De diefstal van juwelen uit het Louvre en die van de Gouden Helm van Coțofenești uit het Drents Museum in Assen kregen veel publieke aandacht. Zulke klassieke museumroven roepen steevast het beeld op van The Pink Panther of Ocean’s Eleven: een geromantiseerde wereld van meesterdieven die met flair en behendigheid een museum of bedrijf weten te beroven.
Cyberaanvallen en digitale diefstallen kennen die geromantiseerde wereld niet en krijgen daardoor veel minder aandacht in de media. Dat is onterecht. Juist door ze als losse ‘incidenten’ te blijven framen, wordt verhuld dat hier sprake is van een structureel en snel groeiend risico voor de museale sector.
Toen bij de Staatliche Kunstsammlungen Dresden deze maand hun online ticketing, winkelsystemen en telefonie uitvielen na een gerichte cyberaanval, bleef de schade ogenschijnlijk beperkt. De musea bleven open, de kunst was veilig, zo meldde het Saksische ministerie van Cultuur. Maar achter die geruststellende woorden ging een ongemakkelijke realiteit schuil: een van Europa’s oudste en meest prestigieuze museumnetwerken bleek digitaal kwetsbaar op precies die plekken waar het publiek, de inkomsten en het dagelijks functioneren samenkomen.
Het incident in Dresden stond niet op zichzelf. Enkele weken eerder werd hier in Nederland het Veenkoloniaal Museum in Veendam getroffen door ransomware van de LockBit-groep. Systemen werden versleuteld, data buitgemaakt en het museum kreeg te maken met afdreiging: betalen of publieke verspreiding van gestolen informatie. Directeur Hendrik Hachmer reageerde opvallend open.
„We gaan niet met deze groep onderhandelen,” zei hij. „Dit kan iedereen overkomen. De enige partij die zich schuldig moet voelen is de hackers.”
Die uitspraak is sympathiek — maar ook problematisch. Want juist het idee dat cyberincidenten ‘iedereen kunnen overkomen’ werkt verlammend. Het suggereert onvermijdelijkheid, terwijl veel schade voortkomt uit bestuurlijke onderschatting, gebrekkige voorbereiding en het ontbreken van expliciete verantwoordelijkheid.
De digitale achterkant van het museum
Musea zijn de afgelopen tien tot vijftien jaar razendsnel gedigitaliseerd. Online ticketing, collectie-databases, digitale depots, educatieve platforms, webshops, CRM-systemen voor leden en donateurs — vaak gekoppeld aan externe leveranciers. Die digitale laag is inmiddels net zo essentieel als het gebouw, het depot of de beveiliging van de zalen.
Toch wordt cyberveiligheid in veel musea nog altijd gezien als een technisch detail, belegd bij een kleine IT-afdeling of een externe leverancier. Besturen en raden van toezicht spreken uitvoerig over publieksbereik, inclusie en duurzaamheid, maar zelden over digitale weerbaarheid. In een ouder rapport van DEN uit 2023 werd al geconstateerd dat musea wel digitaliseren, maar nauwelijks investeren in structureel cyberrisicomanagement. Die conclusie is sindsdien nauwelijks ingehaald.
Dat beeld werd bevestigd in meer dan vijftig interviews die ik in 2025 voerde met museumdirecteuren en museum toezichthouders in Europa. Vrijwel iedereen erkende dat cyberrisico’s toenemen. Slechts enkelen konden uitleggen hoe die risico’s bestuurlijk zijn belegd, financieel zijn doorgerekend of periodiek worden besproken op bestuursniveau. Cybersecurity was zelden onderdeel van het risicoregister, laat staan van scenarioplanning.
Wat een cyberincident werkelijk kost
Een van de hardnekkigste misverstanden is dat cyberincidenten vooral een IT-probleem zijn. In werkelijkheid raken zij het volledige functioneren van een museum. Analyses van recente incidenten in de culturele sector laten zien hoe breed en gelaagd de impact is — financieel, organisatorisch en bestuurlijk.
De Museum Cyber Incident Cost Calculator, ontwikkeld op basis van reële incidenten bij culturele instellingen, laat zien hoe breed de impact is. De directe IT-kosten — servers, software, herstel — zijn vaak nog het meest zichtbaar. Maar daarbovenop komen omzetverlies door wegvallende ticketverkoop en webshops, extra personeelskosten, de inzet van externe forensische experts, juridische verplichtingen rond AVG-meldingen, intensieve communicatie met publiek en stakeholders, reputatieschade en onvermijdelijke investeringen in extra beveiliging ná het incident. In ernstige gevallen lopen deze kosten op tot 25, 50 of zelfs meer dan 100 procent van de jaarlijkse exploitatie.
Daarbij is niet elk cyberincident hetzelfde. Ransomware behoort tot de meest ontwrichtende scenario’s: systemen worden gegijzeld, data onbereikbaar en herstel vereist vaak een volledige herbouw van de digitale infrastructuur. Data-lekken kennen een ander kostenprofiel, met langdurige juridische trajecten, meldplichten en blijvend reputatierisico.
Minder zichtbaar, maar niet minder schadelijk, zijn systeemcorruptie en uitval van digitale diensten, waarbij musea weken- of maandenlang terugvallen op handmatige processen. Opvallend is hoe structureel de hersteltijd wordt onderschat: waar vooraf in dagen of weken wordt gedacht, blijkt herstel in de praktijk vaak een kwestie van maanden en vaak zijn bestanden voor altijd verloren of beschadigd.
De British Library en het National Museum of the Royal Navy zijn met hun cyber incidenten inmiddels het schrikbeeld in de sector: herstelkosten van meerdere miljoenen, maandenlange ontwrichting en een gedwongen volledige herbouw van de IT-infrastructuur. Maar juist deze voorbeelden worden vaak weggezet als ‘te groot’ of ‘te uitzonderlijk’ — alsof middelgrote en kleinere musea buiten schot blijven.
Het tegendeel is waar. Juist kleinere instellingen zijn kwetsbaar: beperkte IT-budgetten, veel vrijwilligers, verouderde systemen en een sterke afhankelijkheid van externe leveranciers. Het Veenkoloniaal Museum was na de ransomware-aanval iets meer dan een week bezig met herstel, niet omdat de schade gering was, maar omdat er in december nog een back-up buiten het gebouw was gemaakt. De interne back-ups waren eveneens gehackt.
Dat het museum toch kon doorwerken, kwam doordat men nog werkte met papieren kopieën van cruciale informatie. Het illustreert hoe dun de scheidslijn is tussen veerkracht en ontwrichting — en hoe vaak continuïteit berust op toeval in plaats van op doordacht risicomanagement. En de website van de Staatliche Kunstsammlungen Dresden is nog steeds offline op het moment van schrijven.
Transparantie als lakmoesproef
Opvallend is hoe verschillend musea communiceren na een cyberincident. In Dresden werd benadrukt dat de collecties veilig waren en dat fysieke beveiliging intact bleef. Dat is begrijpelijk, maar het verhult dat digitale verstoring inmiddels directe gevolgen heeft voor toegankelijkheid, inkomsten en publieke dienstverlening.
Het Veenkoloniaal Museum koos voor openheid over de aanval, de herkomst van de hackers en de aard van de buitgemaakte data. Dat is prijzenswaardig — en tegelijk confronterend. Transparantie blijkt een lakmoesproef: wie vooraf geen scenario’s heeft doordacht, wie geen crisiscommunicatieplan heeft, komt na een incident al snel klem te zitten tussen juridische voorzichtigheid en publieke verantwoording.
Juist musea, als publieke instellingen met een maatschappelijke opdracht, kunnen zich die vaagheid niet permitteren. Vertrouwen is hun belangrijkste kapitaal — en dat vertrouwen is digitaal net zo kwetsbaar als fysiek.
Bestuurlijke verantwoordelijkheid
Cyberrisico’s zijn geen randverschijnsel meer. Ze raken de kern van de museale opdracht: toegang tot erfgoed, zorg voor collecties, betrouwbaarheid richting publiek en subsidiënten. Dat maakt cybersecurity onmiskenbaar een bestuurszaak.
De vraag is dan ook niet of een museum ooit wordt aangevallen, maar hoe voorbereid het is. Is duidelijk wie beslist bij een incident? Is bekend wat een maand digitale uitval financieel betekent? Is verzekerd wat verzekerbaar is — en is men zich bewust van wat níét gedekt is?
Het blijft verbazen hoe weinig aandacht hier structureel voor is in de sector. Zeker nu digitalisering wordt gepresenteerd als motor voor bereik en relevantie, zou digitale weerbaarheid vanzelfsprekend onderdeel moeten zijn van goed bestuur.
Van blinde vlek naar basisvoorwaarde
Cyberveiligheid is geen luxe en geen angstproject. Het is een basisvoorwaarde voor continuïteit. Net zoals brandveiligheid, depotbeheer en financiële controle ooit professionaliseerden, zal ook cyberrisicomanagement een vaste plek moeten krijgen in beleid, toezicht en verantwoording.
De recente ‘incidenten’ in Dresden en Veendam zijn geen incidenten meer, maar signalen. Wie ze blijft lezen als pech of toeval, mist de structurele boodschap. Musea zijn geen soft targets omdat ze naïef zijn, maar omdat ze zichzelf dat laten aanpraten.
De echte vraag is niet of musea digitaal kwetsbaar zijn — dat zijn ze. De vraag is hoe lang bestuurders en toezichthouders zich nog kunnen veroorloven om dat niet expliciet onder ogen te zien.
Nederlands 
English (UK) 
Français 