Blog

Cyberdreigingen ontwikkelen zich razendsnel. Nieuwe technologieën maken aanvallen geavanceerder, maar tegelijk ook laagdrempeliger. Toch blijft één factor telkens terugkomen als belangrijkste schakel: de mens. Geen enkele firewall, AI-gedreven detectietool of geavanceerd platform kan op tegen menselijke fouten. Daarom wordt security culture steeds vaker genoemd als dé cruciale factor in de verdediging tegen cyberrisico’s.

Wat is security culture?

Security culture gaat verder dan kennisoverdracht of jaarlijkse awareness-trainingen. Het draait om gedrag, overtuigingen en gewoontes die diep in mensen verankerd zijn. De manier waarop ze instinctief omgaan met informatie en technologie, zelfs wanneer niemand meekijkt. Een sterke veiligheidscultuur betekent dat de medewerkers automatisch verdachte situaties herkennen, proactief melding maken van afwijkingen en goede beveiligingsgewoontes volgen zonder dat dit als last voelt. Met andere woorden: veiligheid wordt een natuurlijk onderdeel van zowel werk als dagelijks leven en geen opgelegde verplichting.

Niet alleen op de werkvloer

In vrijwel alle grote cyberincidenten heeft menselijk gedrag een cruciale invloed. Het zijn niet alleen medewerkers op kantoor die risico’s lopen, ook in het privéleven worden mensen voortdurend blootgesteld aan phishinglinks, valse inlogschermen en misleidende telefoontjes. Wie thuis gewend is alert te zijn op verdachte berichten in WhatsApp of vreemde verzoeken via sociale media neemt die reflex automatisch mee naar de werkvloer. Omgekeerd kan onzorgvuldigheid in de privésfeer – bijvoorbeeld het hergebruiken van wachtwoorden of het klakkeloos installeren van apps – rechtstreeks gevolgen hebben voor de organisatie, zeker nu werk en privé digitaal steeds meer met elkaar verweven zijn.

De waarde van een sterke cultuur

Wat de urgentie van een veiligheidscultuur verder vergroot is de enorme toename van datalekken bij organisaties wereldwijd. Wanneer miljoenen inloggegevens of persoonsgegevens op straat komen te liggen groeit de kans dat criminelen met relatief weinig moeite gerichte aanvallen kunnen uitvoeren. Een aanvaller die beschikt over het privémailadres en wachtwoord van een medewerker maakt een grotere kans om toegang te krijgen tot zakelijke systemen. Bovendien maakt die overvloed aan gestolen gegevens phishingcampagnes effectiever: berichten ogen persoonlijker en overtuigender, waardoor de kans dat iemand erin trapt aanzienlijk toeneemt. Juist hier laat een sterke security culture haar waarde zien. Medewerkers die gewend zijn sterke en unieke wachtwoorden te gebruiken – ondersteund door een wachtwoordmanager, multi-factor authenticatie en alert blijven op afwijkend gedrag – vormen een natuurlijke barrière tegen aanvallen. En die houding beperkt zich niet tot het kantoor. Verdachte sms’jes direct verwijderen en vrienden waarschuwen voor oplichtingspraktijken vergroot de algehele weerbaarheid.

Een gezonde security culture

Een volwassen cultuur ontstaat niet door één enkele training of een jaarlijkse campagne, maar door voortdurende aandacht en voorbeeldgedrag. Het begint bij leiderschap dat laat zien dat beveiliging niet optioneel is, maar onderdeel van de dagelijkse routine. Daaronder ligt de basis van een omgeving waarin medewerkers zich veilig voelen om vragen te stellen en incidenten te melden, of dit nu een verkeerd aangeklikte link is of een twijfelachtig verzoek via telefoon of sociale media. Wanneer goed gedrag wordt gewaardeerd en niet alleen fouten worden afgestraft ontstaat een klimaat waarin mensen vanuit overtuiging meewerken aan veiligheid. Zo wordt cybersecurity een vanzelfsprekend onderdeel van het dagelijks handelen, zowel op de werkvloer als thuis, in plaats van een lastige verplichting die alleen tijdens kantooruren geldt.

Van compliance naar risicoreductie

Veel organisaties beperken zich tot het voldoen aan normen en regels. Hoewel compliance belangrijk is, leidt dit zonder gedragen cultuur vooral tot vinkjes op papier. Echte risicoreductie ontstaat pas wanneer beveiliging onderdeel is van de identiteit van een organisatie. Pas dan ontstaat de flexibiliteit en weerbaarheid om adequaat te reageren op nieuwe dreigingen. Goede technische oplossingen zijn noodzakelijk, maar nooit voldoende. In een tijd waarin phishingcampagnes, social engineering en grootschalige datalekken exponentieel groeien, vormt security culture de doorslaggevende factor. Een organisatie die haar medewerkers ziet als eerste verdedigingslinie in plaats van grootste risico, zet een fundamentele stap in het mitigeren van cyberrisico’s. Uiteindelijk is de kracht van de beveiliging zo groot als de cultuur die erachter staat.

Werkt jouw organisatie secure?

Een security culture ontstaat niet vanzelf. Het begint bij sterk leiderschap, voorbeeldgedrag en herhaling. Wil jij de basis leggen voor een gedegen cultuurverandering? Daar helpen wij je graag bij! Ons cybersecurityteam helpt jou om awareness, beleid en de juiste technologieën in te zetten om de security culture van jouw organisatie naar een hoger niveau te brengen.

Lees meer

Wojciech Filipowski

Securitycoördinator Meer van Wojciech

Het begint met goede bedoelingen: een informatiebeveiligingsbeleid, opgesteld om compliant te zijn en risico’s te beperken. Alles wordt netjes vastgelegd: wie doet wat, hoe en waarom. Maar dan blijft het stil. Er volgt geen implementatie, controle of naleving. Helaas komt dit in de praktijk nog vaak voor. Ook de cijfers liegen er niet om: datadiefstal neemt exponentieel toe. Het aantal ransomwareaanvallen in Nederland waarbij data werd gestolen was vorig jaar bijna twee keer zo hoog als het jaar ervoor. Een helder beleid voor cybersecurity – waarin staat beschreven hoe je jouw bedrijfs-, klant- en medewerkersgegevens beschermt en verwerk – is daarom cruciaal.

Securitybeleid in de markt

In Nederland wordt het gebrek aan uitvoerbaar beleid vaak onderschat. In de driehoek people-process-technology is het procesgedeelte leidend bij het opzetten van een fatsoenlijke cybersecurity-strategie. Wat doe je nu, wat wil je gaan doen en hoe ga je het doen? Dat zijn de grootste vraagstukken. Om weerbaar te zijn moet je immers voorbereid zijn. We zien in de markt en bij onze klanten dat het begrip en draagvlak voor een informatiebeveilingsbeleid wel aanwezig zijn in de beslissende lagen van een organisatie. Er moet ten slotte worden voldaan aan richtlijnen en wetgeving. Waar echter een gebrek aan is – en juist de behoefte ligt – is hulp bij het opstellen en uitvoerbaar maken hiervan. Zonder uitvoering van je beleid voor cybersecurity is het beleid zelf immers niets waard!

Risico’s voor organisaties

In 40 procent van de door de Autoriteit Persoonsgegevens (AP) onderzochte gevallen beschikten bedrijven of instellingen wel over beleid tegen cyberaanvallen, maar voerden dit niet juist uit of hielden er onvoldoende toezicht op. In 33 procent van de gevallen was er geen of onvoldoende beleid tegen cyberaanvallen aanwezig. Dat is precies wat we binnen het cybersecurityteam van Acknowledge ook constateren bij onze klanten. De 40 procent die wél beleid hebben, kunnen de technische vertaalslag niet maken en de 33 procent zijn bij voorbaat weerloos tegen elke vorm van cybercriminaliteit.

Wat maakt een effectief beleid?

Een sterk securitybeleid bestaat uit een set aan doelstellingen en beschrijvingen waarmee bedrijfsrisico’s in kaart worden gebracht. Vanuit daar worden deze vertaald naar een voortdurende cirkel van doelstellingen, werkzaamheden en uiteindelijk techniek:

Doel: beschermen van vertrouwelijkheid, integriteit en beschikbaarheid van informatie.
Toepassing: geldt voor alle medewerkers, systemen en externe partijen.
Risicoanalyse: identificeer bedreigingen en kwetsbaarheden.
Information Security Management System (ISMS): systematische aanpak om de informatiebeveiliging binnen een organisatie te beheren en te verbeteren.
Doelstellingen: datalekken voorkomen, bewustzijn verhogen en maatregelen treffen.
Verantwoordelijkheden: rollen en taken duidelijk vastleggen.
Beleidsonderdelen: uitzonderingen, rapportage en sancties bij overtreding.
Normen: aansluiten bij ISO, BIO, AVG, NIS2, NEN en normenkaders.
Evaluatie: regelmatige toetsing en verbetering (PDCA-cyclus).

Toepassen is de volgende stap

Het gaat er dus om dat je als organisatie niet alleen een beleid voor cybersecurity hebt, maar je hier ook goed aan kunt houden en regelmatig controleert of dat beleid nog actueel is. Want hoe goed je bedoelingen ook zijn, wanneer dit niet goed wordt nageleefd vormt het een risico voor je organisatie. Gelukkig hoeft uitvoerbaar beleid niet ingewikkeld of kostbaar te zijn. Voor de prijs van een kop koffie per medewerker per maand kun je al een basisbeleid opstellen en implementeren dat aansluit op richtlijnen zoals NIS2, ISO, NEN, BIO en het Normenkader Onderwijs. En voor een kop koffie helpen wij jouw organisatie ook graag bij een eerste aanzet in de vorm van een gratis workshop.

Schrijf je in!

Om organisaties te ondersteunen bij het voldoen aan de nieuwste cybersecuritywetgeving organiseert Acknowledge een gratis securityworkshop van ongeveer twee uur. Deze helpt je de basisprincipes van de NIS2-wetgeving te begrijpen én te toetsen hoe jouw organisatie er op dit moment voor staat. De workshop bestaat uit stellingen die inzicht geven rondom de 93 BIO2-rubrieken, een adviesrapport met doelgerichte verbeterpunten en natuurlijk bespreken we hoe Acknowledge jouw organisatie kan helpen deze punten naar een compliant niveau te brengen.

Neem contact op

Stefan Pagels

Productmanager IT-security Meer van Stefan

We gebruiken voor zo’n beetje elke online activiteit: wachtwoorden. En helaas hebben we er ook allemaal weleens ruzie mee: te makkelijk, te kort, er ontbreekt een cijfer, hoofdletter of speciaal karakter. De bekende Britse komiek Michael McIntyre weet in zijn Netflix-show haarscherp elk cliché over wachtwoorden te benoemen met de uitspraak “I should probably change my password”. Maar bij het wijzigen van wachtwoorden hoort ook het onthouden ervan. Idealiter gebruiken we een wachtwoordmanager met een sterk master-wachtwoord. Helaas houden sommigen van ons wachtwoorden nog steeds bij op papier, in een schrift, op een plaknotitie, in een Excel-document of gewoon in ons hoofd. Bij verplichte wachtwoordwijzigingen wordt de administratie vaak te lastig, waardoor we simpelweg het getal achter het wachtwoord ophogen van 1 naar 2. Herkenbaar? You should probably change your password! Wij vragen ons daarom af: is wachtwoordloos werken niet veiliger?

Uitdagingen van wachtwoordbeheer

Als we eenmaal een goed wachtwoord hebben, mogen we het maar voor een bepaalde tijd gebruiken. In het ergste geval vullen we het in op een phishing-site of lekt het uit een database van een webwinkel. Zoek jezelf maar eens op bij www.HaveIbeenPwned.com. De meesten van ons staan erop met een of meerdere vermeldingen. Daarnaast heb je naast een wachtwoord vaak ook een verificatie via multi-factor authenticatie (MFA) nodig. Maar krijg ik deze in de Microsoft Authenticator-app, via een sms of ergens anders? Kortom, veilige authenticatie wordt steeds complexer. Ook bij tech-reuzen zoals Microsoft, Google, Amazon en Apple hebben ze de boodschap ontvangen: wachtwoorden zijn misschien niet meer van deze tijd. Het wordt tijd om er afscheid van te nemen.

FIDO-standaard

Een van de eerste initiatieven op het gebied van wachtwoordloze (passwordless) authenticatie is de FIDO Alliance. Sinds 2013 brengt deze alliantie grote techbedrijven samen om een standaard te ontwikkelen die onze afhankelijkheid van wachtwoorden vermindert en authenticatie veiliger maakt. Inmiddels heeft de FIDO Alliance vier standaarden ontwikkeld. Hierdoor kunnen we gebruikmaken van biometrische authenticatiemethoden zoals gezichtsherkenning en irisscanners, maar ook van USB-tokens, trusted platform modules (TPM’s) – beveiligt hardware door middel van cryptografische sleutels op een veilige plek – in laptops en NFC-antennes in smartphones, waarmee apparaten op korte afstand van elkaar kunnen communiceren.

Uitwisselen van passkeys

In de praktijk zien we dat techbedrijven hun eigen draai geven aan de FIDO-standaarden. Microsoft Authenticator stelt gebruikers in staat veilig in te loggen op een Microsoft 365-omgeving en met Windows Hello kunnen we zonder wachtwoord inloggen op werkstations. Apple biedt Face ID en Touch ID aan en Yubico levert de bekende YubiKeys in de vorm van een USB-stick. Al deze authenticatiemethoden vinden hun oorsprong in de FIDO Alliance. Deze oplossingen kunnen afzonderlijk worden gebruikt, maar ook voor het uitwisselen van passkeys. Deze digitale sleutels worden gebruikt bij toegang tot een (web)applicatie. Wanneer bijvoorbeeld Face ID bevestigt dat de juiste persoon om de passkey vraagt, wordt deze uitgewisseld met de applicatie voor toegang.

Veilig wachtwoordloos

Gebruikers hoeven bij wachtwoordloze authenticatie zelf geen wachtwoord meer te kiezen. In plaats daarvan worden wachtwoorden vervangen door een PIN, biometrie of fysiek apparaat zoals een USB-dongle. Geen eindeloze wachtwoorden meer onthouden, geen zorgen meer over de sterkte van wachtwoorden en geen frustratie bij verlopen wachtwoorden. Er zit echter ook een risico aan. Door middel van social engineering kunnen gebruikers gemanipuleerd worden om vertrouwelijke informatie prijs te geven. Door een combinatie van een PIN en biometrische verificatie te gebruiken wordt het voor kwaadwillenden al een stuk lastiger. Conditional access is een andere manier om extra waarde toe te voegen aan de beveiliging. Deze beveiligingsmethode zorgt ervoor dat informatie wordt gecontroleerd op basis van bepaalde voorwaarden, zoals het apparaat dat wordt gebruikt, de locatie van de gebruiker of andere factoren. Dit helpt bij het veilig ontsluiten van informatie door alleen geautoriseerde gebruikers toegang te geven onder de juiste omstandigheden.

Grip op jouw authenticatie

Terwijl we het voor gebruikers eenvoudiger en veiliger maken om in te loggen, neemt de complexiteit onder de motorkap toe. Organisaties worden hierbij ondersteund door onder andere Microsoft, waarbij wachtwoordloze oplossingen binnen EntraID in combinatie met conditional access een veilige manier bieden om zonder wachtwoord aan te melden. Dit biedt jouw organisatie meer grip op het veilig ontsluiten van informatie. Om jou te helpen het gebruiksgemak én de veiligheid van wachtwoordloze authenticatie te vergroten, zetten we de belangrijkste do’s en don’ts nog eens voor je op een rijtje:

Do’s

Gebruik MFA in combinatie met wachtwoorden. Ook bij Passkeys blijft MFA een belangrijke beveiligingslaag.
Zorg ervoor dat je organisatie extra beveiligingslagen toevoegt, zoals apparaat- en locatieverificatie.
Bewustwording onder gebruikers helpt het verhogen van informatieveiligheid en creëert draagvlak voor nieuwe en verbeterde oplossingen.

Don’ts

Sla geen wachtwoorden op buiten een wachtwoordmanager.
Laat geen fysieke identificatie-apparaten onbeheerd achter.
Ben je niet aan het inloggen? Keur dan geen authenticatieverzoeken goed.
Deel nooit wachtwoorden, PIN-codes of tokens via de telefoon, WhatsApp of e-mail.

Wij helpen je graag!

Acknowledge helpt je graag verder met vraagstukken over wachtwoordbeheer en beveiliging. Veilige en eenvoudige authenticatie is ten slotte een essentieel onderdeel van de inrichting van de moderne werkplek. Wil jij hier als organisatie mee aan de slag? Onze consultants denken graag met je mee.

Neem contact op

Philip van Roeijen

Securityconsultant Meer van Philip

De klok tikt voor Exchange Server 2019. Op 14 oktober 2025 eindigt de uitgebreide ondersteuning vanuit Microsoft. Vanaf dat moment zijn er geen beveiligingsupdates of ondersteuning meer beschikbaar. Voor organisaties die nog afhankelijk zijn van deze on-premise oplossing is dit hét moment om vooruit te kijken. De overstap naar Exchange Online binnen Microsoft 365 biedt niet alleen een toekomstbestendige oplossing, maar ook aanzienlijke voordelen op het gebied van veiligheid, beheer en schaalbaarheid.

End-of-life Exchange Server 2019

Exchange Server 2019 werd gelanceerd op 22 oktober 2018. Eerder zette Microsoft al de basisondersteuning stop. Vanaf 14 oktober 2025 vervalt de volledige ondersteuning van Exchange 2019. Hierdoor worden beveiligingsupdates niet meer doorgevoerd, zelfs niet voor kritieke kwetsbaarheden. Dit leidt tot grotere risico’s en een verhoogde kans op compliancyproblemen, vooral in gereguleerde sectoren zoals zorg, overheid en finance.

Overstappen naar Exchange Online

De overstap naar Exchange Online binnen Microsoft 365 is de meest toekomstbestendige keuze. Microsoft investeert zwaar in cloudoplossingen en biedt met Exchange Online een robuuste, veilige en automatisch up-to-date omgeving. Groeiende organisaties schalen flexibel en gemakkelijk op. Er is bovendien geen kostbaar onderhoud meer nodig aan de servers. Daarnaast integreert Exchange Online naadloos met andere tools binnen de Microsoft 365-omgeving, zoals Teams, OneDrive en SharePoint.

Hybride omgeving

Voor organisaties met een hybride Exchange-omgeving zijn er twee scenario’s: hybride blijven of volledig overgaan naar de cloud. In een hybride omgeving combineer je Exchange Online met minstens één Exchange Server on-premise. De mailboxen worden via de lokale server beheerd en synchronisatie met Exchange Online vindt plaats via Azure AD Connect. Tot oktober 2025 houd je de lokale server up-to-date. Daarna maak je de overstap naar Exchange Server Subscription Edition, die eind 2025 wordt verwacht. Ga je compleet over naar de cloud, dan migreer je alle mailboxen naar Exchange Online. De mailflow verloopt dan volledig via Microsoft 365. Is alles overgezet? Dan kun je de Exchange Servers verwijderen.

Migratieplan

Inventarisatie huidige Exchange-omgeving:
- Bepaal welke mailboxen en data overgaan
- Kies het juiste Microsoft 365-abonnement (bijv. Business Premium, E3 of E5)
- Controleer bandbreedte, licenties en Outlook-versies
Configuratie Microsoft 365:
- Tenant aanmaken en domeinen toevoegen
- DNS-records instellen (SPF, DKIM, DMARC)
- Identiteitsscenario kiezen: cloud-only of hybride
- Multi-factor authenticatie (MFA) inschakelen
Migratiestrategie bepalen:
- Cutover: voor kleine omgevingen (minder dan 150 gebruikers)
- Hybride: voor grotere organisaties
- IMAP: alleen maildata, geen agenda of contactpersonen
Mailboxmigratie uitvoeren:
- Migratiebatches aanmaken in het Exchange Admin Center
- Voortgang monitoren en testen per gebruiker
- MX-records omzetten naar Microsoft 365
- Oude connectors en mailroutes verwijderen
Governance en beveiliging:
- Retentie- en compliancybeleid instellen
- Rollen en rechten configureren
- Back-upoplossing Microsoft 365 overwegen
- Eindgebruikers trainen in de nieuwe werkwijze

Klaar voor de overstap? Acknowledge helpt je verder

De end-of-life van Exchange Server 2019 is geen verrassing, maar het is wel een kans om je IT-landschap te moderniseren. Door nu te migreren naar Exchange Online binnen Microsoft 365 voorkom je risico’s en profiteer je van een veilige, schaalbare en toekomstgerichte werkplek. Bij Acknowledge begrijpen we dat elke organisatie uniek is. Daarom bieden we maatwerkadvies, begeleiden we je bij het opstellen van een migratieplan en zorgen voor een soepele uitvoering. Of je nu kiest voor een volledige cloudmigratie of een hybride aanpak: wij staan voor je klaar. Neem vandaag nog contact met ons op en zet de eerste stap naar een moderne werkplek.

Neem contact op

Jeroen Stokkink

Productmanager moderne werkplek Meer van Jeroen

De vakantieperiode is een tijd om te ontspannen en genieten, maar veel vakantiegangers kunnen hun werk niet volledig loslaten. Of je nu e-mails beantwoordt vanaf een zonnig terras of inlogt op een openbaar netwerk in een internetcafé, het is belangrijk om bewust te zijn van de privacyrisico’s die hiermee gepaard gaan. In deze blog geven we tips voor veilig werken op vakantie.

Gevaren van werken op vakantie

Een van de grootste risico’s tijdens het werken op vakantie is het gebruik van onbeveiligd internet. Openbare wifinetwerken – zoals die in cafés, hotels en luchthavens – zijn vaak niet goed beveiligd. Cybercriminelen kunnen gemakkelijk toegang krijgen tot deze netwerken en gevoelige informatie onderscheppen. Dit varieert van inloggegevens tot vertrouwelijke bedrijfsinformatie. Wanneer je in openbare ruimtes werkt loop je bovendien het risico dat anderen mee kunnen kijken op het scherm van je laptop of telefoon. Dit kan gebeuren in een restaurant, op het strand of zelfs in het vliegtuig. Meekijkers kunnen gevoelige informatie zien, zoals e-mails, documenten en wachtwoorden. Het gebruik van gedeelde of openbare computers, bijvoorbeeld in internetcafés, brengt ook risico’s met zich mee. Deze apparaten zijn mogelijk geïnfecteerd met malware of keyloggers die je toetsaanslagen registreren en gevoelige informatie stelen.

Bescherm je privacy

Zorg voordat je op vakantie gaat dat je apparaten up-to-date zijn met de nieuwste beveiligingspatches en softwareupdates. Dit helpt kwetsbaarheden te dichten die door cybercriminelen kunnen worden misbruikt. Vermijd het gebruik van openbare computers voor werkgerelateerde taken zoveel mogelijk. Als je toch een openbare computer moet gebruiken, zorg er dan voor dat je altijd uitlogt van je accounts en je browsergeschiedenis wist na gebruik. Voer ook geen gevoelige taken uit op openbare wifinetwerken. Gebruik je mobiele data of een persoonlijke hotspot voor een veiligere verbinding. En een tip die altijd geldt: gebruik sterke, unieke wachtwoorden voor al je accounts en verander deze regelmatig. Overweeg het gebruik van een wachtwoordmanager om je wachtwoorden veilig op te slaan en te beheren.

Maak gebruik van tools

Een Virtual Private Network (VPN) is een essentiële tool voor iedereen die op vakantie werkt. Een VPN versleutelt je internetverbinding, waardoor het voor cybercriminelen veel moeilijker wordt om je gegevens te onderscheppen. Zorg ervoor dat je een betrouwbare VPN-dienst gebruikt en deze altijd inschakelt wanneer je verbinding maakt met een openbaar netwerk. Twee-factor authenticatie (2FA) of multi-factor authenticatie (MFA) voegt een extra beveiligingslaag toe aan je accounts. Zelfs als iemand je wachtwoord weet te bemachtigen hebben ze nog steeds toegang nodig tot een tweede verificatiemethode, zoals een code die naar je telefoon wordt gestuurd. Tot slot voorkomt een privacyscherm voor je laptop of telefoon dat nieuwsgierige ogen meekijken. Deze schermen beperken de kijkhoek, zodat alleen degene die recht voor het scherm zit ziet wat er gebeurt. Dit is vooral handig in drukke openbare ruimtes.

Privacy goed geregeld?

Onze uitgebreide dienstverlening op het gebied van privacy en security helpt organisaties om veilig te werken, waar medewerkers ook zijn. Of het nu gaat om het implementeren van een VPN, het adviseren over sterke wachtwoorden of het bieden van oplossingen voor multi-factor authenticatie. Wij denken graag mee!

Lees meer

John-Pierre van Deursen

Functioneel consultant Microsoft 365 Meer van John-Pierre

Information Technology Infrastructure Library – beter bekent onder de afkorting ITIL – biedt een kader voor IT-servicemanagement. Maar je kunt ITIL ook toepassen op informatiebeveiliging en privacy. Zo ontstaat een proces dat niet alleen bescherming biedt, maar ook efficiëntie en controle.

De gestructureerde processen van ITIL zorgen voor een beveiliging die niet alleen reactief is, maar juist proactief inspeelt op veranderingen, van strategie tot operatie. Door bij nieuwe diensten tijdens de ontwikkeling al zowel technisch als organisatorisch af te dwingen dat op een veilige manier met persoonsgegevens wordt omgegaan is er altijd voldoende aandacht voor informatiebeveiliging (privacy by design). We hebben de belangrijkste rollen rondom informatiebeveiliging en privacy op een rij gezet. Laten we per functie eens bekijken hoe ze samenwerken met ITIL-rollen.

Welke wetgeving regelt informatiebeveiliging en privacy?

Informatiebeveiliging en privacy volgt een aantal wet- en regelgeving en normeringen, afhankelijk van de sector en aard van de organisatie. Enkele belangrijke voorbeelden:

NEN-ISO 27001/ISO 27002: internationale normen voor informatiemanagementsystemen die organisaties helpen bij het opzetten, implementeren, onderhouden en continu verbeteren van hun informatiebeveiliging.

NEN 7510: specifieke norm voor informatiebeveiliging in de gezondheidszorg in Nederland, gericht op patiëntgegevens.

NIS2-richtlijn (Network and Information Security Directive 2): Europese richtlijn die strengere eisen stelt aan cyberbeveiliging voor een breder scala aan essentiële en belangrijke entiteiten.

Algemene Verordening Gegevensbescherming (AVG/GDPR): stelt eisen aan de verwerking van persoonsgegevens, inclusief principes zoals rechtmatigheid, doelbinding, dataminimalisatie, juistheid, opslagbeperking, integriteit en vertrouwelijkheid en verantwoording. Het behandelt ook rechten van betrokkenen (inzage, rectificatie, wissen, etc.) en de meldplicht datalekken.

Uitvoeringswet AVG: vult de AVG aan en bevat specifieke bepalingen voor Nederland, zoals bevoegdheden van de Autoriteit Persoonsgegevens.

Chief Information Security Officer (CISO)

De Chief Information Security Officer (CISO) is de hoogste functionaris die verantwoordelijk is voor de strategie en het management van informatiebeveiliging binnen een organisatie. Hij of zij rapporteert vaak rechtstreeks aan het management of de raad van bestuur. De CISO werkt nauw samen met de managementteams om ervoor te zorgen dat beveiliging is ingebed in de bedrijfsdoelstellingen en de IT-servicestrategie. Ook overlegt de CISO met de changemanager om ervoor te zorgen dat beveiligingsaspecten worden meegenomen bij elke wijziging in de ICT-infrastructuur of -diensten. De CISO overziet de rol van de securitymanager, die verantwoordelijk is voor de operationele beveiligingsprocessen binnen ITIL.

Wat zijn de taken en verantwoordelijkheden van een Chief Information Security Officer (CISO)?

Ontwikkelt en implementeert een informatiebeveiligingsstrategie die aansluit bij de bedrijfsdoelstellingen.
Ontwikkelt het beleid, de standaarden en de procedures voor informatiebeveiliging.
Zorgt voor naleving van relevante wet- en regelgeving.
Monitort de effectiviteit van beveiligingsmaatregelen en rapporteert hierover aan het management.
Coördineert de opvolging van beveiligingsincidenten.

Functionaris Gegevensbescherming (FG)

De Functionaris Gegevensbescherming (FG) – in het Engels bekend als de Data Protection Officer (DPO) – is de onafhankelijke toezichthouder binnen de organisatie die zich richt op de naleving van privacywetgeving. Samen met de service-architect waarborgt de FG privacy by design in nieuwe diensten en systemen. Bij incidenten is er afstemming met de incidentmanager om te zorgen dat datalekken correct worden afgehandeld. Ook zorgt de FG dat nieuwe of gewijzigde diensten voldoen aan de privacyeisen voordat ze in productie gaan.

Wat zijn de taken en verantwoordelijkheden van een Functionaris Gegevensbescherming (FG)?

Informeert en adviseert de organisatie en haar medewerkers over hun privacyverplichtingen.
Houdt toezicht op de naleving van de AVG en ander privacybeleid.
Adviseert over data protection assessments (DPIA’s)
Fungeert als contactpersoon voor de Autoriteit Persoonsgegevens en betrokkenen (individuen van wie gegevens worden verwerkt).
Werkt samen met de CISO en andere beveiligingsprofessionals om privacyrisico’s te verzachten.
Traint medewerkers over privacybewustzijn.

Security-architect

De security-architect is verantwoordelijk voor het ontwerpen en implementeren van veilige IT-infrastructuren en -systemen. Ze zorgen ervoor dat beveiliging vanaf het begin in de architectuur wordt ingebouwd (security by design). De service- en security-architect werken intensief samen om te zorgen dat de architectuur van nieuwe diensten structureel veilig is. Ze overleggen met de projectmanagers om te garanderen dat beveiligingscomponenten correct worden geïmplementeerd.

Wat zijn de taken en verantwoordelijkheden van een Security architect?

Ontwerpt beveiligingsoplossingen en -componenten voor nieuwe en bestaande systemen.
Evalueert de beveiliging van bestaande architecturen en doet aanbevelingen voor verbeteringen.
Stelt technische beveiligingsstandaarden en richtlijnen op.
Werkt nauw samen met ontwikkelaars en systeembeheerders om beveiligingsvereisten te integreren.
Blijft op de hoogte van de nieuwste beveiligingstechnologieën en -bedreigingen.

Security-engineer

De security-engineer implementeert en beheert de technische beveiligingsoplossingen die door de security-architect zijn ontworpen. Ze zijn nauw betrokken bij de operationele aspecten van informatiebeveiliging. In ITIL werkt de security-engineer nauw samen met de operationsmanager en technisch management (onderdeel van service operations). Samen onderhouden en optimaliseren ze beveiligingssystemen. Bij wijzigingen en updates is er afstemming met de changemanager.

Wat zijn de taken en verantwoordelijkheden van een Security engineer?

Implementeert en configureert beveiligingssystemen zoals firewalls, Intrusion Detection/Prevention Systems (IDS/IPS) en tools voor Security Information & Event Management (SIEM).
Voert regelmatige beveiligingsupdates en patches uit.
Monitort beveiligingslogs en -alerts.
Lost technische beveiligingsproblemen op.
Neemt deel aan de opvolging van beveiligingsincidenten.

Security-analist

Security-analisten – of analist security operations center (SOC) – vormen de frontlinie in de strijd tegen cyberbedreigingen. Ze monitoren systemen, detecteren afwijkingen en reageren op beveiligingsincidenten. De security-analist speelt een cruciale rol in het proces voor incidentmanagement. Ze werken direct samen met de incidentmanager om snelle en effectieve respons op incidenten te garanderen. Ook leveren ze input aan problemmanagement om de onderliggende oorzaken van incidenten te identificeren en aan te pakken.

Wat zijn de taken en verantwoordelijkheden van een Security analyst?

Controleert beveiligingssystemen en logs op verdachte activiteiten.
Analyseert beveiligingswaarschuwingen en onderzoekt potentiële inbreuken.
Reageert op beveiligingsincidenten door het volgen van vastgestelde procedures.
Voert kwetsbaarheidsscans uit en rapporteert bevindingen.
Draagt bij aan de verbetering van detectie- en responsmogelijkheden.

Privacy-officer

De privacy-officer of -specialist werkt vaak onder leiding van de FG en is verantwoordelijk voor de dagelijkse uitvoering van privacybeleid en -procedures. Niet alleen assisteert de privacy-officer de FG, maar werkt ook samen met de servicerequest-manager om verzoeken van betrokkenen (bijvoorbeeld inzageverzoeken) efficiënt af te handelen. Ze zijn ook betrokken bij service operations om te zorgen dat de dagelijkse verwerking van persoonsgegevens volgens de privacyrichtlijnen verloopt.

Wat zijn de taken en verantwoordelijkheden van een Privacy officer?

Ondersteunt de FG bij de naleving van privacywetgeving.
Beheert verzoeken van betrokkenen (bijvoorbeeld inzage-, correctie- of verwijderingsverzoeken).
Documenteert gegevensverwerkingen en onderhoudt het register van verwerkingsactiviteiten.
Voert interne privacycontroles uit.
Draagt bij aan privacybewustzijnstrainingen voor medewerkers.

Compliance-officer

De compliance-officer zorgt ervoor dat de organisatie voldoet aan alle relevante wet- en regelgeving, standaarden en interne beleidsregels. Hoewel compliance breder is, zijn er vaak specialisten die zich richten op beveiligings- en privacycompliance. Compliance-officers werken samen met de servicelevel-manager om te zorgen dat beveiligings- en privacyvereisten worden opgenomen in service level agreements (SLA’s) en operationele level agreements (OLA’s). Ze controleren ook de output van diverse ITIL-processen om naleving te waarborgen.

Wat zijn de taken en verantwoordelijkheden van een Compliance officer?

Interpreteert wet- en regelgeving op het gebied van informatiebeveiliging en privacy.
Evalueert of de organisatie voldoet aan interne en externe compliance-eisen.
Coördineert audits en helpt bij de voorbereiding daarvan.
Adviseert over de implementatie van controles om naleving te waarborgen.
Houdt zich op de hoogte van nieuwe wetgeving en de impact daarvan.

Incident response-specialist

De incident response-specialist focust op het reageren op cyberbeveiligingsincidenten. Hun doel is de schade te beperken, de oorzaak te achterhalen en herhaling te voorkomen. Deze rol is onlosmakelijk verbonden met het incidentmanagementproces. De incident response-specialist werkt nauw samen met de incidentmanager en de problemmanager om niet alleen incidenten op te lossen, maar ook te leren van de incidenten en toekomstige voorvallen te voorkomen.

Wat zijn de taken en verantwoordelijkheden van een Incident responce specialist?

Identificeert, analyseert en beperkt de impact van beveiligingsincidenten.
Voert forensisch onderzoek uit om de oorzaak en omvang van een incident vast te stellen.
Herstelt getroffen systemen en gegevens.
Documenteert incidenten en lessen die hieruit geleerd zijn.

Samenwerking tussen privacy en ITIL

Door deze rollen en hun verantwoordelijkheden binnen het gestructureerde kader van ITIL te plaatsen ontstaat een samenhangende en effectieve benadering van informatiebeveiliging en privacy. Dit bevordert niet alleen de veiligheid van gegevens en de bescherming van privacy, maar draagt ook bij aan de algehele stabiliteit, betrouwbaarheid en reputatie van de IT-diensten die een organisatie levert. Het is een samenwerking die cruciaal is voor succes in het huidige digitale landschap.

Lees meer

Patrick de Regt

CISO Meer van Patrick

De wereld verandert snel. Klanten verwachten steeds snellere service, processen moeten flexibel zijn en datagedreven werken is niet langer nice to have, maar pure noodzaak. Veel organisaties zien het belang van digitalisering en automatisering. In de praktijk blijkt het echter niet altijd eenvoudig om de stap te zetten van losse systemen naar een gestroomlijnde, toekomstbestendige bedrijfsvoering. Software voor enterprise resource planning (ERP) biedt uitkomst! Een krachtig ERP-systeem – zoals Microsoft Dynamics 365 Business Central – helpt organisaties groeien naar de volgende fase.

Van versnipperde data naar centrale waarheid

Veel organisaties zijn gegroeid met systemen die niet optimaal met elkaar samenwerken. Finance werkt in een boekhoudpakket, sales noteert alles in Excel, inkoop heeft zijn eigen systeem en voorraad wordt in weer een andere tool bijgehouden. Losse oplossingen die elk hun werk doen, maar het grote geheel ontbreekt. Dat betekent niet alleen veel handmatige handelingen, maar ook een verhoogd risico op fouten, dubbele invoer en onduidelijkheid over de actuele status van orders, voorraden of facturen. De tijd dat organisaties hiermee weg konden komen ligt inmiddels achter ons. Klanten verwachten realtime inzicht, snelle levering en een foutloze afhandeling.

ERP-software als motor van integratie

Moderne ERP-systemen lossen precies dit probleem op. Ze brengen bedrijfsprocessen zoals financiën, verkoop, voorraadbeheer, projectadministratie en serviceplanning samen in één geïntegreerde omgeving. Of je nu werkt op kantoor, in de werkplaats of onderweg: met een ERP-systeem heb je altijd en overal toegang tot actuele informatie. Doordat de oplossing in de cloud draait zijn softwareupdates, beveiliging en schaalbaarheid automatisch geregeld. Daarnaast werken ERP-systemen vaak samen met tools die veel organisaties al gebruiken, zoals Outlook, Team en Power BI.

Van inzicht naar actie

Een belangrijke kracht van ERP-software is dat het niet alleen data verzamelt, maar er ook direct waardevolle inzichten uit haalt. Door processen te automatiseren en rapportages te visualiseren krijg je sneller grip op je bedrijfsvoering en kun je datagedreven beslissingen nemen. Ontvang automatische waarschuwingen bij voorraadtekorten, draai actuele cashflowanalyses uit en ontwikkel dashboards met klant- en omzetontwikkelingen. Dat maakt een ERP niet alleen een administratief systeem, maar een strategisch hulpmiddel voor groei en wendbaarheid.

Waar staat jouw organisatie?

De integratie van een ERP-systeem begint niet met technologie, maar met inzicht in je eigen processen. Veel organisaties vinden het lastig om objectief te beoordelen hoe volwassen hun ERP-landschap eigenlijk is. Stel jezelf eens de volgende vragen:

Zijn je financiële en operationele processen volledig geautomatiseerd, of werk je nog veel met spreadsheets?
Hoe snel kun je de juiste cijfers boven tafel krijgen als het erop aankomt?
Heb je één centrale waarheid of meerdere versies van de werkelijkheid in verschillende systemen?
Is je organisatie in staat flexibel op te schalen of processen aan te passen als de markt daarom vraagt?

Het beantwoorden van deze vragen geeft vaak direct inzicht waar er ruimte voor verbetering ligt én hoe ERP-software daarbij kan helpen.

Toekomstbestendige bedrijfsvoering

Technologie is slechts een deel van het verhaal. Bij Acknowledge geloven we dat een succesvolle digitale transformatie begint bij de combinatie van slimme technologie, efficiënte processen en betrokken mensen. Daarom helpen we organisaties met de implementatie van het betrouwbare en veelzijdige ERP-systeem Dynamics 365 Business Central. Onze consultants brengen samen met jouw team in kaart welke processen geoptimaliseerd kunnen worden, hoe integraties met bestaande systemen eruitzien en hoe gebruikers op een natuurlijke manier meegenomen worden in de nieuwe werkwijze. Klaar voor de volgende stap? Vraag een vrijblijvend adviesgesprek aan met een van onze ERP-experts.

Neem contact op

Jeroen Proos

Consultant Dynamics 365 Meer van Jeroen

Hoeveel we het ook proberen, honderd procent veilig werken zonder het risico te lopen slachtoffer te zijn van een security-incident is alleen haalbaar als je de stekkers van alle apparatuur uit het stopcontact trekt. Aangezien de productiviteit dan naar nul zakt is dit geen optie. Hoe hard we er ook aan werken om het te voorkomen, het kan dus gebeuren dat er een beveiligingsincident plaatsvindt. Om grote schade aan je organisatie te voorkomen wil je dat dan een beproefde incident response-cyclus in werking treedt.

Incident response-plan

Voordat een cybersecurity-incident plaatsvindt is door het securityteam gelukkig al goed nagedacht over de incident response. In de voorbereidingsfase (preparation) wordt een plan opgesteld waarin staat wat te doen bij een incident. Het incident response-plan bevat minimaal de volgende onderdelen:

Business continuity plan (BCP): hoe blijft de organisatie operationeel tijdens een incident?
Kritische systemen en data: een overzicht van welke systemen kritisch zijn voor de bedrijfsvoering van de organisatie (onderdeel van het BCP).
Communicatieprocedures: welke informatie wordt wanneer gedeeld? Dit is zowel intern binnen een organisatie als extern naar bijvoorbeeld de media in geval van een datalek of ransomwareaanval.

De war room

In het incident response-plan staat ook beschreven welke stakeholders er zijn en wie aanwezig moeten zijn in de war room. Een aantal belangrijke stakeholders zijn de CISO, de incidentmanager en een lid van de technische securityafdeling. Binnen de war room is de CISO het aanspreekpunt en de schakel tussen de leden in de war room en de directie. Om te voorkomen dat er meerdere lijnen van communicatie ontstaan wordt door de directie enkel met de CISO gesproken en niet met andere leden van de war room. De CISO is daarnaast de eigenaar van het incident response-plan en is dus op strategisch niveau verantwoordelijk.

Incidentmanager

Waar de CISO op strategisch niveau verantwoordelijk is, is de incidentmanager dat op tactisch-operationeel niveau. De incidentmanager is degene die zorgdraagt dat verzachtende (mitigerende) maatregelen ook daadwerkelijk worden uitgevoerd. Hij is het aanspreekpunt voor de technici die dit moeten implementeren en het changemanagement. De incidentmanager is ook degene die samen met communicatie verantwoordelijk is voor de interne communicatie in het geval van een incident. Soms wordt een incident gemeld door een externe partij of ontdekt door het security operations center (SOC). Bij Acknowledge is het Acknowledge Security Emergency Response Team (ASERT) hiervoor verantwoordelijk. Binnen de war room is ook altijd een van de teamleden aanwezig om inhoudelijke toelichting te geven op kwetsbaarheden of aanvallen.

Assessment en CER

Er is stront aan de knikker! En nu? Als eerste wordt er een assessment uitgevoerd. Hoe ernstig is het incident? Zijn er bijzondere persoonsgegevens gelekt of kritische systemen uitgevallen? Gaat het om een enkele computer of is de gehele organisatie platgelegd? Wat is de impact voor de organisatie, maar ook voor de klanten van een organisatie? De impact kan hier in brede zin worden gelezen. Focus niet alleen op de operationele kant, maar bepaal ook welke financiële gevolgen dit heeft. Als het assessment is afgerond gaan we door naar de containment, eradication & recovery-fase (CER). Besmette systemen worden geïsoleerd binnen het netwerk, malware wordt verwijderd en systemen opnieuw ingespoeld en uitgerold.

Continue evaluatie

Hoewel het nu klinkt alsof de assessmentfase en de CER-fase lineair zijn is dat niet het geval. Na iedere CER-fase wordt een nieuwe assessmentfase uitgevoerd om te kijken of de scope en impact is veranderd na de CER-werkzaamheden. Pas wanneer in de assessmentfase duidelijk wordt dat het incident is opgelost gaan we over naar de laatste fase, de post-incident activities. In dit stadium worden het proces en de activiteiten geëvalueerd. Welke zaken gingen goed binnen het incident response-traject en welke verbeterpunten zijn er? Het is een brede evaluatie van begin tot einde. Vragen die we stellen zijn bijvoorbeeld ‘waren we voldoende voorbereid?’ en ‘zijn de juiste mensen betrokken?’ Dit is ook het moment dat het incident response-plan wordt bijgesteld aan de hand van de ervaringen.

Maak kennis met ASERT

Het Acknowledge Security Emergency Response Team is specifiek ontwikkeld om beheerde klanten op een brede, proactieve en directe wijze bij te staan bij het identificeren, voorkomen en behandelen van externe digitale bedreigingen. De leden van het ASERT zijn technici wiens rol het is om gevraagd en ongevraagd advies te geven op het gebied van informatieveiligheid en cybersecurity.

Lees meer

Marnix Lourens

Securityconsultant Meer van Marnix

Cyberdreigingen blijven zich ontwikkelen en vormen een steeds grotere uitdaging voor organisaties wereldwijd. Met de invoering van de NIS2-wetgeving, de opkomst van AI-gedreven aanvallen en het groeiende belang van pentesten is het belangrijker dan ooit om een sterke cybersecuritystrategie te hebben. In deze blog bespreken we niet alleen bestaande uitdagingen in cybersecurity, maar ook nieuwe trends, inzichten van brancheorganisaties en hoe bedrijven zich kunnen voorbereiden op de toekomst.

Versterk de laatste verdedigingslinie

E-mail blijft een van de meest gebruikte kanalen voor cyberaanvallen. In 2024 werd 35 procent van alle malware via e-mail afgeleverd. Meer dan 94 procent van de organisaties rapporteerde beveiligingsincidenten met e-mail. Ondanks training klikt nog steeds gemiddeld 30 procent van de mensen op phishinglinks. Dit laat zien dat bewustwording alleen niet genoeg is. Brancheorganisaties benadrukken het belang van het combineren van menselijke training met technologieën zoals AI-gestuurde detectie. Door medewerkers te trainen in het herkennen van phishingaanvallen én gebruik te maken van slimme tools verkleinen bedrijven niet alleen de risico’s, maar bouwen ook vertrouwen op binnen hun teams.

Opkomst van AI-gedreven aanvallen

Cybercriminelen worden steeds slimmer. In 2025 wordt verwacht dat cybercrime wereldwijd $10,5 biljoen gaat kosten, een bedrag dat groter is dan de economieën van bijna alle landen van de wereld (behalve de VS en China). Een zorgwekkende trend is het gebruik van kunstmatige intelligentie (AI) door cybercriminelen om overtuigende phishingcampagnes te maken en beveiligingssystemen te omzeilen. Zo worden deepfakes en AI-gegenereerde phishingaanvallen steeds vaker ingezet. Cybersecuritybedrijven hebben in 2024 bijna 900 miljoen phishingpogingen geblokkeerd door gebruik te maken van geavanceerde detectietools. Het is duidelijk dat traditionele methoden niet meer volstaan. Bedrijven moeten investeren in innovatieve oplossingen om deze dreigingen voor te blijven.

Cultuur van veiligheid binnen sectoren

Een sterke cybersecuritycultuur begint bij bewustwording binnen een organisatie. Brancheorganisaties zoals SURF, Z-CERT (voor de zorgsector) en Techniek Nederland spelen hierin een belangrijke rol door kennis te delen en samenwerking tussen bedrijven te stimuleren. Daarnaast wint het zero trust-model aan terrein als dé aanpak om digitale beveiliging te verbeteren. Het idee is simpel: vertrouw niemand zomaar, zelfs niet als ze al binnen je netwerk zitten. Elk apparaat, elke gebruiker en elke applicatie moet eerst gecontroleerd worden voordat toegang wordt verleend. Dit model is vooral handig nu hybride werken steeds meer voorkomt en traditionele netwerkgrenzen vervagen. Zero trust zorgt voor betere beveiliging en meer transparantie binnen teams.

NIS2-wetgeving: meer dan een verplichting

Vanaf het derde kwartaal van 2025 wordt in Nederland de NIS2-wetgeving ingevoerd, die bestuurders verantwoordelijk maakt voor de digitale veiligheid binnen hun organisatie. Maar deze wet gaat verder dan alleen verplichtingen. Het biedt ook kansen om beveiliging structureel te verbeteren. Brancheorganisaties zoals Samen Digitaal Veilig, Techniek Nederland en het Cyber Weerbaarheidscentrum Brainport (CWB) ondersteunen bedrijven bij het voldoen aan deze nieuwe regels. Ze bieden praktische hulpmiddelen, zoals richtlijnen voor risico-inventarisaties, audits en het implementeren van normen zoals ISO 27001. Deze ondersteuning helpt bedrijven niet alleen om compliant te zijn, maar ook om sterker te staan tegen digitale dreigingen. De tijd dringt echter: bedrijven moeten nu al beginnen met voorbereidingen, zoals het trainen van medewerkers en het verbeteren van basismaatregelen. Dit voorkomt problemen en zorgt ervoor dat organisaties klaar zijn voor toekomstige uitdagingen.

Pentesten is essentieel

In een wereld waarin cyberdreigingen steeds complexer worden zijn security assessments en penetratietesten (pentesten) onmisbaar geworden. Tijdens een pentest proberen ethische hackers kwetsbaarheden in systemen op te sporen voordat kwaadwillenden dat doen. Dit kan variëren van technische fouten tot menselijke zwakheden zoals het klikken in phishingmails of het rond laten slingeren van gevoelige informatie. Pentesten geven organisaties waardevolle inzichten in hun beveiliging en bieden concrete aanbevelingen om risico’s aan te pakken. Veel bedrijven zijn verbaasd over hoe eenvoudig hackers toegang kunnen krijgen via verouderde software of configuratiefouten. Regelmatige pentesten helpen bedrijven niet alleen bij compliance met richtlijnen zoals NIS2, maar versterken ook hun algehele weerbaarheid tegen moderne dreigingen.

Bereid je voor!

In 2025 draait cybersecurity niet alleen om reageren op dreigingen, maar vooral om proactief handelen en innovatie. Door samen te werken met brancheorganisaties, gebruik te maken van nieuwe technologieën zoals AI-detectie en medewerkers continu bewust te maken van risico’s, kunnen organisaties zich beter beschermen tegen moderne cyberdreigingen. Pentesten spelen hierin een cruciale rol door verborgen kwetsbaarheden bloot te leggen voordat ze schade kunnen aanrichten. Combineer dit met sterke basismaatregelen en een cultuur waarin veiligheid centraal staat en je organisatie staat sterker dan ooit tegenover de security-uitdagingen van 2025.

Meer over cybersecurity

Twan Willems

Accountmanager cybersecurity Meer van Twan

In de afgelopen jaren heeft kunstmatige intelligentie (AI) een enorme vlucht genomen en is het een integraal onderdeel geworden van ons dagelijks leven en werk. Van geavanceerde algoritmen die onze zoekopdrachten optimaliseren tot AI-systemen die complexe taken uitvoeren: de impact van AI is onmiskenbaar. Maar met deze vooruitgang komt ook de verantwoordelijkheid om AI op een ethische en effectieve manier te gebruiken. Organisaties zijn volgens de nieuwe Europese AI Act zelfs verplicht hun medewerkers op te leiden in AI-geletterdheid. Door medewerkers regelmatig te trainen en een gedegen AI-beleid op te stellen kunnen organisaties de risico’s van AI minimaliseren en de voordelen optimaal benutten.

De verplichtingen van de AI Act

De AI Act – sinds vorig jaar augustus in werking getreden in de hele EU – stelt specifieke verplichtingen aan organisaties die AI gebruiken. En laten we eerlijk zijn: welke organisatie gebruikt het tegenwoordig niet? Een van de belangrijkste aspecten van de AI Act is de onderverdeling van AI-toepassingen op basis van hun risiconiveau: van general purpose-AI als ChatGPT tot hoog risico en zelfs verboden AI. Hoe hoger het risico, hoe meer voorwaarden en regels er gelden. Daarnaast is transparantie heel belangrijk. Chat je met een chatbot of een echt mens? Bel je een medewerker of heb je AI aan de lijn? Je moet als gebruiker weten dat je met AI bezig bent. De AI Act maakt ook onderscheid in het niveau van invloed dat je als gebruiker hebt. AI-toepassingen waarbij je zelf niet kan ingrijpen op kritieke momenten – zoals zelfrijdende auto’s – zijn bijvoorbeeld verboden binnen Europa.

Wat is AI-geletterdheid?

Een van de artikelen uit de AI Act die nu al verplicht wordt gesteld voor organisaties is AI-geletterdheid. Dit betekent dat individuen en organisaties weten hoe ze met AI om moeten gaan. Vergelijk het met digitale geletterdheid, waarbij je leert om digitale technologieën en media op de juiste manier te gebruiken. AI-geletterdheid gaat verder dan alleen het efficiënt en effectief inzetten van AI-toepassingen. Het omvat ook het begrijpen van de mogelijke impact van AI op de omgeving en de mensen die er door geraakt worden. De wetgeving is er met name op gericht om de rechten van mensen te beschermen. Door medewerkers te trainen in AI-geletterdheid zijn ze zich er bewuster van dat AI niet foutloos is en dat ze de resultaten van AI kritisch moeten evalueren. Dit bewustzijn helpt de risico’s van AI te verkleinen en zorgt voor kwalitatief menselijk toezicht, wat een verplichting is vanuit de wetgeving.

Goed werkgeverschap

Het is als organisatie aan te raden AI-geletterdheid niet alleen als verplichting te benaderen. Zie het ook als een recht dat je jouw medewerkers biedt vanuit goed werkgeverschap. AI-tooling als Microsoft Copilot zijn slimme assistenten die taken en processen automatiseren en administratieve taken voor je overnemen. Door AI-toepassingen op een goede en veilige manier in te zetten werken medewerkers efficiënter en besparen ze tijd. Veel medewerkers zijn al gewend in hun privéleven gebruik te maken van AI en willen deze functionaliteiten ook in hun werk gebruiken. Door ze te trainen in het gebruik van de verschillende AI-toepassingen leren ze welke gevaren er schuilen in het gebruik van AI-tools, maar ook hoe ze het beste een vraag stellen aan de chatbot om de gewenste resultaten te krijgen (prompting).

AI-beleid in organisaties

Om de gevaren van AI-toepassingen zoveel mogelijk in te perken is een effectief AI-beleid onmisbaar. Dit begint met het analyseren van de AI-systemen binnen je organisatie en het bepalen van hun risiconiveau. Op basis van deze analyse formuleer je maatregels om eventuele risico’s te beheersen en te voldoen aan de wet- en regelgeving. Daarnaast beslis je welke trainingen nodig zijn en voor welke medewerkers. Het is belangrijk dat AI-geletterdheid een doorlopend proces is waarin medewerkers regelmatig worden getraind. De wereld van AI verandert immers snel. In het AI-beleid moet dus een continue trainingsmethode worden opgenomen. Daarnaast wordt organisaties aangeraden een team te vormen dat verantwoording draagt voor het ontwikkelen, implementeren en monitoren van het AI-beleid en AI-geletterdheid. In dit team zitten bijvoorbeeld rollen als AI compliance officer (CAICO), functionaris gegevensbescherming (FG) en chief information security officer (CISO). Een vertegenwoordiging vanuit het management en de key users is aan te raden.

De belangrijkste valkuilen

Een van de grootste valkuilen waar organisaties tegenaan lopen is het niet bewust zijn van het gebruik van AI en de verstrekkende gevolgen daarvan. Veel organisaties realiseren zich niet dat AI nu al onderdeel is van hun werk en wat de risico’s daarvan zijn. Van de implementatie van een veilige en passende AI-tooling tot het trainen rondom AI-geletterdheid en het opstellen van AI-beleid: er is veel om rekening mee te houden. En hoewel hier in eerste instantie veel kosten mee gepaard gaan, levert het op de lange termijn veel tijd, efficiëntie en kansen op. Bovendien wil je altijd voorkomen dat er gevoelige data wordt gelekt als gevolg van een ontoereikend AI-bewustzijn. Je organisatie loopt hierdoor imagoschade op en er kunnen flinke boetes worden uitgedeeld. We kunnen er niet meer omheen: AI speelt een steeds belangrijkere rol in ons leven en elke organisatie.

Wij helpen je graag!

Acknowledge biedt verschillende diensten aan op het gebied van AI, waaronder trainingen voor AI-geletterdheid. Deze trainingen richten zich op de risico’s en het voldoen aan de wetgeving, maar ook op de kansen die AI biedt en hoe je moet prompten. Onze consultants stellen daarnaast een lesplan op waarmee AI-geletterdheid een continu proces wordt. Ze inventariseren het huidige gebruik van AI in de organisatie en bieden ondersteuning bij het opstellen en invoeren van AI-beleid. Hiervoor nemen ze interviews af bij belangrijke key users en stakeholders, waarop een analyse en adviesrapport volgt. Ga jij als organisatie aan de slag met AI-geletterdheid en -beleid? Onze consultants denken graag met je mee.

Neem contact op

Chris Hoste

Managementconsultant Meer van Chris

In het huidige digitale landschap is het belangrijker dan ooit dat gevoelige en kritieke gegevens beschermd zijn om klanten en medewerkers veilig te houden én de strenger wordende wet- en regelgeving na te leven. Met de komst van steeds innovatievere technologische oplossingen is ook het beheer van gebruikerstoegang complexer geworden.

Met de inzet van Identity & Access Management (IAM) zorg je als organisatie dat de juiste personen op het juiste moment toegang hebben tot de juiste middelen. In deze blog delen we de laatste trends op het gebied van IAM en laten we zien hoe je de veel voorkomende valkuilen tijdens de implementatie vermijdt.

Beheer van MFA tot PAM

Identity & Access Management fungeert als paraplu voor verschillende componenten van identiteitsbeheer om moderne en complexe digitale omgevingen veilig te houden. Met behulp van multi-factor authenticatie (MFA) wordt door middel van een aanvullende verificatie – zoals een code of vingerafdruk – extra gecontroleerd en gevalideerd dat het werkelijk de gebruiker is die probeert in te loggen. Single sign-on (SSO) biedt medewerkers toegang tot meerdere applicaties met één set inloggegevens. Om toegang tot gevoelige informatie en systemen elke keer opnieuw te controleren en valideren zet je privileged access management (PAM) in. IAM beheert digitale entiteiten en toegangsrechten gedurende hun hele levenscyclus met identity governance & administration (IGA). Hierbij wordt rekening gehouden met de naleving van wettelijke vereisten. Customer identity & access management (CIAM) biedt veilige en naadloze toegang tot klantgerichte applicaties en diensten. Via bring your own identity (BYOI) loggen medewerkers in met hun persoonlijke (social)account om toegang te krijgen.

Opkomende trends in IAM

Rechtenbeheer in IAM gaat verder dan het principe van de minste bevoegdheden (least privileges). Het richt zich op het verlenen van specifieke gebruikersrechten die zijn afgestemd op rollen en verantwoordelijkheden. Deze aanpak helpt escalatie van bevoegdheden en ongeoorloofde toegang te voorkomen. Door artificial intelligence (AI) en machine learning te integreren in IAM-processen automatiseren organisaties beheertaken, zoals gebruikersprovisioning, toegangscertificering en realtime detectie van gedragsafwijkingen. Deze proactieve aanpak verbetert de beveiliging en operationele efficiëntie. Het zero trust-model hanteert het ‘never trust, always verify’, waarbij standaard geen enkele gebruiker of apparaat wordt vertrouwd. Deze aanpak vereist continue authenticatie en autorisatie, waardoor het risico op datalekken en ongeoorloofde toegang wordt verkleind. Het is wel belangrijk dat identiteiten en autorisaties correct zijn ingevoerd en beheerd. Met identity threat detection and response (ITDR) identificeren organisaties identiteitsgebaseerde bedreigingen in realtime, zodat ze hier direct op kunnen reageren. Het biedt zo een extra beveiligingslaag tegen geavanceerde cyberaanvallen.

Wet- en regelgeving

De implementatie van IAM helpt organisaties aan wet- en regelgeving te voldoen door te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot gevoelige gegevens en systemen. Deze afstemming op wettelijke vereisten versterkt de beveiligingshouding van de organisatie en verkleint het risico op datalekken en juridische sancties. In Nederland moeten organisaties zich houden aan specifieke regelgeving:

ISO 27001-standaard: vereist dat organisaties uitgebreide beveiligingscontroles implementeren om gevoelige informatie te beschermen.

Algemene Verordening Gegevensbescherming (AVG): legt strenge gegevensbeschermingsmaatregelen op om de persoonsgegevens van personen te beschermen.

NEN 7510-norm: richt zich op informatiebeveiliging in de gezondheidszorg en zorgt voor de bescherming van gevoelige patiëntgegevens.

BIO: regelt de beveiliging van digitale communicatie binnen de Nederlandse overheid.

Normenkader Informatiebeveiliging en Privacy: biedt een kader voor informatiebeveiliging en privacy in onderwijsinstellingen.

NIS2-richtlijn: introduceert nieuwe cyberbeveiligingsvereisten voor organisaties in verschillende sectoren.

Veel voorkomende valkuilen

Een van de grootste valkuilen is het gebrek aan tijd en budget, doordat IAM-oplossingen vaak technisch complex zijn en de integratie met bestaande systemen en applicaties ingewikkeld is. Het is bovendien een tijdrovende klus om het autorisatiemodel met alle systemen en gebruikersrollen op te stellen, vanwege de enorme dataset en hoeveelheid betrokkenen binnen de organisatie. We adviseren een agile aanpak, waarbij je door klein te beginnen stapsgewijs kan opschalen. Hierdoor speel je beter in op veranderingen zonder de gehele omgeving om te moeten gooien. Bovendien kan het gebruik van externe expertise – zoals IAM-consultants of managed serviceproviders – helpen technische uitdagingen te overwinnen en een succesvolle implementatie te garanderen. Het is daarnaast aan te raden een multifunctioneel IAM-team samen te stellen met vertegenwoordigers van alle relevante afdelingen, zoals IT, HR en financiën. Regelmatige communicatie en samenwerking tussen teamleden helpt barrières overwinnen en aan alle behoeften te voldoen.

IAM in de praktijk

Identity & access management is belangrijk voor organisaties in elke sector. We laten dit graag zien met een aantal voorbeelden.

De zorg

Een zorgorganisatie met duizenden werknemers en meerdere systemen had moeite een samenhangend autorisatiemodel te implementeren. Dankzij een agile aanpak begonnen ze met een klein proefproject gericht op een enkele applicatie en breidden ze de reikwijdte geleidelijk uit. Deze stapsgewijze aanpak stelde hen in staat uitdagingen in een vroeg stadium te identificeren en aan te pakken, wat zorgde voor een soepeler implementatieproces.

De overheid

De technische complexiteit van de integratie van IAM-oplossingen met bestaande legacysystemen was een flinke worsteling voor een gemeentelijke organisatie. Door gebruik te maken van externe expertise en te investeren in IAM-tools met naadloze integratiemogelijkheden hebben ze met succes een robuust IAM-raamwerk geïmplementeerd dat voldoet aan de wettelijke vereisten en zorgde voor een verbetering in de beveiliging.

Het onderwijs

Een onderwijsinstelling werd geconfronteerd met uitdagingen bij het beheren van een groot aantal identiteiten en rechten voor verschillende rollen, waaronder studenten, werknemers en ouders (of wettelijke vertegenwoordigers). Het grote aantal veranderingen in de bronsystemen moest worden weerspiegeld in doelsystemen, zoals elektronische leeromgevingen. Door een IGA-oplossing te implementeren automatiseerden ze de processen voor het in- en uitschrijven van gebruikers, zodat toegangsrechten snel werden verleend en ingetrokken. Deze automatisering verbeterde de beveiliging en operationele efficiëntie.

De zakelijke markt

Voor een financiële instelling was het een uitdaging om de kosten en tijd die nodig waren voor IAM-implementatie in te schatten. Door een risicobeoordeling uit te voeren om kritieke systemen en gegevens te identificeren kozen ze voor een agile aanpak die gericht was op toenemende verbeteringen en prioriteit gaf aan risicogebieden. Deze strategie stelde hen in staat middelen effectiever toe te wijzen en een succesvolle IAM-implementatie te realiseren binnen de gewenste tijdlijn en budget.

Ondersteuning bij implementatie

Identity & Access Management is een cruciaal onderdeel van de beveiligingsinfrastructuur van een organisatie. Door robuuste IAM-oplossingen te implementeren beschermen organisaties gevoelige gegevens, handhaven naleving van de regelgeving en verbeteren de operationele efficiëntie. De opkomende trends in IAM bieden nieuwe mogelijkheden om de beveiligingshouding te versterken en de evoluerende cyberdreigingen voor te blijven. Door een agile aanpak te hanteren wordt de IAM-implementatie succesvol en creëer je een veerkrachtige en veilige digitale omgeving die beschermt tegen ongeoorloofde toegang en datalekken. Acknowledge heeft de expertise in huis om jouw organisatie hierbij te ondersteunen.

Lees meer

Mike van Eck

Product Owner cybersecurity Meer van Mike

Nu de eerste maand van het nieuwe jaar verstreken is blikken we terug op het cybersecurityjaar van 2024. Wat veroorzaakte afgelopen jaar voornamelijk de securityincidenten? En met welke opkomende technieken die gebruikt worden door aanvallers moeten we het komende jaar rekening houden?

Awareness blijft belangrijk

De menselijke factor bleek ook in 2024 het grootste en meest succesvolle aanvalsoppervlak te zijn. Bij 68 procent van de geslaagde aanvallen was een persoon betrokken, waarbij phishingaanvallen de meest dominante vorm bleek. Het bekendste voorbeeld in Nederland was de inbreuk bij de Nederlandse politie, waar gegevens van alle medewerkers zijn buitgemaakt via de gegevens van één gebruikersaccount. Dit voorval is waarschijnlijk veroorzaakt door phishing. Een derde van de geslaagde phishingaanvallen betrof een ransomwareaanval, waarbij bij 23 procent ook daadwerkelijk data versleuteld is geraakt. Het blijft dus onverminderd belangrijk om je medewerkers bewust te maken van de digitale gevaren.

Nieuwe technieken

Opkomende technieken die opvallen zijn aanvallen op cloudplatformen zoals Microsoft Azure, Google One, en Amazon AWS. We zien een toename van 75 procent doordat aanvallers steeds vaker kwetsbaarheden in deze platformen misbruiken. Ook zogenoemde supply chain-aanvallen zijn toegenomen met 68 procent. Bij een supply chain-aanval wordt een bedrijf getroffen via een leverancier die is aangevallen. In 2024 speelden cybercriminelen slim in op de update-bug van CrowdStrike door gebruikers te misleiden een reparatiepatch te implementeren. Deze bleek voorzien te zijn van infostealer-malware. We zien ook het gebruik van AI-gedreven aanvallen fors toenemen. Door de komst van artificial intelligence kunnen aanvallers eenvoudig gepersonaliseerde aanvallen opzetten. De zogeheten deepfake-aanvallen zijn vaak niet meer van echt te onderscheiden. Het voordeel is dat AI ook steeds meer wordt ingezet om securityoplossingen te verbeteren. Maar liefst 96 procent van de vendoren heeft AI-tools in hun securityoplossingen toegevoegd om de detectie en responstijd te verhogen.

Vooruitblik 2025

Ook in 2025 moeten we waakzaam blijven op aanvallen. Investeren in security-awareness blijft een van de belangrijkste middelen om beter bestand te zijn tegen aanvallen. Ook het vroegtijdig detecteren en bestrijden van incidenten met behulp van een SOC/SIEM-dienst wordt steeds noodzakelijker. Door gebruik te maken van een identity & access management-oplossing (IAM) met privileged access management (PAM) worden accounts en privileges tijdig en exclusief aangemaakt en verwijderd wanneer nodig. Last but not least blijft conditionele toegang – waarbij medewerkers inloggen op basis van bepaalde voorwaarden – inclusief multi-factor authenticatie een must-have. De combinatie van deze technieken vormt een belangrijke manier om de juiste identiteiten gecontroleerd toegang te geven tot de juiste systemen met de juiste rechten.

Wil jij altijd op de hoogte blijven?

Zo’n terugblik op het cybersecurityjaar van 2024 is fijn! Hierdoor weet jouw organisatie direct wat er speelt in securityland en waar je op jezelf op moet voorbereiden. Blijf jij graag op de hoogte van het laatste nieuws en interessante ontwikkelingen? Meld je dan aan voor onze nieuwsbrief!

Schrijf je in

Renee van den Bogaart

Securitycoördinator Meer van Renee

Blog

Werkt jouw organisatie secure?

Wojciech Filipowski

Wat maakt een effectief beleid?

Schrijf je in!

Stefan Pagels

Wij helpen je graag!

Philip van Roeijen

Klaar voor de overstap? Acknowledge helpt je verder

Jeroen Stokkink

Privacy goed geregeld?

John-Pierre van Deursen

Samenwerking tussen privacy en ITIL

Patrick de Regt

Toekomstbestendige bedrijfsvoering

Jeroen Proos

Maak kennis met ASERT

Marnix Lourens

Bereid je voor!

Twan Willems

Wij helpen je graag!

Chris Hoste

De zorg

De overheid

Het onderwijs

De zakelijke markt

Ondersteuning bij implementatie

Mike van Eck

Wil jij altijd op de hoogte blijven?

Renee van den Bogaart

Security culture: veiligheid begint bij mensen

Een uitvoerbaar beleid voor cybersecurity in jouw organisatie

Is wachtwoordloos werken de nieuwe standaard?

End-of-life Exchange Server 2019: migratie naar Microsoft 365

Veilig werken op vakantie

De rol van ITIL bij informatiebeveiliging en privacy

Direct naar

Branches

Acknowledge