Basic-Fit, datagovernance en de vraag die elke organisatie nú moet stellen: weet jij wat er met jouw data gebeurt?

Flowerbed engineering helpt organisaties dagelijks met het opbouwen van digitale weerbaarheid: van datagovernance en kwetsbaarheidsbeheer tot incidentrespons en NIS2-compliance. De afgelopen weken zien we dat de urgentie bij klanten en prospects sterk toeneemt. Niet zonder reden.

Maandag 13 april. Basic-Fit maakte bekend dat hackers toegang hadden gekregen tot het systeem dat clubbezoeken van leden registreert. Namen, adressen, e-mailadressen, telefoonnummers, geboortedatums en bankgegevens. Van 200.000 Nederlanders. En dat was niet alles: in totaal werden gegevens van 1 miljoen Europese leden buitgemaakt, verspreid over Nederland, België, Frankrijk, Spanje, Luxemburg en Duitsland. Diezelfde dag maakte Booking.com bekend ook geraakt te zijn.

Twee grote namen. Één dag. En de vraag die sindsdien bij veel IT-verantwoordelijken speelt, is niet hoe erg het is, maar hoe vertrouwd het voelt.

Het patroon dat we inmiddels kennen en toch blijven herhalen

Basic-Fit is niet het begin van iets. Het is een nieuw hoofdstuk in een verhaal dat al langer loopt.

De afgelopen maanden: het Ministerie van Financiën gehackt. De Dienst Justitiële Inrichtingen maandenlang gecompromitteerd. De Justitiële ICT Organisatie twee keer getroffen. Een laboratorium dat medische gegevens van bijna een miljoen vrouwen verloor. Het ene na het andere incident.

Wat al deze gevallen met elkaar verbindt, is niet de sector of de grootte van de organisatie. Het is de combinatie van drie dingen: data die ergens stond waarvan men niet goed wist hoe gevoelig het was, een kwetsbaarheid die niet tijdig was ontdekt, en een respons die te laat op gang kwam.

Bij Basic-Fit is een van de meest opmerkelijke details dat de aanval plaatsvond in een systeem voor clubbezoekregistratie. Geen CRM. Geen betaalsysteem. Een systeem dat bijhoudt wanneer iemand de sportschool in- en uitloopt. Dat er in datzelfde systeem bankgegevens stonden, is precies het soort verrassing dat organisaties vangen die niet exact weten wat ze bewaren en waar.

Stel jezelf de vraag die de meeste organisaties liever niet stellen

Als morgen jouw meest gevoelige systeem wordt aangevallen, welke data ligt er dan in? Niet de data die jij verwacht er in te zitten, maar de data die er door de jaren heen in terecht is gekomen. Koppelingen die ooit gemaakt zijn. Velden die ooit handig leken. Logging die ooit is aangezet. Backups van systemen die je vergeten was.

Voor de meeste organisaties is het eerlijke antwoord: dat weten we niet precies.

En dat is het kernprobleem. Niet de hack. Hacks zijn onvermijdelijk. Het probleem is niet weten wat er te halen valt.

Waarom dit precies de reden is om nú over AI governance te praten

De afgelopen weken schreven we twee keer over AI governance. Over de relatie tussen AI-gebruik en databeheer. Over wat Gemma 4 mogelijk maakt voor lokale AI-verwerking. Vandaag sluiten die verhaallijnen samen.

AI governance begint namelijk precies waar de Basic-Fit hack begint: bij de vraag welke data je hebt, waar die staat, hoe gevoelig die is en wie er toegang toe heeft. Organisaties die met AI willen werken, maar ook organisaties die gewoon veilig willen zijn, kunnen dit niet meer omzeilen. Data die je niet kent, kun je niet beschermen. En data die je niet beschermt, is vroeg of laat data die iemand anders heeft.

Het gesprek dat veel organisaties nu voeren is het gesprek dat ze eerder al hadden moeten voeren. Niet vanuit angst, maar vanuit eenvoudige zakelijke logica: wie de gegevens kwijtraakt waarvoor hij verantwoordelijk is, betaalt de prijs. In reputatie. In boetes. In herstelkosten. In klantvertrouwen.

De Cyberbeveiligingswet maakt dat per 1 juli formeel. Maar de realiteit is dat de schade altijd al bestond, lang voordat de wet er was.

Wat de Cyberbeveiligingswet straks van jou vraagt

Basic-Fit heeft de Autoriteit Persoonsgegevens op de hoogte gesteld. Dat is verplicht. De meldplicht schrijft voor dat een datalek binnen 72 uur gemeld moet worden bij de toezichthouder. Basic-Fit heeft dat gedaan en externe beveiligingsspecialisten ingeschakeld.

Maar de Cyberbeveiligingswet gaat verder. Die verplicht niet alleen te melden, maar ook aantoonbaar te voorkomen. De zorgplicht vraagt om tien concrete maatregelen, waaronder vulnerability management, encryptie, toegangsbeheer en incidentafhandeling. Wie niet kan laten zien dat die maatregelen zijn genomen, is niet compliant. Boetes tot 10 miljoen euro of 2 procent van de wereldwijde omzet, plus persoonlijke aansprakelijkheid van bestuurders.

De vraag die veel bestuurders zichzelf nu moeten stellen: als er morgen een inspecteur bij ons aanklopt, kunnen wij dan aantonen dat wij weten wat we bewaren, dat we het beveiligd hebben en dat we weten hoe we reageren als het misgaat?

Drie dingen die je deze week nog kunt regelen

Begin met een databewustzijnsscan. Inventariseer welke systemen persoonsgegevens bewaren en of die systemen up-to-date zijn. Veel organisaties ontdekken bij deze oefening systemen die al jaren draaien zonder dat iemand er actief naar heeft gekeken.

Zet daarna een vulnerability scan op die niet eenmalig maar continu draait. De aanval op Basic-Fit werd ontdekt door de eigen systeembewaking, wat goed is, maar kwetsbaarheden moeten idealiter worden gevonden voordat ze worden uitgebuit, niet erna.

En als derde: zorg dat je incidentmeldingsprocedure op papier staat en is getest. Wie belt er als het misgaat? Wie besluit? Hoe communiceer je intern en extern? Hoe snel kun je schakelen? Die vragen moeten beantwoord zijn voordat je ze nodig hebt.

Security Health Check is de dienst waarbij Flowerbed engineering een nulmeting doet van jouw IT-omgeving: wat staat er, wat is kwetsbaar, wat ontbreekt en wat is de prioriteit. Vulnerability Management zorgt voor continue scanning zodat kwetsbaarheden worden gevonden voordat aanvallers dat doen. En Incident Response zorgt dat jouw organisatie weet wat te doen op het moment dat het telt, niet pas daarna.

We willen het gesprek graag met je aangaan. Niet omdat het moet, maar omdat de organisaties die nu nadenken, straks beter voorbereid zijn dan de organisaties die wachten tot ze zelf in het nieuws staan. Neem gerust contact op.