'Criminelen hackten IT-dienst overheid NL, omvang onbekend door slechte logging'

Criminelen hebben afgelopen zomer een belangrijke IT-dienst van de Nederlandse overheid gehackt. De organisatie levert onder meer diensten aan een ministerie en de Autoriteit Persoonsgegevens. Door slechte logging zou bovendien onduidelijk zijn wat de omvang is van de hack.

Het gaat om de Justitiële ICT Organisatie (JIO), die onder meer de IT beheert voor het ministerie van Justitie en Veiligheid, de Autoriteit Persoonsgegevens, de Raad voor de Kinderbescherming en de Dienst Justitiële Inrichtingen. Anonieme bronnen melden aan Argos dat hackers zijn binnengekomen via een lek in thuiswerksoftware Citrix. Het gaat om hetzelfde lek waardoor het OM vorig jaar werd gehackt.

De Justitiële ICT Organisatie zei destijds 'uitgebreid onderzoek te doen' naar een mogelijk beveiligingslek. Later zei minister van Justitie en Veiligheid David van Weel dat er 'geen signaal is gekomen van mogelijk misbruik in de achterliggende IT-omgevingen' en dat de kwetsbaarheid was gerepareerd. JIO bevestigt nu aan Argos dat er wel een hack heeft plaatsgevonden.

Bronnen melden aan Argos dat de interne firewall door een configuratiefout ook 'in feite was uitgeschakeld' en dat de logging 'min of meer' uitstond. Daardoor zou JIO onvoldoende zicht hebben op hoeveel toegang de hackers hadden. JIO erkent dat de firewall 'meer verkeer doorliet dan strikt noodzakelijk was voor de reguliere werking'. Maar de logging werkte 'zoals het hoort te werken', stelt JIO.

Argos zegt dat 'verschillende betrokkenen' bij het ontdekken van de hack JIO adviseerden de systemen offline te halen, wat het OM ook deed. JIO koos hier bewust niet voor, omdat de organisatie volgens de bronnen niet kon inschatten in hoeverre IT-systemen van de gekoppelde overheidsorganisaties nog zouden werken. Zo zou JIO niet hebben geweten of enkelbanden dan nog wel gemonitord konden worden.

Overheid/Nederland. Bron: Thomas Winz/The Image Bank/Getty Images
Den Haag. Bron: Thomas Winz/The Image Bank/Getty Images

Door Hayte Hugo

Redacteur

Feedback • 15-03-2026 14:28
157 • submitter: Webgnome

15-03-2026 • 14:28

157

Submitter: Webgnome

Lees meer

Microsoft dicht Windows 11-lek dat hackers via server code laat uitvoeren
Microsoft dicht Windows 11-lek dat hackers via server code laat uitvoeren Nieuws van 16 maart 2026
Helft van Nederlands OM stuurt brandbrief over gebrekkige ict in organisatie
Helft van Nederlands OM stuurt brandbrief over gebrekkige ict in organisatie Nieuws van 21 november 2025
Nederlandse Openbaar Ministerie meldt herstel primaire systemen na hack van juli
Nederlandse Openbaar Ministerie meldt herstel primaire systemen na hack van juli Nieuws van 25 september 2025
Nederlandse rijksorganisaties slachtoffer van hack via Citrix-lek
Nederlandse rijksorganisaties slachtoffer van hack via Citrix-lek Nieuws van 22 september 2025
OM kan nog niet zeggen wanneer alle ict-systemen na aanval weer hersteld zijn
OM kan nog niet zeggen wanneer alle ict-systemen na aanval weer hersteld zijn Nieuws van 8 september 2025
'Chinese groep plaatste in mei blijvende backdoors op Citrix NetScaler-systemen'
'Chinese groep plaatste in mei blijvende backdoors op Citrix NetScaler-systemen' Nieuws van 1 september 2025
Bestaand NCSC-script spoort ook hacks via nieuw NetScaler-lek op
Bestaand NCSC-script spoort ook hacks via nieuw NetScaler-lek op Nieuws van 27 augustus 2025
NCSC verwacht snel grootschalige hacks via nieuw Citrix NetScaler-lek
NCSC verwacht snel grootschalige hacks via nieuw Citrix NetScaler-lek Nieuws van 27 augustus 2025
Citrix waarschuwt voor nieuwe actief misbruikte kwetsbaarheden in NetScaler
Citrix waarschuwt voor nieuwe actief misbruikte kwetsbaarheden in NetScaler Nieuws van 26 augustus 2025
NCSC: hackers misbruikten Citrix‑kwetsbaarheden al maand vóór ontdekking
NCSC: hackers misbruikten Citrix‑kwetsbaarheden al maand vóór ontdekking Nieuws van 13 augustus 2025
Nederlandse OM ontvangt weer e-mails na Citrix-hack
Nederlandse OM ontvangt weer e-mails na Citrix-hack Nieuws van 7 augustus 2025
Nederlands Openbaar Ministerie brengt eerste systemen weer online na cyberaanval
Nederlands Openbaar Ministerie brengt eerste systemen weer online na cyberaanval Nieuws van 4 augustus 2025
Justitie onderzoekt mogelijk Netscaler-lek bij Dienst Justitiële Inrichtingen
Justitie onderzoekt mogelijk Netscaler-lek bij Dienst Justitiële Inrichtingen Nieuws van 29 juli 2025
AD: Russische hackers zitten mogelijk achter hack in systemen van OM
AD: Russische hackers zitten mogelijk achter hack in systemen van OM Nieuws van 24 juli 2025
Openbaar Ministerie bevestigt dat lek in Citrix NetScaler is misbruikt
Openbaar Ministerie bevestigt dat lek in Citrix NetScaler is misbruikt Nieuws van 23 juli 2025
OM verwacht nog weken grotendeels offline te zijn door Citrix NetScaler-lek
OM verwacht nog weken grotendeels offline te zijn door Citrix NetScaler-lek Nieuws van 21 juli 2025
Meer producten en artikelen
Beveiliging en antivirus Citrix Hack Hackers Nederland Overheid

Reacties (157)

-Moderatie-faq
157
149
76
9
0
52
Wijzig sortering

Sorteer op:

Weergave:
Vink Mooi 15 maart 2026 14:38
Wat me het meest zorgen baart is niet eens de hack zelf, dat kan iedere organisatie overkomen, maar het feit dat de logging en monitoring "min of meer uitstond". Dat is geen technisch ongelukje, dat is een fundamenteel falen van basisprincipes. Je kunt niet zeggen dat je de boel serieus beveiligt als je achteraf niet eens kunt reconstrueren wat er is gebeurd.

En dan het besluit om de systemen niet offline te halen, deels omdat onduidelijk was of de enkelbanden van gedetineerden dan nog zouden werken. Dat legt een pijnlijk dilemma bloot: kritieke processen zijn zo nauw verweven met dezelfde infrastructuur dat je bij een incident eigenlijk geen goede keuzes meer hebt. Dat is een architectuurprobleem dat al veel eerder opgelost had moeten worden.

Het trieste is: dit patroon zagen we eerder ook bij het OM (Citrix, gebrekkige logging), bij DJI, bij de AP. Elke keer dezelfde conclusies, elke keer beloofde verbeteringen. Wanneer gaat hier nu eindelijk structureel iets veranderen in plaats van dat we wachten op het volgende incident?
Reageer
Oyxl @Vink Mooi15 maart 2026 20:52
Wat ik binnen onze eigen organisatie merk, is dat overal geknepen wordt, omdat er simpelweg te weinig geld binnen komt, door zeer nadelige contracten. Die contracten ontstaan, doordat winnen belangrijker is dan omzet/winst maken en in die contracten, die compleet uitgekleed zijn, wordt vervolgen door sales geen enkele ruimte gecreëerd om nog geld te kunnen verdienen. Dit komt ten dele door de wijze waarop aanbestedingen worden gegund. Ik wil geen details delen om te voorkomen dat duidelijk wordt welke organisatie dit betreft, dus dat laat ik achterwege, maar ik kan er wel over zeggen dat als je willekeurig een senior van een betreffend technisch component in het contract vraagt 'does it make sense? ', dan zal het antwoord volmondig 'neen' zijn.

Vervolgens vraag je jezelf af, Okay, wat hebben kosten te maken met de uitvoering van standaard werk. Nou, als je contracten zodanig gesloten zijn, dat er geen winst valt te behalen, dan ga je aan de achterkant zaken die geld zouden kosten op een weegschaal leggen. De technici die vechten voor het 'op de juiste manier' uitvoeren, leggen het af tegen het management waar maar één belang geldt en zij worden op termijn vervangen door het 'veel goedkoper, snellere en efficiëntere' near- en offshoring. Near en offshore partijen doen alleen afgesproken werk tegen afgesproken kosten, dus er wordt geen seconde meer proactief beheer gevoerd, maar slechts reactief en dan niet reactief op basis van publicaties van lekken, want dat soort kennis zou leergierigheid, verantwoordelijkheidsgevoel, eigen initiatief, analytisch denkvermogen en creatief oplossingsvermogen vereisen, iets dat geen van deze partijen ondersteunt (zelfs tegenwerkt), maar reactief in de zin, dat 'the shit has hit the fan' en nu moet achteraf ingegrepen worden.

Bij ons is voor sommige systemen ook geen logging (servers) ingericht. Dat is extra hardware, extra kosten, en dat komt op eigen rekening op een verliesmakend account. Zo zijn er nog wel enkele andere zaken te noemen die gewoon niet kloppen.

Echter, voordat ik volledig naar onszelf als dienstverlener wijs.. We hebben natuurlijk ook met de klant zelf te maken. Die maken er om vergelijkbare redenen zelf ook een potje van. En dat zijn soms organisaties waar het geld tegen de plinten aan klotst, maar investeren ho maar. Men gaat er prat op dat ze een prachtig contract hebben opgesteld waarbij alle vingers naar de leverancier kunnen als het mis gaat, dus als het in grijs gebied valt, dan doen zij zelf ook niet datgene wat technisch gezien de juiste move is.
Reageer
ieising @Oyxl16 maart 2026 07:00
Ik heb jaren geleden een artikel geschreven over hoe je als organisatie (leverancier en afnemer) jezelf tekort doet door je te richten op de prijs van 't contract. Ook dat dit door (wan)beleid, min of meer wordt afgedwongen,

Paywall-omzeilende link naat mijn artikel: https://medium.com/@arc-e-tect/vendor-centric-vs-customer-centric-752eeab5dbad?sk=3332cd2cccef9fc677215b71806c388c
Reageer
TEAser_ @ieising16 maart 2026 08:24
Er moet vanuit de overheid ook wetten gaan komen die het makkelijker maken voor individuen om schade vergoedingen te krijgen wanneer bedrijven ervoor kiezen om de beveiliging niet op orde te hebben. Misschien is dat dan een prikkel voor bedrijven om hun zaken op orde te hebben.

En stel bestuurders van de bedrijven direct verantwoordelijk voor wat hun bedrijven doen. Als een bedrijf dan structureel besluit zaken niet op orde te hebben kan het OM en particulieren het management van het bedrijf direct aanklagen en straffen, in plaats van het bedrijf als alleenstaand rechthebbende

[Reactie gewijzigd door TEAser_ op 16 maart 2026 08:25]

Reageer
Siaon @Oyxl15 maart 2026 22:04
In Nederland is het doctrine sowieso 'efficientie' 'efficientie' 'efficientie' ...

Terwijl je voor kritieke systemen geen efficientie als hoofddoel wil nastreven, maar robuustheid, overcapaciteit, redundantie, en onafhankelijkheid.

Ik denk dan ook dat alle problemen die we zien in feite symptomen zijn van een (slecht) ideaal dat wordt nagestreefd. Het is systeemfalen.

Je ziet ook keer op keer de problemen zich herhalen, terwijl er niet wordt nagedacht over waarom het een probleem is. De Nederlandse overheid zit vast in haar axiomen en dogma's.
Reageer
aldieaccounts @Siaon15 maart 2026 22:40
>In Nederland is het doctrine sowieso 'efficientie' 'efficientie' 'efficientie' ...

>Terwijl je voor kritieke systemen geen efficientie als hoofddoel wil nastreven, maar robuustheid, >overcapaciteit, redundantie, en onafhankelijkheid.

Hear hear.

Maar de nederlanders zijn altijd nogal op de centen en mogen graag klagen over inefficientie bij de overheid.

Hetzelfde geldt trouwens m.i. voor het Openbaar Vervoer.
Reageer
360Degreez @aldieaccounts16 maart 2026 09:48
De overheid kiest bewust voor de goedkoopste aanbieder omdat ze er inmiddels toch wel rekening mee houden dat de kosten minimaal vier keer over de kop gaan.

Bij vrijwel elk wat groter overheidsaanbestedingstraject heb je namelijk te maken met een veel te grote club mensen die zich met hetzelfde project bemoeien. Van de veel te brede laag middlemanagement tot de consultancyclubjes die er, 'a €150 per uur de kop, baat bij hebben een project zo lang.. mogelijk... te.... rekken......

Kosten daargelaten zorgt die overcrouding ook voor slechte communicatie, slechte documentatie en een verschrikkelijk stroperig ontwikkeltraject. Nog maar niet te spreken over een matig eindproduct dat bij het overschrijden van het budget onder de enorme tijdsdruk afgeraffeld of afgeblazen moet worden.

Helaas ben ik maar een simpele boerenl*l, maar als ik zo'n project zou mogen draaien zou ik deze onderbrengen in een (tijdelijke) entiteit met een vooraf zorgvuldig samengesteld klein en goedbetaald team van experts die met een vast ruim budget en timeframe op een externe locatie aan de slag gaan zonder de afleiding van de politiek.
Reageer
curkey @360Degreez16 maart 2026 11:26
Linksom of rechtsom, je hebt de Wet van Behoud van Ellende.

Ga je elders ontwikkelen zonder de business erbij te betrekken, dan ga je nooit gebouwd krijgen wat er nodig is. Verder krijg je dan het Not Invented Here principe, en dat gaat je parten spelen bij de implementatie van je change management. De business zit niet op jouw werk te wachten en zullen alles compleet afschieten en saboteren.
Reageer
aldieaccounts @360Degreez17 maart 2026 16:21
>De overheid kiest bewust voor de goedkoopste aanbieder omdat ze er inmiddels toch wel rekening mee houden dat de kosten minimaal vier keer over de kop gaan.

Op zich misschien waar. Maar dat de kosten vaak 4x over de kop gaan is ook een (indirect) gevolg van dat de overheid altijd de goedkoopste aanbieder neemt.

Ik herinner me een reportage (ik denk ooit in de volkskrant? weet het niet precies meer) over grote infrastructurele projecten bij de overheid waar het volgende patroon werd waargenomen:

- overheid moet openbaar aanbesteden

- rijksbouwmeester met verstand van zaken is wegbezuinigd

- overheid is verplicht de goedkoopste (of 1 van de goedkoopste) aanbieder te nemen.


Gevolg: Aanbieders gaan offertes doen die helemaal niet realistisch zijn, omdat dat de enige manier is om de goedkoopste te zijn. Voor dat geld van de offerte ga je het dan niet redden als aannemer maar dan heb je de klus binnen en de overheid heeft niks aan een halve tunnel, dus als het geld op is wordt er sowieso wel bijbetaald. En aangezien de overheid zelf nog maar mondjesmaat zelf doorrekent wat de aannemers voorschotelen gaat het budget dus daardoor altijd X keer over de kop.

Dat zou op zich niet erg zijn, maar vaak nemen de overheden wel besluiten over de (financiele) haalbaarheid van een project op basis van die (onrealistische) offertes.

Nou ging dit artikel geloof ik destijds over de noord-zuid lijn in amsterdam en de (toen net afgerondde) tramtunnel in den haag en dat is al even geleden. Dus wellicht is er sinds die tijd weer wat gedaan aan de expertise binnen de overheid.
Reageer
Bjorn89 @aldieaccounts16 maart 2026 04:18
Omdat sommige processen enorm bureaucratisch moeilijk gemaakt worden. Probeer maar eens wat bij te bouwen bij je huis. Kom je niet eens doorheen. We zijn erg inefficiënt in veel lagen, en de overheid bemoeit zich sowieso té veel met de mensen momenteel.
Reageer
Henno Keers @Bjorn8916 maart 2026 09:53
Het zijn de kiezers die de overheid inrichten. Kiezer, kijk in de spiegel.
Reageer
Teenpasta @Henno Keers16 maart 2026 12:58
Ik heb juist de indruk dat er niet naar de kiezers wordt geluistert. Het probleem ligt vaak bij slecht management dat geen duurzame beslissingen neemt, niet bij de kiezers.
Reageer
lappro @Teenpasta16 maart 2026 13:32
Als ik zie hoe groot de populistische partijen zijn, verbaasd het me niet dat dat gevoel heerst. Die partijen waren vanaf het begin al niet van plan te doen wat ze zeggen. Die voeren weer beleid wat vooral nu punten scoort en daarmee zijn duurzame beslissingen onpopulair.
Reageer
Karel_Appel @Henno Keers16 maart 2026 14:26
Wat een onzin. Als je gestemd hebt op een coalitiepartij dan deels, maar om een coalitie te vormen worden er concessies gedaan, dan heb je gestemd maar komt een belangrijk punt voor jou als kiezer er alsnog niet door.

Echt zo'n dooddoener die opmerking.
Reageer
johanneslol @Siaon15 maart 2026 23:47
De meeste bedrijven in nederland kennen het verschil tussen kosten en waarde niet. Goeie logging kost geld, maar bij een hack is het extreem waardevol. Verder kan het helpen grote boetes en imago schade te voorkomen.
Reageer
Henno Keers @johanneslol16 maart 2026 09:52
Heel goed punt. De meeste Nederlanders / organisaties weten niet wat een resource / middel is die vitaal is voor het functioneren van hun organisatie of ons land. Alles is een kostenpost. (waarop bezuinigd kan worden). Terwijl bij veel zaken die een vitale resource zijn het niet zoveel uitmaakt wat ze kosten, als je ze niet meer hebt functioneer je als eerste wereld land / maatschappij / organisatie niet meer.

[Reactie gewijzigd door Henno Keers op 16 maart 2026 11:09]

Reageer
Raymond Deen @Henno Keers16 maart 2026 10:40
Het gekke is dat IT vrij vaak nog steeds als kostenpost wordt gezien terwijl het in feite de boot is waar de rest van het bedrijf op drijft.
“Alles” is tegenwoordig geautomatiseerd en alleen meer ervaren personeel dat zich nog staande heeft weten te houden weet zich denk ik te redden wanneer ineens het internet uitvalt.
Reageer
Raymond Deen @johanneslol16 maart 2026 07:27
Niet alleen bij een hack zijn logging en auditing waardevol, maar ook bij fraude in het algemeen en bij schade claims en andere disputen. Je wilt dan gewoon kunnen zien wat er stap voor stap gebeurd is en wat er ondertussen fout is gegaan.
Reageer
johanneslol @Raymond Deen16 maart 2026 08:41
Ooh ja 100% maar ook gewoon "klant meld dat X soms niet werkt" dan kan je gewoon kijken in de logging of er iets bijzonders is gebeurd is
Reageer
TEAser_ @Siaon16 maart 2026 08:28
Nederlandse overheid zit ook vooral vast in het uitbesteden van IT. Toen mijn vader decennia geleden voor de overheid als ITer werkte moesten ze alle code op papier schrijven omdat de overheid van mening was dat typisten sneller konden typen en omdat typisten een lager salaris hadden was dit goedkoper. Dus toen heeft mijn vader en zijn collegas alles op papier geschreven en vervolgens een dag of twee moeten wachten tot de code in het systeem stond om getest te worden.

Je kunt al goed inzien dat dit allesbehalve een snellere manier van werken was en zorgde voor veel problemen. Maar ja overheid betaald, overheid bepaald, dus ze gingen er gewoon mee door.
Reageer
Henk Marinus @Oyxl16 maart 2026 05:30
Een verkoper zal bij de volgende verjaardag niet vertellen hoe hij voor meer winst heeft gezorgd. Wel dat hij een mooie klant heeft weten binnen te halen.

Beetje flauw, maar onbewust en indirect zal dat toch een factor zijn... Het succesverhaal.
Reageer
redniels @Oyxl16 maart 2026 09:06
Dank. Als iemand aan de andere kant doet dit mij op een rare manier "goed". Je kan met nog zoveel architectuurprincipes zwaaien, je kan blijven duwen op governance maar op het eind van de dag is en blijft het:

Money talks. Dat geld voor beide kanten.
Reageer
Xerpan @Oyxl16 maart 2026 09:10
Daarom moet de overheid zaken weer in eigen beheer nemen en zelf ontwikkeling doen.
Reageer
_eLMo_ @Vink Mooi15 maart 2026 18:58
Heel veel wordt niet gelogd omdat je veel niet mag bewaren onder de AVG of je datastromen moet anonimiseren waarbij dat heel moeilijk is (PDF’s bijvoorbeeld).
Het is dus niet zo zwart/wit als “logging aanzetten”.
Reageer
William_H @_eLMo_15 maart 2026 19:53
Gaan we weer. Niet alles wordt tegengehouden door de AVG. Dit soort dingen mag gewoon. Noodzakelijke gerechtvaardigde verwerking is gewoon toegestaan. Zeker als het gaat over een werksituatie. Er worden geen bijzondere persoongegevens verwerkt met logging.
Uit je antwoord kan ik alleen maar lezen dat je niet weet wat logging is en inhoudt op bedrijfsnetwerkniveau.
Reageer
Raymond Deen @William_H16 maart 2026 07:31
Precies, je kunt prima met id’s van velden werken in plaats van de werkelijke veldwaarde zodat privacy gevoelige zaken niet in logs terecht komen.
Reageer
ChillinR @William_H16 maart 2026 07:56
Er worden geen bijzondere persoongegevens verwerkt met logging.
Dat is wel een beetje kort door de bocht. Als iemand een account probeert aan te maken en dat mislukt, dan heb je bijvoorbeeld nog geen gebruikers-id. Om dat toch te kunnen vinden en koppelen aan de gebruiker zal je iets unieks van de ingevulde gegevens moeten loggen, zoals een emailadres. Oke, in veel gevallen kan je een deel ervan wel maskeren.
edit:
Emailadres is geen bijzonder persoonsgegeven. https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacy-en-persoonsgegevens/wat-zijn-persoonsgegevens#bijzondere-persoonsgegevens . Dank, @mjtdevries
Reageer
mjtdevries @ChillinR16 maart 2026 14:20
Een emailadres is geen bijzonder persoonsgegeven. Bijzondere persoonsgegeven zijn dingen als ras, religie, gezondheid etc.
Die log je niet in security logging.
Reageer
friket @William_H16 maart 2026 08:16
Ik weet niet was er standaard onder de AVG valt, maar zaken als locatie, website bezoek, applicatie gebruik, communicatie metadata, etc wordt in ieder geval wel gelogd door bijvoorbeeld defender.
Reageer
Ghostier @friket16 maart 2026 08:47
Website bezoek is normaal gesproken de kern van waaruit gelogd wordt. Applicatie kan in de logging waar het relevant is. Communicatie metadata is de sleutel gegevens die mogen. (Al wel verstandig te controleren wat in die metadata zit.). Locatie is meestal wat situationeler, en vaker irrelevant en zou meestal afgekeurd worden door de AVG regels als het op individu toegepast wordt(herleidbaarheid versus belang). De metadata zou voor voldoende herkenning zorgen, zoals in communicatie mac-adressen, en breder GTIN nummers. En tijdstip van gebeuren. Windows defender is ook niet het beste voorbeeld omdat je het gelijk over een stuk amerikaans software hebt.
Reageer
Erikkamm @_eLMo_15 maart 2026 19:25
Leg dat eens uit. Anonieme logging is geen logging. Ik heb niet het idee dat de AVG zo in elkaar zit. Dan kun je ook gelijk stoppen met de NIS2 en de cbw. Want beveiligen is dan vrijwel onmogelijk. Je kunt dan namelijk ook geen SIEM /SOC gebruiken. Want je weet toch niet waar het mis gaat. Je weet dan slechts dat het mis gaat.

Het gaat er denk ik meer om wie er wat met de logging mag doen, en je dus een logging beleid hebt.
Reageer
TWeaKLeGeND @Erikkamm15 maart 2026 20:23
Netwerkniveau logging heeft over het algemeen niks te maken met avg
Reageer
mjtdevries @TWeaKLeGeND16 maart 2026 14:18
Tuurlijk wel. Als je security logging doet, dan log je uiteraard wie er dingen doet. (op zijn minst een IP adres) en dat zijn persoonsgegevens die onder de AVG vallen.
Maar dat betekent niet dat je ze niet zou mogen loggen. In het kader van het beveiligen van je omgeving mag je dit soort dingen ook volgens de AVG gewoon loggen. Je moet alleen de toegang tot die logs wel goed regelen.
Reageer
Erikkamm @mjtdevries17 maart 2026 11:24
Helemaal mee eens. Dat was dus precies mijn punt.
Reageer
IStealYourGun @_eLMo_15 maart 2026 19:10
Ik denk niet dat dit het probleem is. Iedereen heeft een arbeidsreglement ondertekend en is dus normaal wel op de hoogte dat er logging gebeurt in kader van veiligheid, wat volgens mij is toegestaan, zolang je correct met die data omgaat. Dat wil zeggen, niet iedereen heeft toegang en de data wordt enkel gebruikt voor het uitvoeren van de job.
Reageer
Burning @IStealYourGun15 maart 2026 19:17
Ongeacht wat je in een arbeidsovereenkomst of contract zet, moet dat wel rechtsgeldig zijn. Je kan medewerkers dus niet hun rechten laten 'weg tekenen' . Wat je wel en niet mag loggen en waarom wordt nog steeds bepaald door de AVG.
Reageer
Zentac @Burning15 maart 2026 19:57
Je mag absoluut wel loggen wie wat heeft opgezocht op interne systemen.
Reageer
sympa @Zentac15 maart 2026 20:28
En hoe je die logging gebruikt, daar zijn wel regels voor. Bijvoorbeeld alleen onderzoeken bij verdenking van misbruik. Of proactief onderzoeken om misbruik te detecteren. Maar niet: analyseren om de ijverigste medewerker te vinden. Of analyseren om te kijken wie er spijbelt.
Reageer
Raymond Deen @Zentac16 maart 2026 07:35
Dan log je bijvoorbeeld “Gebruiker {guid} heeft record {id} van tabel Salaris gelezen.”
Op die manier weet je precies wat de actie geweest is.
Reageer
Burning @Zentac16 maart 2026 09:13
Klopt, ik schrijf nergens het tegendeel, enkel dat de AVG boven een arbeidsverenkomst staat.
Reageer
SilentLucidity @Burning15 maart 2026 22:15
Wet gaat boven de arbeidsovereenkomst, inderdaad. Maar het mogen loggen van belangrijke zaken zoals access logs gaat dan gelukkig weer boven de AVG. En anders log je dat gebruiker met id 1 iets heeft bekeken, dan weet je in ieder geval dat het is bekeken. Kan je afhankelijk van de ernst later bepalen wie gebruiker 1 al dan wel niet is geweest.
Reageer
TEAser_ @_eLMo_16 maart 2026 08:33
Sorry maar dit is gewoon klinkklare onzin, onder logging valt ook gewoon loggen welk IP welke data opvraagt, dan hoef je niet in de log neer te zetten wat de inhoud van de data request was.

Maar je kan wel neerzetten dat IP X toegang vroeg naar Data Y en die data verkreeg via authenticatie Z en via welke endpoints de toegangsaanvraag plaatsvond, en met welke request header. Ga zo maar door.

Allemaal informatie die uiterst handig is bij het identificeren van waar de requests gedaan worden(mits er geen VPNs gebruikt worden), maar vooral om te zien welke route de aanvallers gevolgt hebben zodat je die specifieke routes tijdelijk kunt uitzetten inplaats van het advies: "gooi het hele systeem maar plat".

Ik weet niet waar u het vandaan haalt dat men de letterlijke data moet loggen maar ik kan u verzekeren dat dit (vrijwel)nooit nodig is.
Reageer
kabelmannetje @_eLMo_15 maart 2026 21:18
En wat heeft dit te maken met logging van een firewall? Deze logt slechts verdacht verkeer, niet een of andere pdf die via https op inhoud gescand wordt.
Reageer
dasiro @Vink Mooi15 maart 2026 19:08
Ik ken hun inhoudelijke systemen niet, noch wat er exact gebeurd is, maar veel dingen zijn niet zomaar een kwestie van ff een vinkje aan te zetten en dan maar onbeperkt bij te houden. Als je het al hebt aangezet/opgezet is het vaak nog zo dat default settings zwaar tekort schieten of net het tegenovergestelde zijnde zo véél ongewenste logs genereren dat ze niet bruikbaar zijn.

Het opzetten van correcte en nauwgezette logs is bijna een kunst op zichzelf te noemen en moet consequent doorheen de setup en het gebruik van élk systeem meegenomen worden op hetzelfde niveau als backup en rechtenbeheer als je het goed wil doen en dat is niet iets wat je achteraf simpel bij aan kan zetten.
Reageer
BytePhantomX @Vink Mooi15 maart 2026 19:52
Dat is wat mij betreft een reactie die wat kort door de bocht is. Logging vastleggen kan complex en kostbaar zijn. Zeker als je veel systemen en veel transacties hebt, en als je de logging ook nog een tijd wil/moet bewaren. Daarbij wil je die logging vaak ook nog in SIEM tooling verwerken, anders kun je de logging wel hebben, maar is deze niet (centraal) doorzoekbaar.
Reageer
Vink Mooi @BytePhantomX15 maart 2026 20:18
Dat punt over kosten en complexiteit klop ik je niet af, je hebt gelijk dat logging op schaal een serieuze technische en financiële uitdaging is. Maar we hebben het hier niet over een startup met een krap budget. Dit is een overheidsorganisatie die kritieke infrastructuur beheert, waaronder systemen waaraan de vrijheid van gedetineerden letterlijk gekoppeld is.

Op dat niveau is "logging is duur en complex" geen excuus, het is juist het argument vóór investering. De AVG, BIO (Baseline Informatiebeveiliging Overheid) en NIS2 schrijven adequate logging en monitoring niet voor niets voor. Als je daar niet aan kunt voldoen omdat het "te complex" is, dan is dat een risico dat bewust geaccepteerd en gedocumenteerd had moeten worden, niet iets dat stilletjes blijft liggen totdat er een incident is.

En dan de SIEM-opmerking: helemaal mee eens dat logging zonder centrale doorzoekbaarheid beperkt nuttig is. Maar dat is dan toch het gesprek dat je voert bij de begrotingsaanvraag? "We hebben logging nodig en SIEM-tooling om het bruikbaar te maken." Dat is geen onredelijke eis voor een organisatie op dit niveau. Het is eerlijk gezegd het absolute minimum.

Mijn punt was dan ook niet dat logging makkelijk is. Mijn punt is dat het kennelijk jarenlang geen prioriteit heeft gekregen, bij meerdere overheidsorganisaties, terwijl de risico's bekend waren. Dat is een bestuurlijk probleem, geen technisch.
Reageer
Raymond Deen @Vink Mooi16 maart 2026 07:39
Logging in dat soort systemen is hopelijk gewoon opgenomen in de functionele eisen zodat is vastgelegd wat er wanneer gelogd moet worden. Zo niet, dan mag er gerust forse kritiek zijn.
Reageer
BytePhantomX @Vink Mooi16 maart 2026 10:45
Eens dat je het mee moet nemen, maar dit is wederom zo'n vraagstuk waar je bestuurderds lastig mee gaat krijgen in de keuzes die ze moeten maken en de prioriteiten die ze moeten stellen.

En misschien de negatieve insteek, waar je wel een antwoord op moet hebben. Waarom zou je tonnen (of soms miljoenen) per jaar moeten uitgeven voor het vastleggen van logging, alleen maar om beter forensisch onderzoek te kunnen doen.

Ik ben het helemaal met je eens dat dit op een begroting moet landen en het gesprek er over gevoerd moet worden. Maar dit kun je niet los zien van de context waar overheid moet bezuinigen en op de kosten moet letten.
Reageer
djwice @Vink Mooi16 maart 2026 00:18
Stel je generert 1TB aan firewall (in .gz) logs per dag.
En de opdrachtgevers willen niets betalen (want niet functioneel voor eindgebruiker) om de logs langer dan operationeel nodig te bewaren.
En het is uitbesteed aan een 3e partij die kosten reductie gebaseerd wordt aangestuurd.
En die ziet de week niets bijzonders, wellicht gooit ie ze dan "gewoon" na 7 dagen weg om disk ruimte en dus kosten te besparen. Net als je met bewakingscamerabeelden, toch?

Ik zeg niet dat het hier het geval was.
Ik weet wel dat er grote organisaties zijn waar dit voorkomt.

[Reactie gewijzigd door djwice op 16 maart 2026 00:25]

Reageer
Bjorn89 @djwice16 maart 2026 04:21
Vooral nu met de verhoogde prijzen van geheugen en storage dankzij de AI geilheid (want we kunnen niet langzaam ontwikkelen, nee alles moet morgen al 10 jaar verder zijn). Dus systemen als dit gaan ook onderspit delven dan. Kosten reizen de pan uit voor aanschaf en opslag van data(bij wijze van spreke). Want ik hoop dat men niet dom genoeg is om een cloud service te gebruiken daarvoor, maar eigen servers in beheer heeft.
Reageer
djwice @Bjorn8916 maart 2026 07:29
Wat ik beschrijf gebeurde al voordat de LLMs haar intrede deden in het bedrijfsleven. Het is dus niet gerelateerd aan AI of opslag prijsstijgingen.

Voordat taalmodellen haar intrede deden in het software ontwikkelproces was er drang naar kwaliteit en snelheids optimalisatie in dat proces.
Denk aan SonarQube, CI/CD-pipelines, Git, Scrum, BDD, TDD; dingen die nu normaal zijn, maar 15 jaar geleden werd er maar op enkele projecten automatisch getest.
Ik heb teams door toepassen van best practices in hun ontwikkelrroces, meer dan laten verdubbelen in snelheid, terwijl de teamsfeer, trots omhoog gingen en stress beleving omlaag
En het aantal productie incidenten naar zo goed als nul, en het aantal releases van 1 per 3 tot 6 weken naar meerdere keren per dag.

En juist die teams hebben veel baat bij AI: doordat de kwaliteit al hoog is en automatisch testen al basis is van hun cultuur, eerst testen schrijven, dan pas code. Juist die teams versnellen nóg meer met AI en laten het voor hen werken.
Teams die nog geen volwassen CI/CD (flying noemde we dat vroeger) en test driven gedrag hebben, worstelen veel meer omdat ze nu versneld volwassen moeten worden in hun best practices, dus een cultuurverandering. Doen ze dat niet, dan is AI vaak ook lost in hun repo en vertraagt het team nog verder t.o.v. wat mogelijk is.

Zie het als een timmerman met een guts versus een met een bovenfrees om de rand van een plaat te versieren. De timmerman zonder bovenfrees maar die het wel af en toe probeert blijft maar zeggen dat het apparaat minder nauwkeurig is, uitschiet en dan veel herstelwerk kost. En het met de hand toch altijd beter is.
Versus de timmerman die zich niet alleen vaardig heeft gemaakt in handwerk, maar ook leert hoe de nieuwe tools in te zetten en wanneer. Die levert nu zelfs nog mooiere randen en afwerkingen, maar het kost hem minder tijd en energie. Uiteraard kwam dit niet vanzelf, nieuwe best practices: gehoorbescherming, stofkapje, afzuiging, oefening, geleiders om maar wat te noemen.
Beide leveren werk van hoge kwaliteit, de kostprijs en levertijd verschillen. En het handwerk is minder perfect, uniform, etc.
Inmiddels loopt de laatste ook prefab platen, hij heeft iemand gevonden die robots de vrees machine laat bedienen. Zeer consistente kwaliteit. De omgeving in die houtbewerkingsonderneming is volledig aangepast aan de robots, ze zorgen dat de robot altijd de juiste producten levert in de gewenste vorm en maat. En dat de machine het materiaal pas vrij geeft al het veilig is, zowel om het te distribueren als te verwerken.

[Reactie gewijzigd door djwice op 16 maart 2026 07:38]

Reageer
Kabouterplop01 @Vink Mooi16 maart 2026 08:24
Als de CISO onder de IT directie valt, kan de IT directeur zeggen: " Oh dat risico, dat accepteren we wel"
Pentesten en red team testen waarbij de resultaten na een veel te lange tijd nog niet zijn opgelost.
En als het naar buiten begint te sijpelen, dan heeft diezelfde directeur een functie elders en hoor je er nooit meer wat van.
Reageer
Enjoyer 15 maart 2026 14:33
Wederom reden genoeg voor de Overheid om eens goed na te denken hoe om te gaan met privacy gevoelige informatie en wat ze van de burgers mogen en willen verwachten met online verificatie.

Ik heb het idee dat de risico's van het bewaren van data en andere gevoelige informatie met betrekking tot wat voor systemen dan ook, toch een beetje onderschat wordt. Hacken is misschien wel niet tegen te gaan, maar de manier waarop gegevens opgeslagen worden heeft dan misschien toch een andere aanpak nodig.
Reageer
Lisadr @Enjoyer15 maart 2026 16:16
Het is niet zo dat risico's worden onderschat. Er zijn 4 problemen.

 
  1. Er zijn nauwelijks gevolgen voor organisaties en mensen als het fout gaat. In tegenstelling tot sommige commerciële organisaties of banken.
  2.  IT-directeurs en managers worden aangenomen via de Algemene Bestuursdienst, met connecties als belangrijke reden en niet gebaseerd op vaardigheden en trackrecord.
  3. Sterke afhankelijkheid van leveranciers, zonder kennis bij Directie/Manager om regie te behouden.
  4. Grote verdeeldheid binnen de overheid. Zelfs binnen een minister kunnen er 20 CIO’s en 20 CISO’s rondlopen.

     
Gevolg is dat je er een puinhoop van kan maken en vervolgens promotie krijgt, dankzij de Algemene Bestuursdienst
Reageer
Enjoyer @Lisadr15 maart 2026 20:09
Ja het is juist dat waarschijnlijk.

Vandaag de dag zal er wel iets gedaan moeten worden, om de cyber security flink op te schroeven. Ik denk dat minimalistisch omgaan met wat de overheid en bedrijven mogen qua data verzameling en de opslag hiervan, daar wel onderdeel van hoort te zijn. Wat niet opgeslagen is, kan ook niet lekken, zogezegd.
Reageer
JosK1983 @Lisadr16 maart 2026 12:59
Een georganiseerde puinhoop.
Reageer
Fermion @Enjoyer15 maart 2026 15:00
Het is altijd de overheid, pas op, het zij vaak ook de aanbieders van de solutions die de zaken niet op orde hebben. Ja, overheid moet de requirements goed op tafel leggen maar vaak is dat niet zo. Het gebeurd vaker dan je denkt, de huidige management heeft geen idee, ze zien alleen kosten.
Reageer
Enjoyer @Fermion15 maart 2026 15:03
Zeker zijn het ook aanbieders, maar ik doel meer op het feit dat de Overheid wel strengere wet en regelgeving hieromtrent in werking kan stellen. Betere audits doen, transparantie met betrekking tot security wellicht verplichten? Etc.
Reageer
Shal-Ziar @Enjoyer15 maart 2026 15:31
Nee de oplossing hiervoor zou, imho zijn dat de overheid zelf weer zijn eigen IT regelt. Ipv uit te zetten aan de markt. Toezicht houden op iemand die werk voor je doet zonder dat je zelf het specialisme in huis hebt is bijzonder lastig.
Regelgeving is ook het issue niet, die is al sterk zat. De hoeveelheid tijd die wordt besteedt binnen de overheid om compliance op orde te hebben is eerder teveel dan te weinig. Maar, zoals ik hierboven stel, vaak moet de overheid uitgaan van aannemers die het werk uitvoeren. En als er binnen de overheid geen mensen zijn die actief door de configuraties lopen omdat deze zijn uitbesteedt is de route van een signalering van een probleem traag en zeer indirect.
Reageer
Enjoyer @Shal-Ziar15 maart 2026 15:57
Zeker, maar de wet en regelgeving die ik bedoel geldt niet alleen voor de IT en Security voor zaken met betrekking tot de Overheid. Ik bedoel in het algemeen, ook met betrekking tot algehele online privacy en data collection, etc. Bijvoorbeeld: OS level ID verification, Online ID/Age verification, Profiling, Data collection, dit is allemaal interconnected waardoor ik dus vind dat de Overheid dus anders mag gaan kijken naar "Privacy & Security".

Maar ik ben het zeker met je eens dat de Overheid zelf, voor hun eigen diensten, dit intern moeten uitbesteden.
Reageer
Aardwolf @Enjoyer15 maart 2026 16:16
Dit intern moeten uitbesteden? dat klinkt nogal tegengesteld. Of bedoelde je intern uitvoeren door eigen medewerkers?
Reageer
downtime @Aardwolf15 maart 2026 17:46
Ik weet ook niet wat @Enjoyer daar precies bedoeld maar intern aanbesteden bij een zogenaamd Shared Service Center (SSC) bestaat natuurlijk wel. Dat is gewoon een eigen IT organisatie die voor meerdere overheidsorganisaties werkt.
Reageer
William_H @downtime15 maart 2026 19:56
Dat werkt natuurlijk veel beter. Kennis wordt gebundeld, wielen worden niet telkens opnieuw uitgevonden. Best practices worden op meer plaatsen toegepast.
Reageer
2TheMaks @William_H15 maart 2026 20:48
Dat werkt natuurlijk veel beter. Kennis wordt gebundeld, wielen worden niet telkens opnieuw uitgevonden. Best practices worden op meer plaatsen toegepast.
Dat zou je denken, ware het niet dat overheidsorganen met klinkende namen als Shared Service Center (SSC) in de praktijk slechts een verzameling stovepipes is waar bureaucratie de boventoon voert.
Reageer
William_H @2TheMaks16 maart 2026 11:22
Dat is ook meer een uitvoeringsdienst in de zin van werkplekbeheer toch?

Ik bedoel dan meer richting het initiatief dat er loopt voor een Digitale Dienst.
Die gaat werken als centraal punt voor advies en uitvoering van de technische implementatie bij nieuwe en veranderende wetgeving. Zodat niet 10x het wiel uitgevonden gaat worden door 10 verschillende ministeries, en ook de kennis centraal beschikbaar blijft. Ook handig voor aanbestedingen etc.

[Reactie gewijzigd door William_H op 16 maart 2026 11:26]

Reageer
Enjoyer @Aardwolf15 maart 2026 20:05
Ik bedoelde inderdaad intern uitvoeren. Wellicht zoals @downtime aangeeft. Ik ben zelf niet precies op de hoogte hoe dat allemaal werkt, ik denk min of meer een eigen "IT" bedrijf binnen het overheidsorgaan. Wat dan in principe ook ambtenaren zijn. Maar waarschijnlijk is dit al dat Shared Service Center?
Reageer
Punkbuster @Shal-Ziar15 maart 2026 15:34
Dit is ook de weg naar voren, maar de verschillende overheids instanties moeten het dan wel gezamenlijk doen. Nu doen verschillende organisaties hetzelfde werk, maar er is 0 samenwerking. Hier ligt een sleutel voor succes.
Reageer
djmuggs @Punkbuster15 maart 2026 20:48
Zolang men binnen de overheid elkaar niet vertrouwd is samenwerken erg lastig.

Verder zijn er ook ministeries en diensten die niet van elkaar gebruik mogen maken ivm verschillende belangen die kunnen botsen.


Het is allemaal veel complexer dan men denkt.


Dus dan krijg je dat er allerlei verschillende competenties verspreid zijn binnen de overheid met alle gevolgen van dien.
Reageer
Sebas1979 @Shal-Ziar16 maart 2026 12:42
JIO ís een overheids-organisatie… het is een shared service center voor verschillende uitvoeringsinstanties onder MinJ&V.

Dus tja, zeg het maar: iedere onderdeel weer N eigen IT? Kan vast, maar of het daar echt beter van wordt?
Reageer
vanstra @Enjoyer15 maart 2026 19:30
"We’ve been saying this for years now, and we’re going to keep saying it until the message finally sinks in: mandatory age verification creates massive, centralized honeypots of sensitive biometric data that will inevitably be breached. Every single time. And every single time it happens, the politicians who mandated these systems and the companies that built them act shocked—shocked!—that collecting enormous databases of government IDs, facial scans, and biometric data from millions of people turns out to be a security nightmare."

https://www.techdirt.com/2026/02/25/hackers-expose-the-massive-surveillance-stack-hiding-inside-your-age-verification-check/
Reageer
jongetje 15 maart 2026 14:38
Tja, nu heb ik wel bij een aantal ministeries gewerkt. En om daar binnen te komen is al vaak "ervaring bij de overheid" vereist. Dat betekend eigenlijk:

Je moet kunnen omgaan met eindeloze processen die voor niemand duidelijk zijn. We doen het omdat we het al jaren zo doen. En we lopen vooral niet even een stapje harder als het nodig is. En als laatste, ik zit hier in mijn kamer en praat met zo min mogelijk mensen.

Verbaasd mij helemaal niets als ik zie hoe het er soms werkt.
Reageer
adje123 @jongetje15 maart 2026 14:51
Als ik als tester bij een nieuwe klant binnenkom en ik vraag vervolgens “waarom testen jullie op deze manier”, dan krijg ik 9/10 keer te horen “geen idee, we doen het al jaren zo”. Evalueren, mensen opleiden, mensen die zichzelf actueel houden met de veranderde wereld, is steeds zeldzamer aan het worden. En dan straks verbaasd zijn dat AI je baan het overgenomen.
Reageer
ApexAlpha @adje12315 maart 2026 15:09
Ja dit is een logisch gevolg van het gebrek aan reorganisaties bij de overheid.

Als je nooit reorganiseert gaan enkel de goede weg, want die hebben kansen. Wat achterblijft is iedereen die niet ergens anders aan de bak komt.

Vervolgens moet je die kennis weer terug inhuren als ZZP'er als er daadwerkelijk iets moet gebeuren maar nu dwingt de overheid je die te wisselen elke 2 jaar.

Gevolg? Weinig interne IT en een bak aan SaaS producten want een dienst afnemen kan iedereen, IT ontwikkelen niet.
Reageer
tweaker2010 @ApexAlpha15 maart 2026 15:45
Er is net een nieuw kabinet aangesteld en de vorige reorganisatie is nog niet afgerond en de volgende bezuiniging komt er weer overheen. Misschien iets met politieke motieven en daarom steeds te laat.
Reageer
Lisadr @ApexAlpha15 maart 2026 16:23
Vervolgens moet je die kennis weer terug inhuren als ZZP'er als er daadwerkelijk iets moet gebeuren maar nu dwingt de overheid je die te wisselen elke 2 jaar.
Salaris en arbeidsvoorwaarden spelen ook een rol bij specialistische IT-functies.

Binnen de overheid zelf is het gebruikelijk ZZP'ers veel langer dan 2 jaar in te huren, waarbij de ZZP'er jaren fulltime (32 of 36 uur) blijft. 2 jaar direct, 2 jaar via broker 1, 2 jaar via broker 2, enz.
Reageer
SuperDre
@adje12315 maart 2026 16:12
Waarom verbaasd zijn over AI je baan overnemen? Dat heeft niets te maken met de situatie van hoe goed of op welke manier getest/ontwikkeld wordt.
Reageer
adje123 @SuperDre15 maart 2026 16:14
Dat zeg ik ook niet.
Reageer
Oon @adje12315 maart 2026 16:34
Sterker nog, de weerstand tegen mensen die wél hun best doen om vooruit te blijven gaan wordt ook steeds groter. Niet alleen bij overheid, maar overal eigenlijk wel, helemaal nu AI met veelal verouderde ideeën komt.
Het gat tussen juniors die weinig ervaring maar nieuwe ideeën hebben en seniors die veel ervaring met oude ideeën hebben wordt steeds groter in mijn ervaring.
Reageer
tweaker2010 @jongetje15 maart 2026 15:43
Tja, nu heb ik wel bij een aantal ministeries gewerkt. En om daar binnen te komen is al vaak "ervaring bij de overheid" vereist. Dat betekend eigenlijk:

Je moet kunnen omgaan met eindeloze processen die voor niemand duidelijk zijn. We doen het omdat we het al jaren zo doen. En we lopen vooral niet even een stapje harder als het nodig is. En als laatste, ik zit hier in mijn kamer en praat met zo min mogelijk mensen.

Verbaasd mij helemaal niets als ik zie hoe het er soms werkt.
De grap is dat veel ministeries meer last hebben van externe ITers dan dat ze concreet en snel met oplossingen komen. Het aantal ZZPers wat als projectleider rondloopt heeft er alle belang bij om tijd te rekken zodat hun opdracht nog wat langer blijft duren. Hypocriet noem ik dat.
Reageer
jongetje @tweaker201015 maart 2026 17:18
Dan moet je ze beter aansturen in mijn ogen. Je kunt niet mensen inhuren en dan op je handen zitten wachten totdat ze precies doen wat je verwacht.

Dan ben ik wel een gekke externe want ik ga mensen wel challengen, beslissingen forceren het project op snelheid te houden, zorgen dat er goede overdracht is etc. Ik wil graag verder naar een volgende leuke (nieuwe) opdracht en zit er niet om uren te schrijven. Die zijn er genoeg, maar ik ben zelf meerdere eren bij een (overheids)opdracht weggegaan omdat er weinig werk voor me was. Dan ga ik opzoek naar een nieuwe opdracht en niet thuis("werkend") mijn uren zitten schrijven, zo zit ik niet in elkaar.
Reageer
lecrab @tweaker201015 maart 2026 16:15
ik heb jarenlang bij de overheid als ZZP'er rondgelopen. Omringd door ambtenaren die liever lui dan moe waren, en omsingeld door ambtenaren die het belangrijker vonden dat allerlei standaarden werden gevolgd dan dat het product bruikbaar of veilig was, heb ik mijn best gedaan. Maar toen waren ZZP'ers ineens eng en ben ik vervangen door een ambtenaar zonder enige vorm van ambitie of relevante kennis, die het belangrijker vond om baasje te gaan spelen. Nooit meer, nooit meer. Als je van je ambities af wilt, dan is het een prima omgeving.
Reageer
tweaker2010 @lecrab15 maart 2026 16:40
De frustratie zit je hoog zoveel is wel duidelijk. Alle ambtenaren over één kam scheren is net zo makkelijk als alle zzpers als onmisbaar te bestempelen.
Reageer
Cid Highwind @tweaker201015 maart 2026 17:32
Laat ik het zo zeggen, de door hem omschreven situatie kom je lang niet enkel bij de overheid tegen. Iedere organisatie die dusdanig groot is dat het aantal lagen niet meer op één hand te tellen is, zal ten prooi vallen aan dezelfde misère. Werk zelf voor een top 10 DAX concern, en de IT is daar weinig anders.

De organisatie is dusdanig druk met zichzelf en de individuen met de eigen positie, dat er tijd noch capaciteit overblijft voor alles wat niet met de interne aangelegenheden te doen heeft, want die zijn immers het belangrijkst voor de zichtbaarheid. De externen houden er alles in de lucht, terwijl internen vooral bezig zijn met het verdedigen van de eigen positie, met de enige bijdrage die men heeft zijnde dat "de processen zijn gevolgd". Wanneer er iets besloten moet worden is de politieke agenda leidend, terwijl pragmatisme ver te zoeken is. Stel je toch eens voor dat je iemand nee moet zeggen, dat kon immers wel eens slecht zijn voor de eigen positie.

Wel goede handel voor externen. Er zijn er waarvan men 10 jaar terug al zei dat ze tot het meubilair behoorden. Het is makkelijk schoppen naar ambtenaren, uiteindelijk is de mentaliteit gewoon een gevolg van wat iedereen zoekt: Een goedbetaalde comfortzone. Dat is niet exclusief aan de ambtenarij voorbehouden, maar aan iedere tent waar de boel gewoon goed loopt en de leiding zich goed heeft ingedekt tegen kritiek.
Reageer
zordaz @jongetje15 maart 2026 18:20
Ik kan je vertellen dat het bij veel grote bedrijven niet veel anders is. Het is bij dit soort nieuwsberichten altijd erg makkelijk om de bekende cliche's over de overheid van stal te halen, maar dat is echt veel te makkelijk.
Reageer
jongetje @zordaz15 maart 2026 19:05
Het zijn geen clichés, zijn mijn eigen ervaringen en observeringen.
Reageer
zordaz @jongetje15 maart 2026 21:21
Datzelfde geldt voor mij. De meest uitgebluste en bureaucratische organisatie waar ik heb ooit gewerkt was opvallend genoeg ook geen overheid.
Reageer
DdeM @jongetje15 maart 2026 15:01
Je beschrijft nu helaas min of meer de standaard werkvloer. Hoewel, de meeste bedrijven gebruiken een rumoerige kantoortuin ipv aparte kamers, dus wellicht is het een beetje beter wat jij beschrijft 😬
Reageer
mgizmo @jongetje15 maart 2026 16:03
yep + de waarom-vraag stellen heeft geen nut ("bijdehand") :)
Reageer
ApexAlpha @jongetje15 maart 2026 15:07
Haha, ja. Ooit bij BZK gesolliciteerd voor een functie van "redteam coordinator".

Ik had 8 jaar ervaring als pentester / redteamer en ook nog een opleiding Bestuurskunde afgerond en ben actief in de lokale politiek.

"We gaan toch voor iemand met meer overheidservaring."

Tja...
Reageer
RoyD @ApexAlpha15 maart 2026 16:05
Is dat een andere manier om te zeggen dat ze een politiek gelijkgezinde op de plek neer willen zetten?
Reageer
ApexAlpha @RoyD15 maart 2026 16:57
Geen idee, of mijn accent stond ze niet aan maar dat durfden ze niet te zeggen. Wie weet.
Reageer
champion16 @ApexAlpha15 maart 2026 16:20
Wel hilarisch eigenlijk.
Wat maakt het voor de "lagere" functies een vereiste dat je overheidservaring hebt?
Als engineer geen idee. Als bestuurder kan ik mij wel iets bij voorstellen,
Reageer
Lisadr @ApexAlpha15 maart 2026 16:26
Bij veel grote loge-organisaties zoals overheid, sommige banken en BIG4. Zijn de leidinggevenden vaak mensen die vrijwel hun hele carrière bij dezelfde organisatie of binnen dezelfde bubbel hebben gewerkt? Ze denken dat hun organisatie heel uniek is en willen soortgelijke men. Dom, maar zo werkt het.
Reageer
William_H @Lisadr15 maart 2026 20:01
Klopt inderdaad. Blijkt uit menig onderzoek. Mensen (mannen) huren mensen (mannen) in die op hun lijken.
Reageer
Lisadr @William_H16 maart 2026 16:40
Ja! Vooral oude, grijze mensen (mannen) die bang zijn voor verandering en het onbekende.
Reageer
Henk1827 15 maart 2026 14:39
Veel van deze problemen zijn op te lossen door IT veel serieuzer te nemen. IT is het hart van onze samenleving. De data van alles en iedereen in onze samenleving gaat door IT systemen. Van de €265.000.000.000 [1] die we in Europa aan Amerika geven kunnen we mooi de salarissen van de IT specialsten verhogen, en kwaliteitspersooneel in dienst nemen.

[1] https://www.ictmagazine.nl/blogs/europa-betaalt-265-miljard-euro-voor-digitale-afhankelijkheid/
Reageer
R_Zwart @Henk182715 maart 2026 15:50
1 van de oorzaken van deze problemen is dat er vrijwel geen IT-ers zijn die op C-level kunnen uitleggen waarom IT serieuzer genomen moet worden. Hoe vaak ik niet heb gehoord dat je bijvoorbeeld moet upgraden omdat daarmee vulnerabilities a, b en c worden opgelost en varianten daar op. Op het niveau van beslissers zegt dat helemaal niets. Andere units in de meeste organisaties zijn daar veel beter in. Niet alleen bij de overheid maar net zo goed in het bedrijfsleven.
Reageer
rko4u @R_Zwart15 maart 2026 16:29
Ik denk dat de belangrijkste oorzaak van het probleem is dat de overheid bijna geen ITers in dienst heeft. Ze huren overal bedrijven voor in en die nemen het niet altijd zo serieus op, die willen alleen maar zoveel mogelijk geld en het liefst voor zo min mogelijk werk. Als ik het verhaal hierboven lees zijn de overheidssystemen niet eens losgekoppeld van die van andere klanten. Dat voelt voor mij niet OK.
Reageer
SuperDre
@Henk182715 maart 2026 16:16
Hogere salarissen voor 'specialisten' lost niets op, want juist veel management kan niet goed bepalen of het wel goede specialisten zijn. En hoe goed je het ook probeert te beveiligen, uiteindelijk moet de data getoond/gedeeld worden, en daarmee hou je altijd een probleem wat gewoonweg niet fatsoenlijk op te lossen is.
Reageer
Linke-soep @Henk182715 maart 2026 17:22
Dan kun je wel goed personeel in dienst nemen maar als je als Europees ict bedrijf nog steeds niet in staat bent een fatsoenlijke cloudomgeving op te zetten zonder Amerikaanse software en netwerkoplossingen omdat de kennis toch naar de States of China gaat heb je er helemaal niets aan.
Reageer
Henk1827 @Linke-soep15 maart 2026 19:13
Je hoeft niet 100% Europees te gebruiken, dat is ook niet mogelijl. Als je maar zo veel mogelijk Europees gebruikt. Er zijn hele goede cloudproviders die makkelijk schalen tot 10000 gebruikers, zoals Scaleway.
Reageer
William_H @Linke-soep15 maart 2026 20:04
Probleem is dat die Europese of Nederlandse cloudbedrijven in NL niet eens aan de beurt komen bij aanbestedingen, omdat die zo dichtgetimmerd zitten dat EU/NL partijen een gigantische legal-team nodig hebben, wat vaak alleen de Big4 uit de VS hebben.
Reageer
Sluuut 15 maart 2026 17:50
Tijdens het migreren naar een Azure omgeving was ik de enige die vroeg; “is de logging wel lang genoeg”; gezien de ontdekkingstijd van een hack gemiddeld pas na 1 jaar plaatsvind zou je meer dan 1 jaar logging moeten hebben. Want je wilt altijd terug kunnen traceren wanneer-wat heeft plaatsgevonden. Maar nee, de standaard waarden zoals een externe partij die standaard aanbied werd aangehouden. Want Microsoft heeft tegenwoordig de visie om er al vanuit te gaan dat je gehackt bent. En de kosten zijn te hoog voor een langere log periode.

Jammer dat je de cloud in word “geduwd”, want OnPrem waren het de kosten niet om wel goede logging met lange retentie te bewaren.
Reageer
PaulZ @Sluuut15 maart 2026 18:00
Ik ben juist nu met een project bezig, om alle logging ouder dan 6 maanden te (laten) verwijderen ivm de Archiefwet + AVG 😳 .

En aangezien het ontdekken niet direct na de hack plaatsvindt ga je dus geheid een boel zinvolle gegevens missen :/
Reageer
Sluuut @PaulZ15 maart 2026 18:04
Maar dan kun je toch ook anonimiseren? Systeemnamen/acties kunnen gewoon anoniem gelogd worden en persoonsgegevens kun je anonimiseren.
Reageer
William_H @PaulZ15 maart 2026 20:10
Denk dat je niet de juiste jurist hebt gesproken. Er zit echt geen AVG belemmering op logging. Als je het maar op de juiste manier instelt.
Reageer
Krommetenen @William_H16 maart 2026 08:35
Inderdaad. Huh? 6 maanden? Welke ISO vergt dat?
Reageer
vdws @Sluuut16 maart 2026 06:25
Wij downloaden de logging automatisch elke 3 maanden. Zo bouwen retentie on-prem op.
Reageer
Verwijderd 15 maart 2026 16:55
Nou, de overheid wijst de burger erop dat deze digitaal weerbaar/waakzaam moet zijn. Op zich een goede zaak, maar keer op keer blijkt dat ze in dat opzicht steken laten vallen. Wellicht moet de overheid eens gaan investeren in eigen goed opgeleid IT personeel (en dan heb ik het niet over zijinstromers met een IT-certificaat van een of andere commerciële cursusboer) en niet alles maar aan "de markt" overlaten.
Reageer
nullbyte @Verwijderd15 maart 2026 17:30
Overheidsambtenaren komen niet door een membraan uit een andere dimensie ze bestaan uit de zelfde ITers die de zelfde cursussen en studies hebben gevolgd als de rest van de Nederlanders.

[Reactie gewijzigd door nullbyte op 15 maart 2026 17:58]

Reageer
Knallmeister @nullbyte15 maart 2026 21:04
Overheidsambtenaren komen niet door een membraan uit een andere dimensie
Ben je hier aan het hallucineren, of denk je dat iemand dit echt serieus neemt?
bestaan uit de zelfde ITers die de zelfde cursussen en studies hebben gevolgd als de rest van de Nederlanders
Bewijs dat maar eens.
Reageer
Verwijderd @nullbyte15 maart 2026 22:56
Overheidsambtenaren komen niet door een membraan uit een andere dimensie ze bestaan uit de zelfde ITers die de zelfde cursussen en studies hebben gevolgd als de rest van de Nederlanders.
Wikipedia: Psilocybine

'Nuff said.
Reageer
Lord Anubis 15 maart 2026 16:05
Het hele ITC gebeuren zal nooit echt veranderen/ verbeteren als er haantjes met pc-prive cursussen aan de top staan en zich te veel laten leiden door bedrijven die werkelijk alleen hun eigen belangen voor zich hebben. Tevens moet er een minister met serieuze autoriteit komen en geen derderangs functie/persoon die moet luisteren naar de rest van de politiek.
Reageer
oldsmelly 15 maart 2026 16:17
Wat mij ernstige zorgen baart is dat als Argos er niet achteraan was gegaan we het gewoon nooit hadden geweten.. Want ja meldplicht en openheid van zaken is natuurlijk altijd voor anderen

[Reactie gewijzigd door oldsmelly op 15 maart 2026 16:21]

Reageer
Jay47 15 maart 2026 16:41
Dit is niet alleen bij de overheid zo, ik kom bij verschillende klanten en wat vaak blijkt, ze weten niet precies hoe en wat. De verschillende afdelingen praten niet met elkaar en er is niet echt een beleid. En als er wat gebeurt, bijv een datalek dan gaan ze vingers naar elkaar of een leverancier wijzen.
Reageer
D_Jeff 15 maart 2026 16:48
hoewel er al stappen zijn gemaakt om tot 1 uitvoerende ICT organisatie voor de landelijke overheid te komen, blijf ik mij verbazen hoeveel "hoekjes/eilandjes" een uitzondering krijgen om (nog) niet te hoeven aansluiten

Als die al die "hoekjes/eilandjes" gedwongen worden om alsnog op te gaan, is er in ieder geval meer inzicht (wat kan bijdragen aan minder cyber incidenten)
Reageer

Om te kunnen reageren moet je ingelogd zijn