Interview

Organisatie gehackt en gegevens op straat? Snel en zorgvuldig handelen!

Maandagochtend: je start je computer op. Alle bestanden zijn geblokkeerd, je kunt niets openen. ‘Ik dacht meteen aan een hack en besefte dat dit groot was. Onze ICT-experts hebben alles direct offline gezet en ik heb samen met mijn medebestuurder een crisisteam opgezet’, vertelt Tijs van der Wielen, lid Raad van Bestuur bij de Koninklijke Auris Groep. Hij kijkt terug op intense weken om de schade voor de zorg- en onderwijsorganisatie te beperken. 

Externe video URL

Het incident speelde twee jaar geleden, maar het staat Tijs van der Wielen nog altijd helder voor de geest. ‘De schok die er door je heen gaat als je beseft dat je niet meer bij je systemen kunt en er privégegevens van je cliënten, leerlingen en personeel op straat kunnen liggen! Natuurlijk was er paniek. We hebben direct een crisisteam geformeerd en zijn aan de slag gegaan.’ 

Communiceer over de feiten 

Het interne crisisteam met Van der Wielen, meerdere collega’s van ICT, communicatie, de chief information security officer (CISO) en de functionaris gegevensbescherming (FG) was in een half uur opgezet. Ook het externe crisisteam, met de ICT-dienstverlener en een specialistisch cybersecurity bedrijf, ging snel aan de slag. Van der Wielen: ‘We communiceerden via WhatsApp. Gelukkig heb ik in mijn vorige functies regelmatig crisisoefeningen gedaan. Belangrijk is om te communiceren over de feiten. Je moet besluiten nemen op basis van kennis die je op dat moment hebt. Natuurlijk lopen de emoties wel eens hoog op. Maar daar kun je niet lang bij stil bij blijven staan, dat helpt niet bij het oplossen van de crisis en je hebt elkaar hard nodig.’  

Schade in kaart brengen 

Forensisch onderzoek wees uit dat een hacker was binnengedrongen en dat er om losgeld was gevraagd om de bestanden te ontsleutelen. Het crisisteam maakte een analyse van de schade. Welke informatie was precies weg, waren de back-ups schoon en welke processen zijn kritisch voor de organisatie? Als zorg- en onderwijsorganisatie voor kinderen en volwassenen die ernstige problemen hebben met horen, spreken of hun taalontwikkeling, werken we dagelijks niet alleen met leerlinggegevens maar ook met zorgdossiers. Gevoelige persoonlijke informatie dus.  

Zorg voor leerlingen en cliënten voorop; angst voor identiteitsfraude 

Van der Wielen: ‘De zorg voor leerlingen en cliënten stond voorop, maar ook de zorg voor onze collega’s. Enkele medewerkers waren bang voor identiteitsfraude. Dat raakt mensen persoonlijk. En het werk met cliënten op onze Audiologische Centra was moeilijk, omdat de cliëntendossiers offline niet beschikbaar waren.’ 

Snelheid of veiligheid? 

Uit het forensisch onderzoek bleek dat alleen de netwerkschijven waren besmet. De back-ups en de data in de cloud waren schoon. Er werd aangifte gedaan bij de politie en een melding gedaan bij de autoriteit persoonsgegevens.  
‘De afweging is: ga je voor snelheid of veiligheid bij de heropbouw van het systeem? Stap voor stap hebben we steeds een stukje gepakt en het hersteld’, legt Van der Wielen uit.  

Persoonlijk bericht 

Met een klein team zochten ze de ontvreemde files nauwkeurig uit om te beoordelen welke gegevens van mensen in het geding waren. ‘Denk aan geboortedatum, adres of BSN-nummer. Zo konden we bepalen of er gevaar voor identiteitsfraude was. Dat bleek bij een beperkte groep het geval te zijn. Het was een behoorlijke klus. Maar we wilden dit zorgvuldig aanpakken. De mensen die het betrof, zijn ook allemaal persoonlijk geïnformeerd.’ 

Strakker sturen op digitale veiligheid 

Terugkijkend: had het voorkomen kunnen worden? ‘Er bleek een server op verouderde software te draaien, weliswaar op ons verzoek. Door een muizengaatje is er een hacker binnengedrongen. De schuldvraag ligt in het midden’, legt Van der Wielen uit.  
‘Hoewel wij goed beveiligd waren, hadden we nog regelmatiger PEN-testen moeten doen en strakker kunnen sturen op ICT-veiligheid, bijvoorbeeld met meer uniformiteit en standaardisatie in ICT-systemen op onze scholen en zorglocaties.’ 

Ook veerkracht gezien 

De organisatie heeft ook de eisen aangescherpt voor medewerkers: elke dag moeten zij hun identiteit bevestigen bij het inloggen door een multifactorauthenticatie (MFA). En ook al is het onhandig, laptops gaan sneller in de veilige stand. ‘Toch heeft dit nare incident mij ook iets moois laten zien. Onze medewerkers zijn veerkrachtig, er is geen klas of groep naar huis gestuurd. Iedereen heeft de schouders eronder gezet en hielp elkaar. Dat maakte een ongekende energie los.’ 

Is jouw school digitaal veilig?  

Een cyberincident kan iedereen overkomen. Schoolbestuurders hebben de verantwoordelijkheid om samen met schoolleiders en IBP’ers een digitaal veilige omgeving voor hun leerlingen en medewerkers te realiseren. Voor eind 2027 moeten alle schoolorganisaties in het po en vo voldoen aan het Normenkader Informatiebeveiliging en Privacy voor Funderend Onderwijs (IBP FO). Kijk op www.digitaalveiligonderwijs.nl welke stappen je nu kunt zetten om je organisatie digitaal veilig te maken. 

Thijs van der Wielen van Auris

Onze professionals staan voor je klaar

Stel je vraag of zoek een opleiding

Contact met de Juridische Helpdesk

Heb je een juridisch vraag? Als lid van de PO-Raad kun je via de pagina van de Juridische helpdesk je vraag stellen op Mijn PO-Raad (na het inloggen in het ledenportaal).

Voor dringende vragen bel met 030 - 31 00 933. We zijn bereikbaar op werkdagen tussen 09.00 – 12.00 uur.

Helpdesk 2 mensen praten