Als de basis klopt, kan het weer over vakmanschap gaan
Interim via OptimaData is geen bemiddeling. Het is samenwerken aan inhoud Wij beschikken over ons eigen detacheringsbureau. Een apart bedrijf.…
Inleiding
Februari 2026. ShinyHunters, een bekende cybercriminele groep, weet via phishing en social engineering toegang te krijgen tot de Salesforce-omgeving van Odido. Resultaat: de persoonsgegevens van 6,2 miljoen klanten op straat. De aanvallers deden zich voor als IT-medewerkers, medewerkers keurden de inlogpoging goed, en vervolgens hadden de aanvallers toegang tot een omgeving met een enorme hoeveelheid klantdata.
Wat me daarbij opvalt (en we zeggen dit niet om Odido te bashen, want dit speelt bij veel organisaties) is het volgende: als gewone klantenservicemedewerkers toegang hebben tot miljoenen klantrecords, dan klopt de rechtenstructuur niet. Niet vanuit beveiligingsoogpunt, en straks ook niet vanuit de wet.
Want de Cyberbeveiligingswet komt eraan.
Wat is er aan de hand?
De NIS2-richtlijn is al van kracht in Europa. De Nederlandse vertaling (de Cyberbeveiligingswet) is op 15 april door de Tweede Kamer aangenomen en ligt nu bij de Eerste Kamer. Verwachte inwerkingtreding: Q2 2026.
De wet legt organisaties in essentiële en belangrijke sectoren een zorgplicht op. En die zorgplicht is concreet: je moet aantoonbaar risico’s beheersen rondom je informatiesystemen. Bovendien zijn bestuurders persoonlijk aansprakelijk bij nalatigheid. “We wisten het niet” is straks geen verweer meer.
Vaak zijn bestuurders/wethouders/directie leden niet bewust van wie welke data inziet. Zij moeten worden betrokken in de discussie omdat ze dat meestal delegeren, maar niet bewust zijn van hun eigen verantwoordelijkheid.
Twee dingen vallen ons op als we om ons heen kijken. Geen exotische kwetsbaarheden. Gewoon twee fundamentele zaken die bij veel organisaties jarenlang zijn blijven liggen.
Kwetsbaarheid 1: de rechtenstructuur in je database
Wie heeft toegang tot welke data, met welke rechten en kun je dat verantwoorden?
In de praktijk: bij veel organisaties is dat antwoord niet scherp. Een account dat ooit snel sysadmin-rechten kreeg omdat uitzoeken wat echt nodig was te lang duurde. Een applicatie die db_owner-rechten heeft terwijl leesrechten meer dan voldoende zouden zijn. Een monitoringtool die sysadmin draait omdat de leverancier daar ooit om vroeg en niemand het daarna heeft teruggedraaid. Maar ook een systeemwachtwoord wat iedereen kent en niemand durft te wijzigen omdat men bang is dat er dan iets stuk gaat.
We noemen dat privilege creep. Elke individuele beslissing had destijds een logische reden. Het totaalplaatje is een beveiligingsrisico.
Vaak zijn bestuurders/wethouders/directie leden zich niet bewust van wie welke data inziet. Zij moeten worden betrokken in de discussie omdat ze dat meestal delegeren, maar niet bewust zijn van hun eigen verantwoordelijkheid.
En precies dáár zit de Odido-parallel. Het waren geen databasehackers die een zero-day exploiteerden. Het waren aanvallers die via phishing een account wisten te bemachtigen en dat account had gewoon te veel toegang. Het Least Privilege-principe (geef iedereen alleen de rechten die strikt noodzakelijk zijn) had de schade aanzienlijk kunnen beperken.
NIS2 vraagt expliciet om beleid voor toegangscontrole. Niet als checkbox, maar aantoonbaar. Dat betekent: weet wie wat heeft, waarom, en wie dat heeft goedgekeurd.
Kwetsbaarheid 2: de backup die je nooit hebt teruggezet
“We hebben backups.” Dat horen we veel. En zelfs dán blijkt als wij inzoomen, dat men dácht backups te hebben. Maar de vervolgvraag die echt even stil maakt: wanneer heb je voor het laatst bewezen dat je ze ook kunt terugzetten?
Een backup die je niet kunt herstellen is geen backup. Het is een gevóel van veiligheid.
Wat wij standaard inrichten als we betrokken zijn bij een nieuw ontwerp of implementatie: geautomatiseerde validatie van de backup én een recoverytest in een geïsoleerde omgeving. Bij elke backup. Niet eens per kwartaal, niet eens per maand. Bij elke backup. Zodat je op elk moment aantoonbaar kunt laten zien dat je kunt herstellen, hoelang dat duurt, en dat de data integer is. En voor grote omgevingen waar het testen van elke backup van de gehele omgeving enorm veel performance impact heeft, hebben we daar een heel innovatieve en compliant methode voor bedacht.
Dat is precies wat NIS2 vraagt onder de zorgplicht: continuïteit aantoonbaar borgen. Niet beschrijven hoe je het zou doen in theorie, maar laten zien dat het werkt in de praktijk.
De meeste organisaties zijn daar eerlijk gezegd nog lang niet. Niet omdat ze het niet willen, maar omdat niemand ooit de tijd nam om het goed in te richten. En zolang alles draait, voelt de urgentie laag.
Tot het misgaat.
Wat wij hierin kunnen betekenen
OptimaData doet dit dagelijks. Voor PostgreSQL, SQL Server, MySQL, MariaDB, Oracle en meer, op elke omgeving die je je kunt voorstellen.
We auditen rechtenstructuren en brengen in kaart wat er staat, wat er anders moet en wat het risico is als je niets doet. We richten geautomatiseerde backup-validatie in als onderdeel van elk nieuw ontwerp of implementatie of als aanpassing in een bestaande omgeving. En we helpen organisaties die zich willen voorbereiden op NIS2, niet vanuit compliance-angst, maar vanuit de overtuiging dat een goed ingerichte database-omgeving gewoon beter werkt.
Als jouw organisatie straks langs de NIS2-meetlat wordt gelegd, zijn dit de twee plekken waar het meest op mis kan gaan. En het zijn ook de twee plekken waar wij het meeste verschil kunnen maken.
Ben je benieuwd hoe jouw omgeving ervoor staat? Neem vrijblijvend contact op, we kijken graag met je mee.
Edco Wallet is co-founder van OptimaData, database dienstverlener gespecialiseerd in PostgreSQL, MySQL, MariaDB, SQL Server, MongoDB en Oracle.
