdekking. Er ontstaat een kettingreactie waarbij verschillende partijen op verschillende manieren geraakt worden. Burgers verliezen vertrouwen, toezichthouders starten onderzoeken, juridische claims stapelen zich op, en de operationele continuïteit komt onder druk te staan.

Kwetsbare groepen als primair doelwit

Niet iedereen loopt hetzelfde risico na een datalek. Criminelen selecteren hun slachtoffers zorgvuldig op basis van de beschikbare informatie. Wanneer aantekeningen over financiële situaties, bewindvoering of persoonlijke omstandigheden onderdeel zijn van gelekte data, ontstaat een bijzonder gevaarlijke situatie.

De volgende groepen lopen verhoogd risico:

• Personen onder bewindvoering of curatele, wier kwetsbaarheid nu expliciet bekend is bij criminelen
• Ouderen die minder digitaal vaardig zijn en misleiding moeilijker herkennen
• Laaggeletterden die schriftelijke waarschuwingen minder goed kunnen interpreteren
• Personen met betaalachterstanden, die eerder geneigd zijn in te gaan op financiële “oplossingen”
• Bewoners van welvarende postcodegebieden, die aantrekkelijker zijn voor gerichte aanvallen

Deze groepen worden door criminelen verzameld in zogenoemde “sukkellijsten”. De combinatie van contactgegevens, financiële informatie en persoonlijke aantekeningen maakt gerichte aanvallen bijzonder effectief. Waar de technische aspecten van misbruik eerder zijn besproken, gaat het hier om de maatschappelijke schade die ontstaat wanneer kwetsbare mensen systematisch worden geselecteerd.

Het CMI (Centraal Meldpunt Identiteitsfraude) ontvangt reeds meldingen naar aanleiding van dit datalek. De verwachting is dat dit aantal de komende maanden significant zal toenemen naarmate criminelen de data verder verwerken en verspreiden.

Juridische onzekerheid voor gedupeerden

Voor getroffen personen die schade willen verhalen ontstaat een complex juridisch landschap. Onder de AVG (Algemene Verordening Gegevensbescherming) bestaat in principe recht op schadevergoeding, maar de praktijk is weerbarstiger.

Voorwaarden voor een succesvolle claim omvatten:

• Aantoonbare schending van de AVG door de organisatie
• Bewijs van daadwerkelijk geleden schade, materieel of immaterieel
• Direct causaal verband tussen het datalek en de schade
• Documentatie van alle stappen en kosten

Het probleem zit in de bewijslast. Wanneer iemand slachtoffer wordt van identiteitsfraude, moet worden aangetoond dat dit specifiek het gevolg is van dit ene datalek. In een tijdperk waarin de gemiddelde burger in meerdere datalekken voorkomt, wordt dat onderscheid steeds moeilijker te maken.

Materiële schade zoals kosten voor nieuwe identiteitsdocumenten lijkt concreet, maar ook hier geldt dat documentnummers alleen onvoldoende zijn voor identiteitsfraude. Zonder fysieke kopie van het document kunnen criminelen beperkt misbruik maken. De noodzaak voor vervanging is daarom juridisch betwistbaar.

Immateriële schade, zoals stress, angst en verlies van vertrouwen, is nog lastiger te kwantificeren. Rechtbanken vragen om concrete onderbouwing. Steeds vaker zien partijen die zich opwerpen om schade collectief te verhalen via massaclaims. Of deze succesvol zullen zijn, hangt af van de vraag of kan worden aangetoond dat de organisatie onvoldoende beveiligingsmaatregelen had getroffen.

Operationele ontwrichting binnen de organisatie

Voor de getroffen organisatie stapelen de consequenties zich op meerdere fronten op. De dagelijkse bedrijfsvoering wordt direct geraakt op manieren die van buitenaf niet altijd zichtbaar zijn.

De klantenservice wordt overspoeld met vragen van ongeruste klanten. Verificatieprocedures moeten worden aangepast nu bestaande controlevragen gecompromitteerd zijn. Een medewerker kan niet langer vragen naar geboortedatum of klantnummer als verificatie, want die gegevens zijn nu publiek beschikbaar. Dit dwingt tot het ontwikkelen van nieuwe authenticatiemethoden onder tijdsdruk.

Interne systemen worden geauditeerd en mogelijk tijdelijk offline gehaald voor onderzoek. Medewerkers worden hertraind op beveiligingsprotocollen. De IT-afdeling werkt onder hoge druk terwijl tegelijkertijd de normale operatie moet doorlopen. Dit leidt tot uitgestelde projecten, overbelast personeel en verhoogd risico op fouten.

Financiële impact op korte en lange termijn

De financiële gevolgen van een grootschalig datalek reiken verder dan de directe kosten voor forensisch onderzoek en externe experts. Er ontstaat een cascade van uitgaven die zich over jaren kan uitstrekken.

Directe kosten omvatten:

• Forensisch onderzoek door gespecialiseerde bureaus
• Juridische bijstand voor verweer tegen claims en toezichthouders
• Communicatiecampagnes richting getroffen klanten
• Aangeboden compensatiemaatregelen zoals beveiligingssoftware

Indirecte kosten omvatten:

• Verlies van klanten die overstappen naar concurrenten
• Uitgestelde of geannuleerde bedrijfsplannen zoals beursgang
• Verhoogde verzekeringspremies voor cyberverzekeringen
• Langdurige juridische procedures met onzekere afloop

De AP (Autoriteit Persoonsgegevens) kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Deze boetes komen bovenop eventuele schadevergoedingen aan individuele slachtoffers en de kosten van herstelmaatregelen.

Reputatieschade en vertrouwenserosie

De reputatieschade na een datalek is moeilijk te kwantificeren maar vaak langduriger dan de financiële impact. Mediaberichtgeving houdt het incident wekenlang in de publieke aandacht. Elke nieuwe onthulling over de omvang of aard van de gelekte gegevens genereert nieuwe nieuwscycli.

Bestaande klanten heroverwegen hun relatie met de organisatie. Potentiële klanten kiezen voor concurrenten die niet recent in het nieuws waren vanwege beveiligingsproblemen. Zakelijke partners stellen vragen over de betrouwbaarheid van de samenwerking. Sollicitanten twijfelen of zij bij deze organisatie willen werken.

Voor organisaties met plannen voor kapitaalverwerving, fusies of overnames kan een datalek bijzonder ongelegen komen. Investeerders en overnamekandidaten nemen beveiligingsincidenten mee in hun waardering en risicoanalyse.

De toezichthouder komt in actie

Na melding van een datalek start de AP (Autoriteit Persoonsgegevens) een onderzoek. Dit onderzoek richt zich op meerdere vragen die bepalen of en welke sancties volgen.

Onderzoeksvragen van de toezichthouder:

• Was de beveiliging passend gezien de aard en omvang van de verwerkte gegevens?
• Zijn de principes van dataminimalisatie en opslagbeperking nageleefd?
• Is tijdig en volledig gemeld aan toezichthouder en betrokkenen?
• Welke maatregelen zijn genomen om herhaling te voorkomen?

Wanneer gegevens van oud-klanten van vele jaren geleden onderdeel zijn van het lek terwijl de organisatie communiceert maximaal twee jaar te bewaren, ontstaat een extra juridisch vraagstuk. De toezichthouder zal beoordelen of sprake is van schending van het beginsel van opslagbeperking. Dit beginsel, vastgelegd in de AVG, stelt dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk voor het doel waarvoor ze zijn verzameld.

Het OM (Openbaar Ministerie) kan daarnaast strafrechtelijk onderzoek starten. Dit richt zich primair op de daders, maar kan ook vragen oproepen over de rol van de organisatie indien sprake is van grove nalatigheid.

Keteneffecten en leveranciersverantwoordelijkheid

Een datalek raakt zelden alleen de direct getroffen organisatie. Leveranciers, partners en verbonden diensten worden meegetrokken in de nasleep. Dit roept vragen op over verantwoordelijkheidsverdeling die niet altijd eenduidig te beantwoorden zijn.

Relevante vragen bij ketenverantwoordelijkheid:

• Welke rol speelde de leverancier van het klantenservicesysteem?
• Waren standaard beveiligingsfuncties geactiveerd en correct geconfigureerd?
• Wie is verantwoordelijk voor monitoring van afwijkend gedrag?
• Hoe zijn contractuele afspraken over beveiliging nageleefd?

Voor organisaties die afhankelijk zijn van externe systemen voor verwerking van persoonsgegevens, benadrukt dit incident het belang van gedegen leveranciersmanagement. Verwerkersovereenkomsten moeten niet alleen juridisch waterdicht zijn, maar ook in de praktijk worden gecontroleerd. Een jaarlijkse audit van kritieke leveranciers is geen overbodige luxe maar een noodzakelijke maatregel.

De NIS2-richtlijn stelt aanvullende eisen aan organisaties in kritieke sectoren met betrekking tot de beveiliging van hun toeleveringsketen. Organisaties moeten kunnen aantonen dat zij hun leveranciers hebben beoordeeld op beveiligingsrisico’s en waar nodig maatregelen hebben geëist.

Langetermijngevolgen voor alle betrokkenen

De impact van een datalek strekt zich uit over jaren. Persoonsgegevens veranderen zelden. Een adres, telefoonnummer of geboortedatum blijft vaak jarenlang hetzelfde. Dit betekent dat gelekte informatie jarenlang bruikbaar blijft voor kwaadwillenden.

Voor individuen betekent dit:

• Permanent verhoogde waakzaamheid bij onverwachte contacten
• Regelmatige controle van bankrekeningen en kredietrapporten
• Mogelijke registratie bij fraudewaarschuwingsdiensten zoals Experian of Focum
• Blijvende onzekerheid over mogelijk toekomstig misbruik

Voor organisaties betekent dit:

• Langdurige monitoring van systemen en toegangspatronen
• Aangepaste procedures voor klantverificatie
• Verhoogde investeringen in beveiligingsmaatregelen
• Mogelijk jarenlange juridische procedures met onzekere afloop

De psychologische belasting voor gedupeerden mag niet worden onderschat. Het gevoel dat persoonlijke gegevens ergens rondzwerven en op elk moment kunnen worden misbruikt, leidt tot stress die moeilijk te meten maar wel degelijk aanwezig is.

Concrete lessen voor andere organisaties

Organisaties die dit incident observeren kunnen concrete lessen trekken voor hun eigen situatie. Wachten tot het misgaat is geen strategie. Proactief handelen verkleint zowel de kans op een incident als de schade wanneer het toch gebeurt.

Detectie en monitoring:

Het vermogen om afwijkend gedrag tijdig te signaleren bepaalt het verschil tussen een beperkt incident en een catastrofaal datalek. Systemen moeten niet alleen registreren wat er gebeurt, maar ook actief waarschuwen bij ongebruikelijke patronen. Een medewerkeraccount dat plotseling duizenden klantrecords opvraagt, zou direct een alarm moeten triggeren.

Toegangsbeheer:

De omvang van de schade bij een gehackt account wordt bepaald door de toegangsrechten van dat account. Organisaties die het principe van least privilege consequent toepassen, beperken de schade wanneer één account wordt gecompromitteerd. Periodieke review van toegangsrechten, met name na functiewijzigingen, is essentieel.

Datahygiëne:

Gegevens die niet worden bewaard kunnen niet worden gestolen. Organisaties die kritisch kijken naar welke data zij verzamelen, hoe lang zij die bewaren en of dat nog proportioneel is, verkleinen hun aanvalsoppervlak structureel. Automatisering van retentiebeleid voorkomt dat oude gegevens onbedoeld blijven rondslingeren in systemen.

Incidentvoorbereiding:

Een incident response plan dat alleen op papier bestaat, heeft beperkte waarde. Regelmatige oefening met realistische scenario’s bereidt de organisatie voor op het moment dat het ertoe doet. Dit omvat niet alleen technische respons maar ook communicatie, juridische afwegingen en samenwerking met externe partijen.

De bredere maatschappelijke impact

De gevolgen van een grootschalig datalek reiken verder dan de direct betrokkenen. Het raakt het vertrouwen van burgers in digitale dienstverlening in het algemeen. Elke keer dat een grote organisatie in het nieuws komt vanwege een beveiligingsincident, groeit de scepsis over de vraag of persoonlijke gegevens ergens veilig zijn.

Dit heeft consequenties voor de digitale transitie waar overheid en bedrijfsleven op inzetten. Burgers die bang zijn voor datalekken, zijn terughoudender in het delen van gegevens. Dit kan leiden tot vermijdingsgedrag dat de efficiëntie van digitale dienstverlening ondermijnt.

Voor bestuurders die verantwoordelijkheid dragen voor gegevensbescherming binnen hun organisatie is dit een herinnering dat informatiebeveiliging geen geïsoleerde technische aangelegenheid is. Het is een voorwaarde voor het functioneren van de organisatie en voor het vertrouwen dat klanten, patiënten en burgers in die organisatie stellen.

De vraag is niet of de investering in betere beveiliging zich terugbetaalt. De vraag is of de organisatie het zich kan veroorloven om die investering niet te doen.

8. Cybersecurity begint in de bestuurskamer

Een telecomprovider wordt getroffen door een grootschalig datalek. Miljoenen klantgegevens komen op straat te liggen. In de nasleep van het incident richt de aandacht zich op de technische oorzaak: een medewerker die werd misleid door iemand die zich voordeed als IT-collega. Social engineering, een bekende aanvalstechniek.

Maar wie de berichtgeving nauwkeuriger volgt, ziet een ander verhaal ontstaan. Een verhaal waarin de technische inbraak slechts het sluitstuk is van een langere keten van beslissingen en prioriteiten die ver voor het incident werden gemaakt.

Keuzes die voorafgaan aan incidenten

Datalekken worden zelden veroorzaakt door één enkele fout. Ze zijn het resultaat van een opeenstapeling van keuzes over hoe een organisatie omgaat met risico’s, met waarschuwingen en met de bescherming van gegevens die haar zijn toevertrouwd.

Wanneer een organisatie besluit om systemen zo in te richten dat individuele medewerkers toegang hebben tot grote hoeveelheden klantdata, is dat een keuze. Wanneer detectiemechanismen ontbreken die opvallen als ongebruikelijke hoeveelheden data worden geëxporteerd, is dat een keuze. Wanneer waarschuwingen van leveranciers of interne specialisten niet leiden tot directe actie, is ook dat een keuze.

Het zijn keuzes die niet aan de IT-afdeling worden gemaakt. Ze worden gemaakt, of verzuimd, in de bestuurskamer. Ze weerspiegelen hoe een organisatie prioriteiten stelt, welke risico’s aanvaardbaar worden geacht en hoeveel gewicht er wordt gegeven aan wat niet direct zichtbaar bijdraagt aan de omzet.

De afstand tussen boardroom en operatie

In veel organisaties bestaat een aanzienlijke afstand tussen degenen die strategische beslissingen nemen en degenen die dagelijks met informatiebeveiliging bezig zijn. Die afstand is niet per definitie problematisch, zolang informatie over risico’s effectief naar boven stroomt en beslissers begrijpen wat er op het spel staat.

In de praktijk zien we echter regelmatig dat deze informatieketen hapert. Risico’s worden vertaald naar abstracte scores en dashboards die weinig zeggen over de werkelijke impact. Technische waarschuwingen worden verpakt in jargon dat bestuurders niet bereikt of niet raakt. Beveiligingsteams, gefrustreerd door gebrek aan mandaat en middelen, lossen problemen zelf op of documenteren ze in rapporten die niemand leest.

Het gevolg is dat bestuurders soms oprecht niet weten hoe kwetsbaar hun organisatie is. Zij baseren hun gevoel van veiligheid op certificeringen, audits en verzekeringen, terwijl de fundamentele vraag onbeantwoord blijft: wat gebeurt er als het misgaat?

Onwetendheid als bestuurlijk risico

Het is verleidelijk om bestuurlijke onwetendheid als excuus te zien. Een directeur die niet wist dat er structurele kwetsbaarheden bestonden, kan toch niet verantwoordelijk worden gehouden voor een incident dat daaruit voortvloeit?

Die redenering gaat echter voorbij aan de kern van bestuurlijke verantwoordelijkheid. Het is de taak van bestuurders om te zorgen dat zij de juiste informatie ontvangen om verantwoorde beslissingen te nemen. Een bestuurder die zegt niet te hebben geweten dat er risico’s waren, erkent daarmee dat de governance niet functioneerde. En dat is ook een bestuurlijke verantwoordelijkheid.

Bovendien is er een verschil tussen niet weten en niet willen weten. Wanneer beveiligingsbudgetten structureel worden gekort, wanneer interne waarschuwingen worden afgedaan als pessimisme, wanneer de CISO geen toegang heeft tot het bestuur, dan is onwetendheid geen ongelukkige omstandigheid maar een voorspelbaar resultaat van gemaakte keuzes.

Prioriteiten en hun consequenties

In dezelfde periode dat een organisatie worstelt met beveiligingsuitdagingen, worden elders in diezelfde organisatie grote investeringen gedaan. Een geplande beursgang vergt miljoenen aan voorbereidingskosten. Marketingcampagnes worden uitgerold. Nieuwe producten worden gelanceerd.

Dit zijn legitieme bedrijfsactiviteiten. Maar ze maken ook zichtbaar waar de prioriteiten liggen. Een organisatie die honderden miljoenen investeert in groei en tegelijkertijd beveiliging behandelt als kostenpost, maakt een impliciete afweging over wat belangrijk is en wat niet.

Die afweging is niet per se verkeerd. Elk bedrijf moet keuzes maken over waar middelen naartoe gaan. Maar het is wel een afweging die consequenties heeft. Wanneer de beveiliging faalt en miljoenen klanten de dupe worden, is het niet overtuigend om te stellen dat de organisatie slachtoffer is geworden van criminelen. De organisatie heeft, door haar eigen keuzes, de voorwaarden geschapen waaronder die criminelen konden slagen.

Dataretentie als symptoom

In de nasleep van het incident blijkt dat ook gegevens van oud-klanten zijn buitgemaakt. Klanten die al vijf, soms tien jaar geleden waren overgestapt naar een andere provider. Gegevens die volgens het eigen privacystatement al lang verwijderd hadden moeten zijn.

Dit is geen technisch detail. Het toont aan dat het datamanagement niet op orde was. Dat processen die bewaartermijnen moeten handhaven niet functioneerden of niet bestonden. Dat niemand controleerde of de organisatie deed wat zij zei te doen. Ergens in de organisatie is ooit besloten dat het verwijderen van oude klantgegevens geen prioriteit had. Of misschien heeft niemand er ooit over nagedacht.

Het is symptomatisch voor een bredere houding waarin compliance wordt gezien als iets dat op papier moet kloppen, niet als iets dat in de praktijk moet werken. Waarin audits worden doorlopen en certificaten worden behaald, terwijl de onderliggende werkelijkheid een andere is. Een privacystatement dat belooft dat gegevens na twee jaar worden verwijderd, heeft geen waarde als niemand verifieert of dat ook daadwerkelijk gebeurt.

De vraag naar verantwoordelijkheid

Wanneer een datalek van deze omvang plaatsvindt, is de vraag naar verantwoordelijkheid onvermijdelijk. Wie draagt de schuld? Wie moet worden aangesproken?

De medewerker die de telefoon opnam en werd misleid, is een gemakkelijk doelwit. Maar die medewerker handelde binnen een systeem dat hem in staat stelde om met één handeling miljoenen records te compromitteren. Een systeem dat geen waarschuwing gaf toen grote hoeveelheden data werden geëxporteerd. Een systeem dat zo was ingericht omdat iemand, ergens, besloot dat dit acceptabel was.

De werkelijke verantwoordelijkheid ligt niet bij de uitvoering maar bij het ontwerp. Niet bij de medewerker die een fout maakte, maar bij de bestuurders die een omgeving creëerden waarin die fout catastrofale gevolgen kon hebben.

De les voor andere organisaties

Voor bestuurders van andere organisaties ligt hier een ongemakkelijke spiegel. Hoe is het gesteld met de eigen informatiebeveiliging? Niet op papier, niet volgens de laatste audit, maar in werkelijkheid? Welke risico’s worden dagelijks geaccepteerd zonder dat het bestuur daarvan weet? Welke waarschuwingen zijn gegeven en niet opgepakt?

De neiging bestaat om dit soort incidenten te beschouwen als iets dat anderen overkomt. Andere organisaties, met slechtere processen, minder competente medewerkers, meer pech. Maar de patronen die zichtbaar worden in dit incident zijn niet uniek. Ze komen voor in vrijwel elke grote organisatie die informatiebeveiliging behandelt als een technisch vraagstuk in plaats van een bestuurlijke verantwoordelijkheid.

Geen technisch probleem

Informatiebeveiliging is geen technisch probleem. Het is een besturingsvraagstuk. Het gaat over hoe een organisatie omgaat met de gegevens die haar zijn toevertrouwd. Over welke risico’s aanvaardbaar zijn en welke niet. Over hoe informatie stroomt tussen uitvoering en bestuur. Over de vraag of een organisatie doet wat zij zegt te doen.

Die vragen kunnen niet worden gedelegeerd aan een IT-afdeling of een externe leverancier. Ze kunnen ook niet worden afgevinkt met een jaarlijkse audit of een certificaat aan de muur. Ze vereisen actieve betrokkenheid van bestuurders die begrijpen wat er op het spel staat en bereid zijn om daarnaar te handelen.

Het incident dat deze beschouwing aanleiding geeft, had voorkomen kunnen worden. Niet door betere firewalls of strengere wachtwoordregels, maar door bestuurders die begrepen dat de bescherming van klantgegevens geen kostenpost is maar een kernverantwoordelijkheid. Die verantwoordelijkheid begint in de bestuurskamer, niet op de IT-afdeling.