De kans is groot dat je het nieuws over de hack bij telecombedrijf Odido hebt gezien en vervolgens hebt gedacht: grote bedrijven, grote problemen. Dat zou een vergissing zijn. Juist voor musea, theaters en andere culturele instellingen bevat deze datadiefstal een ongemakkelijke les. Het MKB (waar het merendeel van de culturele sector zich in bevindt) is extra kwetsbaar.
Ik weet inmiddels dat mijn eigen gegevens in de buitgemaakte dataset zitten. Via de controlepagina van de politie bleek dat mijn e-mailadres voorkomt in de bestanden die door de aanvallers zijn buitgemaakt. Dat betekent dat mijn persoonsgegevens waarschijnlijk ook in die dataset staan. Het gevolg is eenvoudig: de komende tijd – mogelijk zelfs jaren – moet ik extra alert zijn op phishingmails, neptelefoontjes en andere vormen van digitale oplichting. Dat is geen prettig vooruitzicht. Maar het zegt vooral iets over de waarde van data in handen van cybercriminelen.
De kracht van gecombineerde data
In de gestolen dataset zitten combinaties van persoonsgegevens die voor cybercriminelen bijzonder bruikbaar zijn. Namen, adressen, telefoonnummers, bankrekeningnummers en mogelijk identiteitsinformatie. Op zichzelf lijken dat misschien onschuldige gegevens. In combinatie vormen ze echter een compleet profiel. Met zulke profielen kunnen criminelen zeer overtuigende fraude plegen. Een e-mail die ogenschijnlijk van een bank komt, een telefoontje van iemand die zich voordoet als medewerker van een telecomprovider, of een verzoek om een account te bevestigen dat eigenlijk bedoeld is om toegang te krijgen tot andere systemen.
Dit soort gerichte fraude – vaak aangeduid als social engineering – neemt al jaren toe. Met behulp van AI kan die aanpak nog geloofwaardiger worden. Een goed geschreven phishingmail is vandaag de dag eenvoudig te genereren. Het verschil wordt gemaakt door de kwaliteit van de onderliggende data. En precies daar zit de eerste les voor de culturele sector.
De aanval kwam niet via het netwerk
Wat deze Odido case zo interessant maakt, is niet alleen de omvang van de buitgemaakte data, maar vooral de manier waarop deze tot stand kwam. Het klassieke beeld van de hacker die zich een weg baant door digitale muren en firewalls, klopt al enige tijd niet meer. Lange tijd draaide cybersecurity om één centrale vraag: hoe houd je indringers buiten de deur? Die vraag is inmiddels achterhaald.
Bij de data diefstal bij Odido ging het namelijk niet om een aanval op het telecomnetwerk zelf. Volgens de eerste analyses werd de toegang verkregen via een klantenservicesysteem: een CRM-omgeving waar aanvallers door middel van phishing inloggegevens van medewerkers hadden buitgemaakt. Met die gegevens konden zij eenvoudig inloggen en vervolgens grote hoeveelheden klantdata kopiëren en naar buiten brengen.
Dat detail is cruciaal. Organisaties investeren vaak enorme bedragen in het beschermen van hun kernsystemen. Telecombedrijven beveiligen hun netwerk, banken hun betalingsinfrastructuur. Maar de grootste kwetsbaarheden bevinden zich vaak elders in de digitale (SaaS) keten: in CRM-systemen, marketingtools, ticketplatforms en andere cloudomgevingen waar klantgegevens samenkomen. Precies dat zijn ook de systemen die in de culturele sector veelvuldig worden gebruikt.
De werkelijkheid is inmiddels dat de meest effectieve aanvallers helemaal niet meer hoeven in te breken. Ze loggen simpelweg in. In dit soort incidenten gaat het zelden om een technisch lek in software, maar om een gestolen identiteit: een wachtwoord dat via phishing is buitgemaakt of ergens op het darkweb te koop staat. Niet inbreken dus, maar insluipen — of nog eenvoudiger: gewoon binnenkomen via de voordeur met geldige inloggegevens. Identiteit is daarmee het nieuwe primaire doelwit geworden. Nu de traditionele digitale muren en sloten steeds beter zijn, richten aanvallers zich op de sleutels zelf.
Daar komt nog een tweede ontwikkeling bij die voor beveiligingsteams minstens zo verontrustend is: de snelheid van moderne aanvallen. Veel digitale aanvallen duren tegenwoordig minder dan tien minuten — te snel voor menselijke interventie. Detectie en respons die afhankelijk zijn van handmatige controle kunnen dat tempo eenvoudigweg niet meer bijhouden.
De consequentie is dat organisaties hun verdediging fundamenteel moeten herdenken. Cybersecurity kan niet langer uitsluitend reactief zijn. In een wereld waarin aanvallen binnen minuten plaatsvinden, moeten organisaties overstappen op een proactieve en grotendeels geautomatiseerde verdedigingshouding. Alleen dan is er nog een kans om aanvallen te stoppen voordat de schade ontstaat.
De digitale infrastructuur van de cultuursector
Elke culturele instelling heeft tegenwoordig een bezoekersdatabase, een nieuwsbriefsysteem, een donateursbestand en een ticketingplatform. Soms zijn die geïntegreerd, vaak staan ze verspreid over meerdere platforms die met elkaar zijn verbonden. Daar komt bij dat veel van deze systemen draaien als SaaS-oplossingen bij externe leveranciers. Dat maakt het beheer complexer. Data beweegt tussen systemen, gebruikers hebben verschillende toegangsrechten en updates of beveiligingsinstellingen liggen deels buiten de directe controle van de organisatie zelf.
De sector bevindt zich bovendien midden in een digitale transformatie. Publieksdata is essentieel geworden voor marketing, fondsenwerving en publieksanalyse. Dat maakt die data waardevol – maar ook risicovol.
Het governanceprobleem
Onder die technische complexiteit ligt een bestuurlijk probleem dat in veel organisaties herkenbaar is. Data is van iedereen en tegelijkertijd van niemand. De IT-afdeling beheert het systeem. Marketing gebruikt de gegevens voor campagnes. Klantenservice vult profielen aan. Compliance schrijft regels over privacy en beveiliging. Maar wie is uiteindelijk verantwoordelijk voor het risico dat deze data vertegenwoordigt? In veel organisaties is dat verrassend onduidelijk.
Dat wordt meestal pas zichtbaar wanneer er een incident plaatsvindt. Dan blijkt dat niemand het volledige overzicht had van waar data stond opgeslagen, wie toegang had en hoe die precies werd beschermd. Voor culturele instellingen ligt hier misschien wel de belangrijkste les van de Odido-hack: cyberveiligheid begint niet bij technologie, maar bij governance.
Besturen, directies en raden van toezicht moeten zich realiseren dat de data die zij verzamelen – bezoekersinformatie, ledenadministraties en donateursbestanden – niet alleen een waardevol bedrijfsmiddel is, maar ook een potentiële kwetsbaarheid.
De verzekeringsrealiteit
Een ander aspect dat vaak onderbelicht blijft in de culturele sector is cyberverzekering. Organisaties zijn tegen veel risico’s verzekerd: brand, aansprakelijkheid, schade aan gebouwen of collecties. Cyberrisico’s worden echter nog zelden structureel afgedekt, uit onderzoek van DEN blijkt dat minder dan 20% van de culturele instellingen een cyberverzekering heeft.
Daar zijn verschillende redenen voor. Soms ontbreekt simpelweg de interesse. Maar een belangrijker probleem is dat verzekeraars steeds kritischer kijken naar de kwaliteit van cyberrisicomanagement. Naar schatting wordt een groot deel van de aanvragen voor cyberverzekeringen afgewezen omdat organisaties hun digitale risico’s onvoldoende onder controle hebben. Dat maakt instellingen extra kwetsbaar. Cyberverzekeringen dekken namelijk niet alleen financiële schade. Vaak bieden ze ook directe ondersteuning bij incident response: forensisch onderzoek, communicatie met gedupeerden en herstel van systemen. Die ondersteuning kan cruciaal zijn wanneer een organisatie plotseling met een datalek of ransomware-aanval wordt geconfronteerd.
Hoe verzekeraars naar een hack kijken
Voor verzekeraars wordt een incident als dat bij Odido langs verschillende lijnen beoordeeld.
- De eerste vraag is de omvang van de buitgemaakte data. Wanneer persoonsgegevens, bankrekeningnummers en identiteitsgegevens van grote aantallen klanten zijn gestolen, kunnen de kosten snel oplopen. Denk aan forensisch onderzoek, juridische procedures, klantcompensatie en reputatieschade.
- De tweede vraag betreft de oorzaak. Was er sprake van een geavanceerde aanval, of waren er tekortkomingen in de beveiliging? Onvoldoende toegangsbeheer, slechte monitoring of het niet opvolgen van beveiligingswaarschuwingen kunnen bepalend zijn voor de vraag of schade onder een polis valt.
- Ten slotte kijken verzekeraars – en ook toezichthouders – steeds nadrukkelijker naar governance. Hoe was het databeheer georganiseerd en wie droeg verantwoordelijkheid voor de bescherming van de gegevens?
Dat laatste punt wordt steeds belangrijker. Autoriteiten zoals de Autoriteit Persoonsgegevens kunnen bij ernstige overtredingen aanzienlijke boetes opleggen.
De lange nasleep van een datalek
Daar komt nog iets bij. Inmiddels zijn er berichten dat er massaclaims in voorbereiding zijn tegen Odido. Als dat daadwerkelijk gebeurt, kan de juridische en financiële nasleep van deze hack nog jaren duren.
Voor consumenten betekent dat vooral dat zij zelf alert moeten blijven. Gestolen datasets verdwijnen zelden van het internet. Wanneer organisaties geen losgeld betalen – wat de politie terecht adviseert – blijven de gegevens vaak circuleren op criminele marktplaatsen.
Maar voor culturele organisaties ligt de belangrijkste les ergens anders.
De realiteit voor culturele instellingen
De Odido-case laat zien dat zelfs een telecombedrijf met honderden IT-specialisten niet immuun is voor datalekken. Als zo’n organisatie kwetsbaar kan blijken, dan is het verstandig dat kleinere instellingen zich afvragen hoe goed zij zelf zijn voorbereid.
De ransomware-aanval op het Veenkoloniaal Museum is een illustratief voorbeeld. Daarbij lekten ook NAW-gegevens, e-mailadressen, telefoonnummers en IBAN-nummers van crediteuren, debiteuren en donateurs. De aanvallers plaatsten deze gegevens uiteindelijk op het dark web. Het verschil met Odido is vooral de schaal en de complexiteit van de organisatie. Voor cybercriminelen is het binnendringen van een kleine instelling vaak aanzienlijk eenvoudiger, zeker met de komst van AI-gedreven technologie. Veel musea en culturele organisaties beschikken immers niet over een eigen cybersecurityteam. (En ze beschikken ook niet over een cyberverzekering waarmee een aanval direct kan worden opgepakt.)
Van incident naar verantwoordelijkheid
De reactie na cyber criminaliteit is vergelijkbaar. Er wordt gesproken over een “incident” of een “datalek”, alsof het gaat om een vorm van stormschade die simpelweg niet te voorkomen was. Daarmee verschuift het probleem ongemerkt naar de slachtoffers. Burgers krijgen het advies om alert te zijn, hun wachtwoorden te wijzigen en verdachte berichten te melden. Maar organisaties hebben een eigen verantwoordelijkheid. Het managen van cyberrisico’s is geen luxe meer. Het hoort bij goed bestuur.
Voor culturele instellingen betekent dat dat cyberveiligheid niet langer alleen een technisch onderwerp is, maar een strategisch vraagstuk. Het gaat over data-beheer, governance, verantwoordelijkheden en risicobewustzijn.
De hack bij Odido laat vooral zien dat digitale kwetsbaarheid geen uitzondering meer is. Zelfs organisaties met enorme IT-budgetten kunnen worden getroffen. Voor de culturele sector is de conclusie daarom simpel, maar ongemakkelijk: wachten tot het misgaat is geen strategie. Cyberrisico’s moeten actief worden beheerd – voordat een incident de organisatie daartoe dwingt.
Voor diegenen die dieper willen gaan, hier twee recente rapporten over cybersecurity:
Nederlands 
English (UK) 
Français 