Gegevens beschermen is mensen beschermen

Inleiding

Wanneer we het over gegevens hebben, denken we vaak aan cijfers en bestanden op servers. Maar achter elk gegeven schuilt een mens: een BSN-nummer, een medisch dossier of een adres hoort bij een persoon met een verhaal, gevoelens en rechten. Privacy gaat erom die rechten te beschermen en te voorkomen dat persoonlijke informatie wordt misbruikt. Cybersecurity en privacy versterken elkaar daarbij: cybersecurity beveiligt systemen en gegevens, terwijl privacy bepaalt hoe deze zorgvuldig en rechtmatig worden gebruikt. Alleen samen zorgen ze ervoor dat informatie niet alleen veilig, maar ook eerlijk en transparant wordt behandeld.

In week 3 van onze Cybersecurity Awareness Month staan we daarom stil bij de menselijke kant van gegevensbescherming: hoe persoonlijke informatie direct verbonden is met levens, en hoe bewust handelen kwetsbare groepen beschermt.

Analyse: impact en voorbeelden

Een datalek klinkt technisch, maar de gevolgen zijn menselijk. Denk aan slachtoffers van misdrijven van wie dossiers op straat komen te liggen, of aan patiënten van wie medische gegevens uitlekken. De gevolgen zijn reëel: angst, reputatieschade, financiële problemen of zelfs fysiek gevaar.

Hulporganisaties zien dit dagelijks. Slachtoffers die opnieuw worden geconfronteerd met hun verleden, of patiënten die bang zijn dat hun medische geschiedenis tegen hen wordt gebruikt. Het maakt zichtbaar dat cybersecurity geen luxe is, maar een vorm van bescherming van mensenrechten en waardigheid.

Concrete voorbeelden maken dit tastbaar:

• Datalekken in de zorg (2020): In 2020 bleek dat gevoelige gegevens van duizenden patiënten bij meerdere GGZ-instellingen onbeveiligd online stonden. Het ging om medische dossiers, rapportages en persoonsgegevens die vrij toegankelijk waren. Voor patiënten betekende dit een ernstige privacy schending en angst voor stigmatisering. Het vertrouwen in zorgverleners kwam hierdoor onder druk te staan.
• Bevolkingsonderzoek Nederland (2025): In augustus 2025 werd bekend dat bij een hack op laboratorium NMDL, dat werkt voor Bevolkingsonderzoek Nederland, gegevens van ruim 485.000 deelnemers zijn buitgemaakt. Het ging om namen, adressen, geboortedata, BSN’s en testuitslagen. Later bleek dat mogelijk tot 941.000 mensen getroffen zijn.
• Openbaar Ministerie (2025): In juli 2025 werd het OM getroffen door een cyberaanval via een kwetsbaarheid in Citrix NetScaler. Hackers kregen vermoedelijk toegang tot systemen met gevoelige informatie over lopende strafzaken. Uit voorzorg zijn systemen tijdelijk offline gehaald. Het OM deed aangifte en werkt met experts aan herstel en beveiliging.

Wat onze consultants zien

Onze consultants benadrukken dat gegevensbescherming niet alleen een IT-vraagstuk is, maar een verantwoordelijkheid van de hele organisatie.

Lars Ploeg: “Gegevens die in de veiligheidsketen verwerkt worden gaan over mensen in kwetsbare situaties: slachtoffers van ongevallen, gewonden bij incidenten, of inwoners die tijdens een crisis moeten worden geëvacueerd. Op zulke momenten is hun persoonlijke situatie al zwaar genoeg. Als hun gegevens vervolgens uitlekken of misbruikt worden, worden zij opnieuw geraakt. Vaak precies op hun kwetsbaarste moment. Daarom neemt de veiligheidsketen gegevensbescherming zo serieus: het is rechtstreeks verbonden aan de veiligheid, waardigheid en het herstel van burgers. Voor mij zijn gegevens niet abstract, maar een verhaal van iemand die wij willen beschermen.”

Tim Braam: “Het RIVM verzamelt en verwerkt grote hoeveelheden gevoelige data, zoals gezondheidsgegevens van miljoenen burgers en onderzoeksresultaten over tal van uiteenlopende onderwerpen. Bescherming van deze gegevens is essentieel om de privacy van burgers en het vertrouwen in de organisatie te behouden. Veel van de onderzoeken zijn op vrijwillige basis, maar de resultaten komen ten goede aan iedereen in Nederland, en in sommige gevallen ook daarbuiten. Zonder vertrouwen in de organisatie neemt de mogelijkheid op onderzoek en de kwaliteit van het onderzoek af. Andersom ondersteunt goede gegevensbescherming juist de kwaliteit en betrouwbaarheid van onderzoek, waardoor Nederland kan vertrouwen op de uitkomsten. Zo blijft het RIVM een betrouwbare bron van kennis en advies voor zowel Nederlandse bestuurders als burgers.”

Frits Grotenhuis: Als CISO a.i. bij Slachtofferhulp Nederland besef ik dagelijks dat vertrouwen een belangrijk goed is. Op de eerste plaats het vertrouwen van slachtoffers richting onze organisatie, maar ook het vertrouwen onderling tussen collega’s. Medewerkers moeten erop kunnen rekenen dat het securityteam er alles aan doet om, samen met de business, IT-leveranciers en andere partners, de organisatie elke dag digitaal weerbaar te houden. Wanneer vertrouwen verloren gaat, stokt de samenwerking. De business kan haar werk niet meer goed doen en, nog belangrijker, slachtoffers worden dan niet meer optimaal geholpen. Cybersecurity vraagt veel van techniek en organisatie, maar zoals zo vaak gezegd: het blijft mensenwerk.

Slachtoffers moeten erop kunnen blijven vertrouwen dat hun persoonlijke en gevoelige informatie in veilige handen is. Alleen dan kunnen zij goed geholpen en ondersteund worden. Recente incidenten, zoals bij het Bevolkingsonderzoek Nederland en het Openbaar Ministerie, laten zien hoe snel vertrouwen kan worden aangetast. Verlies van vertrouwen heeft grote gevolgen: waar slachtoffers of patiënten hun informatie niet meer durven toevertrouwen, kan dat levens veranderen of zelfs levens kosten. Vertrouwen is niet vanzelfsprekend, het vraagt om voortdurende aandacht, zorg en toewijding. Gegevens beschermen betekent in ons werk uiteindelijk altijd om mensen te beschermen.

Aanpak: bewust omgaan met gegevens

Cybersecurity en privacy zijn onlosmakelijk verbonden en vormen samen de basis voor vertrouwen. Cybersecurity richt zich op het beschermen van systemen, netwerken en gegevens tegen aanvallen, ongeautoriseerde toegang en verlies. Privacy gaat een stap verder door het beschermen van de rechten, vrijheden en persoonlijke levenssfeer van mensen van wie die gegevens afkomstig zijn. Zonder stevige cybersecurity is privacy niet te garanderen, en zonder respect voor privacy verliest cybersecurity haar betekenis.

Op papier lijken een naam, geboortedatum of patiëntnummer onschuldig, maar in de praktijk kan dat heel anders uitpakken. Stel: een ziekenhuis bekijkt een medewerker zonder behandelrelatie het medisch dossier van een bekende. Dat is niet alleen een ernstige schending van de privacy van de patiënt, maar kan ook leiden tot verlies van vertrouwen in de zorg of zelfs discriminatie op basis van gevoelige informatie. Zulke scenario’s raken direct aan de persoonlijke levenssfeer en laten zien waarom zorgvuldigheid en strikte toegangscontrole cruciaal zijn.

Een effectieve aanpak begint met inzicht: welke gegevens worden verwerkt, hoe kritisch zijn ze en wat is de impact als ze misbruikt worden? Instrumenten als de Data Protection Impact Assessment (DPIA) helpen risico’s vooraf te herkennen en gericht te beperken.

Daarna volgen maatregelen als bijvoorbeeld: encryptie, toegangsbeheer, pseudonimisering en logging. Toch blijft techniek slechts één kant van het verhaal. De andere kant is menselijk bewustzijn: medewerkers en bestuurders moeten begrijpen waarom hun gedrag direct invloed heeft op de veiligheid van mensen. Een klik op een verkeerde link kan immers persoonlijke schade veroorzaken.

Oefenen en testen zijn hierbij onmisbaar. Hoe reageert een organisatie bij een datalek? Hoe snel worden betrokkenen geïnformeerd, en hoe zorgvuldig verloopt herstel? Door dit regelmatig te trainen wordt duidelijk waar versterking nodig is, en niet alleen in systemen, maar ook in samenwerking en communicatie.

Cultuur en bewustzijn

Geen enkele beveiliging is sterker dan de cultuur erachter. Medewerkers moeten niet alleen weten wat ze moeten doen, maar ook waarom. Bewustwording, training en transparante communicatie zorgen dat mensen begrijpen dat hun handelen direct invloed heeft op anderen.

Een cultuur waarin medewerkers alert zijn, incidenten melden en elkaars verantwoordelijkheid respecteren, vergroot niet alleen de digitale weerbaarheid, maar versterkt ook het onderlinge vertrouwen.

Kansen en conclusie

Gegevens beschermen gaat verder dan voldoen aan wet- en regelgeving. Het gaat om vertrouwen. Vertrouwen tussen organisaties en burgers, tussen collega’s, en tussen hulpverleners en slachtoffers. Wie zorgvuldig met informatie omgaat, zorgt niet alleen voor compliance, maar zorgt ook voor bestaansrecht en maatschappelijke legitimiteit.

Bij Cyber Security Challengers helpen we organisaties die verbinding te leggen: tussen mens en technologie, tussen beleid en praktijk. We brengen datastromen in kaart, classificeren risico’s, trainen medewerkers en oefenen crisisscenario’s. Zo maken we gegevensbescherming en cybersecurity tot méér dan een verdedigingslinie ook een gezamenlijke kracht waarbij de mens een prominente plek krijgt.

Want achter elk gegeven schuilt een mens. Die mens verdient het om in de loop te blijven. Ook binnen cybersecurity en privacy geldt; alleen ga je sneller, maar samen kom je verder.