'Criminelen hackten IT-dienst overheid NL, omvang onbekend door slechte logging'

Criminelen hebben afgelopen zomer een belangrijke IT-dienst van de Nederlandse overheid gehackt. De organisatie levert onder meer diensten aan een ministerie en de Autoriteit Persoonsgegevens. Door slechte logging zou bovendien onduidelijk zijn wat de omvang is van de hack.

Het gaat om de Justitiële ICT Organisatie (JIO), die onder meer de IT beheert voor het ministerie van Justitie en Veiligheid, de Autoriteit Persoonsgegevens, de Raad voor de Kinderbescherming en de Dienst Justitiële Inrichtingen. Anonieme bronnen melden aan Argos dat hackers zijn binnengekomen via een lek in thuiswerksoftware Citrix. Het gaat om hetzelfde lek waardoor het OM vorig jaar werd gehackt.

De Justitiële ICT Organisatie zei destijds 'uitgebreid onderzoek te doen' naar een mogelijk beveiligingslek. Later zei minister van Justitie en Veiligheid David van Weel dat er 'geen signaal is gekomen van mogelijk misbruik in de achterliggende IT-omgevingen' en dat de kwetsbaarheid was gerepareerd. JIO bevestigt nu aan Argos dat er wel een hack heeft plaatsgevonden.

Bronnen melden aan Argos dat de interne firewall door een configuratiefout ook 'in feite was uitgeschakeld' en dat de logging 'min of meer' uitstond. Daardoor zou JIO onvoldoende zicht hebben op hoeveel toegang de hackers hadden. JIO erkent dat de firewall 'meer verkeer doorliet dan strikt noodzakelijk was voor de reguliere werking'. Maar de logging werkte 'zoals het hoort te werken', stelt JIO.

Argos zegt dat 'verschillende betrokkenen' bij het ontdekken van de hack JIO adviseerden de systemen offline te halen, wat het OM ook deed. JIO koos hier bewust niet voor, omdat de organisatie volgens de bronnen niet kon inschatten in hoeverre IT-systemen van de gekoppelde overheidsorganisaties nog zouden werken. Zo zou JIO niet hebben geweten of enkelbanden dan nog wel gemonitord konden worden.

Overheid/Nederland. Bron: Thomas Winz/The Image Bank/Getty Images
Den Haag. Bron: Thomas Winz/The Image Bank/Getty Images

Door Hayte Hugo

Redacteur

Feedback • 15-03-2026 14:28
92 • submitter: Webgnome

15-03-2026 • 14:28

92

Submitter: Webgnome

Lees meer

Helft van Nederlands OM stuurt brandbrief over gebrekkige ict in organisatie
Helft van Nederlands OM stuurt brandbrief over gebrekkige ict in organisatie Nieuws van 21 november 2025
Nederlandse Openbaar Ministerie meldt herstel primaire systemen na hack van juli
Nederlandse Openbaar Ministerie meldt herstel primaire systemen na hack van juli Nieuws van 25 september 2025
Nederlandse rijksorganisaties slachtoffer van hack via Citrix-lek
Nederlandse rijksorganisaties slachtoffer van hack via Citrix-lek Nieuws van 22 september 2025
OM kan nog niet zeggen wanneer alle ict-systemen na aanval weer hersteld zijn
OM kan nog niet zeggen wanneer alle ict-systemen na aanval weer hersteld zijn Nieuws van 8 september 2025
'Chinese groep plaatste in mei blijvende backdoors op Citrix NetScaler-systemen'
'Chinese groep plaatste in mei blijvende backdoors op Citrix NetScaler-systemen' Nieuws van 1 september 2025
Bestaand NCSC-script spoort ook hacks via nieuw NetScaler-lek op
Bestaand NCSC-script spoort ook hacks via nieuw NetScaler-lek op Nieuws van 27 augustus 2025
NCSC verwacht snel grootschalige hacks via nieuw Citrix NetScaler-lek
NCSC verwacht snel grootschalige hacks via nieuw Citrix NetScaler-lek Nieuws van 27 augustus 2025
Citrix waarschuwt voor nieuwe actief misbruikte kwetsbaarheden in NetScaler
Citrix waarschuwt voor nieuwe actief misbruikte kwetsbaarheden in NetScaler Nieuws van 26 augustus 2025
NCSC: hackers misbruikten Citrix‑kwetsbaarheden al maand vóór ontdekking
NCSC: hackers misbruikten Citrix‑kwetsbaarheden al maand vóór ontdekking Nieuws van 13 augustus 2025
Nederlandse OM ontvangt weer e-mails na Citrix-hack
Nederlandse OM ontvangt weer e-mails na Citrix-hack Nieuws van 7 augustus 2025
Nederlands Openbaar Ministerie brengt eerste systemen weer online na cyberaanval
Nederlands Openbaar Ministerie brengt eerste systemen weer online na cyberaanval Nieuws van 4 augustus 2025
Justitie onderzoekt mogelijk Netscaler-lek bij Dienst Justitiële Inrichtingen
Justitie onderzoekt mogelijk Netscaler-lek bij Dienst Justitiële Inrichtingen Nieuws van 29 juli 2025
AD: Russische hackers zitten mogelijk achter hack in systemen van OM
AD: Russische hackers zitten mogelijk achter hack in systemen van OM Nieuws van 24 juli 2025
Openbaar Ministerie bevestigt dat lek in Citrix NetScaler is misbruikt
Openbaar Ministerie bevestigt dat lek in Citrix NetScaler is misbruikt Nieuws van 23 juli 2025
OM verwacht nog weken grotendeels offline te zijn door Citrix NetScaler-lek
OM verwacht nog weken grotendeels offline te zijn door Citrix NetScaler-lek Nieuws van 21 juli 2025
Meer producten en artikelen
Beveiliging en antivirus Citrix Hack Hackers Nederland Overheid

Reacties (92)

-Moderatie-faq
92
87
51
3
0
24
Wijzig sortering

Sorteer op:

Weergave:
Vink Mooi 15 maart 2026 14:38
Wat me het meest zorgen baart is niet eens de hack zelf, dat kan iedere organisatie overkomen, maar het feit dat de logging en monitoring "min of meer uitstond". Dat is geen technisch ongelukje, dat is een fundamenteel falen van basisprincipes. Je kunt niet zeggen dat je de boel serieus beveiligt als je achteraf niet eens kunt reconstrueren wat er is gebeurd.

En dan het besluit om de systemen niet offline te halen, deels omdat onduidelijk was of de enkelbanden van gedetineerden dan nog zouden werken. Dat legt een pijnlijk dilemma bloot: kritieke processen zijn zo nauw verweven met dezelfde infrastructuur dat je bij een incident eigenlijk geen goede keuzes meer hebt. Dat is een architectuurprobleem dat al veel eerder opgelost had moeten worden.

Het trieste is: dit patroon zagen we eerder ook bij het OM (Citrix, gebrekkige logging), bij DJI, bij de AP. Elke keer dezelfde conclusies, elke keer beloofde verbeteringen. Wanneer gaat hier nu eindelijk structureel iets veranderen in plaats van dat we wachten op het volgende incident?
Reageer
William_H @_eLMo_15 maart 2026 19:53
Gaan we weer. Niet alles wordt tegengehouden door de AVG. Dit soort dingen mag gewoon. Noodzakelijke gerechtvaardigde verwerking is gewoon toegestaan. Zeker als het gaat over een werksituatie. Er worden geen bijzondere persoongegevens verwerkt met logging.
Uit je antwoord kan ik alleen maar lezen dat je niet weet wat logging is en inhoudt op bedrijfsnetwerkniveau.
Reageer
IStealYourGun @_eLMo_15 maart 2026 19:10
Ik denk niet dat dit het probleem is. Iedereen heeft een arbeidsreglement ondertekend en is dus normaal wel op de hoogte dat er logging gebeurt in kader van veiligheid, wat volgens mij is toegestaan, zolang je correct met die data omgaat. Dat wil zeggen, niet iedereen heeft toegang en de data wordt enkel gebruikt voor het uitvoeren van de job.
Reageer
Burning @IStealYourGun15 maart 2026 19:17
Ongeacht wat je in een arbeidsovereenkomst of contract zet, moet dat wel rechtsgeldig zijn. Je kan medewerkers dus niet hun rechten laten 'weg tekenen' . Wat je wel en niet mag loggen en waarom wordt nog steeds bepaald door de AVG.
Reageer
Zentac @Burning15 maart 2026 19:57
Je mag absoluut wel loggen wie wat heeft opgezocht op interne systemen.
Reageer
sympa @Zentac15 maart 2026 20:28
En hoe je die logging gebruikt, daar zijn wel regels voor. Bijvoorbeeld alleen onderzoeken bij verdenking van misbruik. Of proactief onderzoeken om misbruik te detecteren. Maar niet: analyseren om de ijverigste medewerker te vinden. Of analyseren om te kijken wie er spijbelt.
Reageer
Erikkamm @_eLMo_15 maart 2026 19:25
Leg dat eens uit. Anonieme logging is geen logging. Ik heb niet het idee dat de AVG zo in elkaar zit. Dan kun je ook gelijk stoppen met de NIS2 en de cbw. Want beveiligen is dan vrijwel onmogelijk. Je kunt dan namelijk ook geen SIEM /SOC gebruiken. Want je weet toch niet waar het mis gaat. Je weet dan slechts dat het mis gaat.

Het gaat er denk ik meer om wie er wat met de logging mag doen, en je dus een logging beleid hebt.
Reageer
TWeaKLeGeND @Erikkamm15 maart 2026 20:23
Netwerkniveau logging heeft over het algemeen niks te maken met avg
Reageer
kabelmannetje @_eLMo_15 maart 2026 21:18
En wat heeft dit te maken met logging van een firewall? Deze logt slechts verdacht verkeer, niet een of andere pdf die via https op inhoud gescand wordt.
Reageer
BytePhantomX @Vink Mooi15 maart 2026 19:52
Dat is wat mij betreft een reactie die wat kort door de bocht is. Logging vastleggen kan complex en kostbaar zijn. Zeker als je veel systemen en veel transacties hebt, en als je de logging ook nog een tijd wil/moet bewaren. Daarbij wil je die logging vaak ook nog in SIEM tooling verwerken, anders kun je de logging wel hebben, maar is deze niet (centraal) doorzoekbaar.
Reageer
Vink Mooi @BytePhantomX15 maart 2026 20:18
Dat punt over kosten en complexiteit klop ik je niet af, je hebt gelijk dat logging op schaal een serieuze technische en financiële uitdaging is. Maar we hebben het hier niet over een startup met een krap budget. Dit is een overheidsorganisatie die kritieke infrastructuur beheert, waaronder systemen waaraan de vrijheid van gedetineerden letterlijk gekoppeld is.

Op dat niveau is "logging is duur en complex" geen excuus, het is juist het argument vóór investering. De AVG, BIO (Baseline Informatiebeveiliging Overheid) en NIS2 schrijven adequate logging en monitoring niet voor niets voor. Als je daar niet aan kunt voldoen omdat het "te complex" is, dan is dat een risico dat bewust geaccepteerd en gedocumenteerd had moeten worden, niet iets dat stilletjes blijft liggen totdat er een incident is.

En dan de SIEM-opmerking: helemaal mee eens dat logging zonder centrale doorzoekbaarheid beperkt nuttig is. Maar dat is dan toch het gesprek dat je voert bij de begrotingsaanvraag? "We hebben logging nodig en SIEM-tooling om het bruikbaar te maken." Dat is geen onredelijke eis voor een organisatie op dit niveau. Het is eerlijk gezegd het absolute minimum.

Mijn punt was dan ook niet dat logging makkelijk is. Mijn punt is dat het kennelijk jarenlang geen prioriteit heeft gekregen, bij meerdere overheidsorganisaties, terwijl de risico's bekend waren. Dat is een bestuurlijk probleem, geen technisch.
Reageer
dasiro @Vink Mooi15 maart 2026 19:08
Ik ken hun inhoudelijke systemen niet, noch wat er exact gebeurd is, maar veel dingen zijn niet zomaar een kwestie van ff een vinkje aan te zetten en dan maar onbeperkt bij te houden. Als je het al hebt aangezet/opgezet is het vaak nog zo dat default settings zwaar tekort schieten of net het tegenovergestelde zijnde zo véél ongewenste logs genereren dat ze niet bruikbaar zijn.

Het opzetten van correcte en nauwgezette logs is bijna een kunst op zichzelf te noemen en moet consequent doorheen de setup en het gebruik van élk systeem meegenomen worden op hetzelfde niveau als backup en rechtenbeheer als je het goed wil doen en dat is niet iets wat je achteraf simpel bij aan kan zetten.
Reageer
Oyxl @Vink Mooi15 maart 2026 20:52
Wat ik binnen onze eigen organisatie merk, is dat overal geknepen wordt, omdat er simpelweg te weinig geld binnen komt, door zeer nadelige contracten. Die contracten ontstaan, doordat winnen belangrijker is dan omzet/winst maken en in die contracten, die compleet uitgekleed zijn, wordt vervolgen door sales geen enkele ruimte gecreëerd om nog geld te kunnen verdienen. Dit komt ten dele door de wijze waarop aanbestedingen worden gegund. Ik wil geen details delen om te voorkomen dat duidelijk wordt welke organisatie dit betreft, dus dat laat ik achterwege, maar ik kan er wel over zeggen dat als je willekeurig een senior van een betreffend technisch component in het contract vraagt 'does it make sense? ', dan zal het antwoord volmondig 'neen' zijn.

Vervolgens vraag je jezelf af, Okay, wat hebben kosten te maken met de uitvoering van standaard werk. Nou, als je contracten zodanig gesloten zijn, dat er geen winst valt te behalen, dan ga je aan de achterkant zaken die geld zouden kosten op een weegschaal leggen. De technici die vechten voor het 'op de juiste manier' uitvoeren, leggen het af tegen het management waar maar één belang geldt en zij worden op termijn vervangen door het 'veel goedkoper, snellere en efficiëntere' near- en offshoring. Near en offshore partijen doen alleen afgesproken werk tegen afgesproken kosten, dus er wordt geen seconde meer proactief beheer gevoerd, maar slechts reactief en dan niet reactief op basis van publicaties van lekken, want dat soort kennis zou leergierigheid, verantwoordelijkheidsgevoel, eigen initiatief, analytisch denkvermogen en creatief oplossingsvermogen vereisen, iets dat geen van deze partijen ondersteunt (zelfs tegenwerkt), maar reactief in de zin, dat 'the shit has hit the fan' en nu moet achteraf ingegrepen worden.

Bij ons is voor sommige systemen ook geen logging (servers) ingericht. Dat is extra hardware, extra kosten, en dat komt op eigen rekening op een verliesmakend account. Zo zijn er nog wel enkele andere zaken te noemen die gewoon niet kloppen.

Echter, voordat ik volledig naar onszelf als dienstverlener wijs.. We hebben natuurlijk ook met de klant zelf te maken. Die maken er om vergelijkbare redenen zelf ook een potje van. En dat zijn soms organisaties waar het geld tegen de plinten aan klotst, maar investeren ho maar. Men gaat er prat op dat ze een prachtig contract hebben opgesteld waarbij alle vingers naar de leverancier kunnen als het mis gaat, dus als het in grijs gebied valt, dan doen zij zelf ook niet datgene wat technisch gezien de juiste move is.
Reageer
Enjoyer 15 maart 2026 14:33
Wederom reden genoeg voor de Overheid om eens goed na te denken hoe om te gaan met privacy gevoelige informatie en wat ze van de burgers mogen en willen verwachten met online verificatie.

Ik heb het idee dat de risico's van het bewaren van data en andere gevoelige informatie met betrekking tot wat voor systemen dan ook, toch een beetje onderschat wordt. Hacken is misschien wel niet tegen te gaan, maar de manier waarop gegevens opgeslagen worden heeft dan misschien toch een andere aanpak nodig.
Reageer
Lisadr @Enjoyer15 maart 2026 16:16
Het is niet zo dat risico's worden onderschat. Er zijn 4 problemen.

 
  1. Er zijn nauwelijks gevolgen voor organisaties en mensen als het fout gaat. In tegenstelling tot sommige commerciële organisaties of banken.
  2.  IT-directeurs en managers worden aangenomen via de Algemene Bestuursdienst, met connecties als belangrijke reden en niet gebaseerd op vaardigheden en trackrecord.
  3. Sterke afhankelijkheid van leveranciers, zonder kennis bij Directie/Manager om regie te behouden.
  4. Grote verdeeldheid binnen de overheid. Zelfs binnen een minister kunnen er 20 CIO’s en 20 CISO’s rondlopen.

     
Gevolg is dat je er een puinhoop van kan maken en vervolgens promotie krijgt, dankzij de Algemene Bestuursdienst
Reageer
Enjoyer @Lisadr15 maart 2026 20:09
Ja het is juist dat waarschijnlijk.

Vandaag de dag zal er wel iets gedaan moeten worden, om de cyber security flink op te schroeven. Ik denk dat minimalistisch omgaan met wat de overheid en bedrijven mogen qua data verzameling en de opslag hiervan, daar wel onderdeel van hoort te zijn. Wat niet opgeslagen is, kan ook niet lekken, zogezegd.
Reageer
Fermion @Enjoyer15 maart 2026 15:00
Het is altijd de overheid, pas op, het zij vaak ook de aanbieders van de solutions die de zaken niet op orde hebben. Ja, overheid moet de requirements goed op tafel leggen maar vaak is dat niet zo. Het gebeurd vaker dan je denkt, de huidige management heeft geen idee, ze zien alleen kosten.
Reageer
Enjoyer @Fermion15 maart 2026 15:03
Zeker zijn het ook aanbieders, maar ik doel meer op het feit dat de Overheid wel strengere wet en regelgeving hieromtrent in werking kan stellen. Betere audits doen, transparantie met betrekking tot security wellicht verplichten? Etc.
Reageer
Shal-Ziar @Enjoyer15 maart 2026 15:31
Nee de oplossing hiervoor zou, imho zijn dat de overheid zelf weer zijn eigen IT regelt. Ipv uit te zetten aan de markt. Toezicht houden op iemand die werk voor je doet zonder dat je zelf het specialisme in huis hebt is bijzonder lastig.
Regelgeving is ook het issue niet, die is al sterk zat. De hoeveelheid tijd die wordt besteedt binnen de overheid om compliance op orde te hebben is eerder teveel dan te weinig. Maar, zoals ik hierboven stel, vaak moet de overheid uitgaan van aannemers die het werk uitvoeren. En als er binnen de overheid geen mensen zijn die actief door de configuraties lopen omdat deze zijn uitbesteedt is de route van een signalering van een probleem traag en zeer indirect.
Reageer
Enjoyer @Shal-Ziar15 maart 2026 15:57
Zeker, maar de wet en regelgeving die ik bedoel geldt niet alleen voor de IT en Security voor zaken met betrekking tot de Overheid. Ik bedoel in het algemeen, ook met betrekking tot algehele online privacy en data collection, etc. Bijvoorbeeld: OS level ID verification, Online ID/Age verification, Profiling, Data collection, dit is allemaal interconnected waardoor ik dus vind dat de Overheid dus anders mag gaan kijken naar "Privacy & Security".

Maar ik ben het zeker met je eens dat de Overheid zelf, voor hun eigen diensten, dit intern moeten uitbesteden.
Reageer
Aardwolf @Enjoyer15 maart 2026 16:16
Dit intern moeten uitbesteden? dat klinkt nogal tegengesteld. Of bedoelde je intern uitvoeren door eigen medewerkers?
Reageer
downtime @Aardwolf15 maart 2026 17:46
Ik weet ook niet wat @Enjoyer daar precies bedoeld maar intern aanbesteden bij een zogenaamd Shared Service Center (SSC) bestaat natuurlijk wel. Dat is gewoon een eigen IT organisatie die voor meerdere overheidsorganisaties werkt.
Reageer
William_H @downtime15 maart 2026 19:56
Dat werkt natuurlijk veel beter. Kennis wordt gebundeld, wielen worden niet telkens opnieuw uitgevonden. Best practices worden op meer plaatsen toegepast.
Reageer
2TheMaks @William_H15 maart 2026 20:48
Dat werkt natuurlijk veel beter. Kennis wordt gebundeld, wielen worden niet telkens opnieuw uitgevonden. Best practices worden op meer plaatsen toegepast.
Dat zou je denken, ware het niet dat overheidsorganen met klinkende namen als Shared Service Center (SSC) in de praktijk slechts een verzameling stovepipes is waar bureaucratie de boventoon voert.
Reageer
Enjoyer @Aardwolf15 maart 2026 20:05
Ik bedoelde inderdaad intern uitvoeren. Wellicht zoals @downtime aangeeft. Ik ben zelf niet precies op de hoogte hoe dat allemaal werkt, ik denk min of meer een eigen "IT" bedrijf binnen het overheidsorgaan. Wat dan in principe ook ambtenaren zijn. Maar waarschijnlijk is dit al dat Shared Service Center?
Reageer
Punkbuster @Shal-Ziar15 maart 2026 15:34
Dit is ook de weg naar voren, maar de verschillende overheids instanties moeten het dan wel gezamenlijk doen. Nu doen verschillende organisaties hetzelfde werk, maar er is 0 samenwerking. Hier ligt een sleutel voor succes.
Reageer
djmuggs @Punkbuster15 maart 2026 20:48
Zolang men binnen de overheid elkaar niet vertrouwd is samenwerken erg lastig.

Verder zijn er ook ministeries en diensten die niet van elkaar gebruik mogen maken ivm verschillende belangen die kunnen botsen.


Het is allemaal veel complexer dan men denkt.


Dus dan krijg je dat er allerlei verschillende competenties verspreid zijn binnen de overheid met alle gevolgen van dien.
Reageer
vanstra @Enjoyer15 maart 2026 19:30
"We’ve been saying this for years now, and we’re going to keep saying it until the message finally sinks in: mandatory age verification creates massive, centralized honeypots of sensitive biometric data that will inevitably be breached. Every single time. And every single time it happens, the politicians who mandated these systems and the companies that built them act shocked—shocked!—that collecting enormous databases of government IDs, facial scans, and biometric data from millions of people turns out to be a security nightmare."

https://www.techdirt.com/2026/02/25/hackers-expose-the-massive-surveillance-stack-hiding-inside-your-age-verification-check/
Reageer
jongetje 15 maart 2026 14:38
Tja, nu heb ik wel bij een aantal ministeries gewerkt. En om daar binnen te komen is al vaak "ervaring bij de overheid" vereist. Dat betekend eigenlijk:

Je moet kunnen omgaan met eindeloze processen die voor niemand duidelijk zijn. We doen het omdat we het al jaren zo doen. En we lopen vooral niet even een stapje harder als het nodig is. En als laatste, ik zit hier in mijn kamer en praat met zo min mogelijk mensen.

Verbaasd mij helemaal niets als ik zie hoe het er soms werkt.
Reageer
adje123 @jongetje15 maart 2026 14:51
Als ik als tester bij een nieuwe klant binnenkom en ik vraag vervolgens “waarom testen jullie op deze manier”, dan krijg ik 9/10 keer te horen “geen idee, we doen het al jaren zo”. Evalueren, mensen opleiden, mensen die zichzelf actueel houden met de veranderde wereld, is steeds zeldzamer aan het worden. En dan straks verbaasd zijn dat AI je baan het overgenomen.
Reageer
ApexAlpha @adje12315 maart 2026 15:09
Ja dit is een logisch gevolg van het gebrek aan reorganisaties bij de overheid.

Als je nooit reorganiseert gaan enkel de goede weg, want die hebben kansen. Wat achterblijft is iedereen die niet ergens anders aan de bak komt.

Vervolgens moet je die kennis weer terug inhuren als ZZP'er als er daadwerkelijk iets moet gebeuren maar nu dwingt de overheid je die te wisselen elke 2 jaar.

Gevolg? Weinig interne IT en een bak aan SaaS producten want een dienst afnemen kan iedereen, IT ontwikkelen niet.
Reageer
tweaker2010 @ApexAlpha15 maart 2026 15:45
Er is net een nieuw kabinet aangesteld en de vorige reorganisatie is nog niet afgerond en de volgende bezuiniging komt er weer overheen. Misschien iets met politieke motieven en daarom steeds te laat.
Reageer
Lisadr @ApexAlpha15 maart 2026 16:23
Vervolgens moet je die kennis weer terug inhuren als ZZP'er als er daadwerkelijk iets moet gebeuren maar nu dwingt de overheid je die te wisselen elke 2 jaar.
Salaris en arbeidsvoorwaarden spelen ook een rol bij specialistische IT-functies.

Binnen de overheid zelf is het gebruikelijk ZZP'ers veel langer dan 2 jaar in te huren, waarbij de ZZP'er jaren fulltime (32 of 36 uur) blijft. 2 jaar direct, 2 jaar via broker 1, 2 jaar via broker 2, enz.
Reageer
SuperDre
@adje12315 maart 2026 16:12
Waarom verbaasd zijn over AI je baan overnemen? Dat heeft niets te maken met de situatie van hoe goed of op welke manier getest/ontwikkeld wordt.
Reageer
adje123 @SuperDre15 maart 2026 16:14
Dat zeg ik ook niet.
Reageer
Oon @adje12315 maart 2026 16:34
Sterker nog, de weerstand tegen mensen die wél hun best doen om vooruit te blijven gaan wordt ook steeds groter. Niet alleen bij overheid, maar overal eigenlijk wel, helemaal nu AI met veelal verouderde ideeën komt.
Het gat tussen juniors die weinig ervaring maar nieuwe ideeën hebben en seniors die veel ervaring met oude ideeën hebben wordt steeds groter in mijn ervaring.
Reageer
tweaker2010 @jongetje15 maart 2026 15:43
Tja, nu heb ik wel bij een aantal ministeries gewerkt. En om daar binnen te komen is al vaak "ervaring bij de overheid" vereist. Dat betekend eigenlijk:

Je moet kunnen omgaan met eindeloze processen die voor niemand duidelijk zijn. We doen het omdat we het al jaren zo doen. En we lopen vooral niet even een stapje harder als het nodig is. En als laatste, ik zit hier in mijn kamer en praat met zo min mogelijk mensen.

Verbaasd mij helemaal niets als ik zie hoe het er soms werkt.
De grap is dat veel ministeries meer last hebben van externe ITers dan dat ze concreet en snel met oplossingen komen. Het aantal ZZPers wat als projectleider rondloopt heeft er alle belang bij om tijd te rekken zodat hun opdracht nog wat langer blijft duren. Hypocriet noem ik dat.
Reageer
lecrab @tweaker201015 maart 2026 16:15
ik heb jarenlang bij de overheid als ZZP'er rondgelopen. Omringd door ambtenaren die liever lui dan moe waren, en omsingeld door ambtenaren die het belangrijker vonden dat allerlei standaarden werden gevolgd dan dat het product bruikbaar of veilig was, heb ik mijn best gedaan. Maar toen waren ZZP'ers ineens eng en ben ik vervangen door een ambtenaar zonder enige vorm van ambitie of relevante kennis, die het belangrijker vond om baasje te gaan spelen. Nooit meer, nooit meer. Als je van je ambities af wilt, dan is het een prima omgeving.
Reageer
tweaker2010 @lecrab15 maart 2026 16:40
De frustratie zit je hoog zoveel is wel duidelijk. Alle ambtenaren over één kam scheren is net zo makkelijk als alle zzpers als onmisbaar te bestempelen.
Reageer
Cid Highwind @tweaker201015 maart 2026 17:32
Laat ik het zo zeggen, de door hem omschreven situatie kom je lang niet enkel bij de overheid tegen. Iedere organisatie die dusdanig groot is dat het aantal lagen niet meer op één hand te tellen is, zal ten prooi vallen aan dezelfde misère. Werk zelf voor een top 10 DAX concern, en de IT is daar weinig anders.

De organisatie is dusdanig druk met zichzelf en de individuen met de eigen positie, dat er tijd noch capaciteit overblijft voor alles wat niet met de interne aangelegenheden te doen heeft, want die zijn immers het belangrijkst voor de zichtbaarheid. De externen houden er alles in de lucht, terwijl internen vooral bezig zijn met het verdedigen van de eigen positie, met de enige bijdrage die men heeft zijnde dat "de processen zijn gevolgd". Wanneer er iets besloten moet worden is de politieke agenda leidend, terwijl pragmatisme ver te zoeken is. Stel je toch eens voor dat je iemand nee moet zeggen, dat kon immers wel eens slecht zijn voor de eigen positie.

Wel goede handel voor externen. Er zijn er waarvan men 10 jaar terug al zei dat ze tot het meubilair behoorden. Het is makkelijk schoppen naar ambtenaren, uiteindelijk is de mentaliteit gewoon een gevolg van wat iedereen zoekt: Een goedbetaalde comfortzone. Dat is niet exclusief aan de ambtenarij voorbehouden, maar aan iedere tent waar de boel gewoon goed loopt en de leiding zich goed heeft ingedekt tegen kritiek.
Reageer
nullbyte @lecrab15 maart 2026 17:10
Verwijderd

[Reactie gewijzigd door nullbyte op 15 maart 2026 17:57]

Reageer
jongetje @tweaker201015 maart 2026 17:18
Dan moet je ze beter aansturen in mijn ogen. Je kunt niet mensen inhuren en dan op je handen zitten wachten totdat ze precies doen wat je verwacht.

Dan ben ik wel een gekke externe want ik ga mensen wel challengen, beslissingen forceren het project op snelheid te houden, zorgen dat er goede overdracht is etc. Ik wil graag verder naar een volgende leuke (nieuwe) opdracht en zit er niet om uren te schrijven. Die zijn er genoeg, maar ik ben zelf meerdere eren bij een (overheids)opdracht weggegaan omdat er weinig werk voor me was. Dan ga ik opzoek naar een nieuwe opdracht en niet thuis("werkend") mijn uren zitten schrijven, zo zit ik niet in elkaar.
Reageer
DdeM @jongetje15 maart 2026 15:01
Je beschrijft nu helaas min of meer de standaard werkvloer. Hoewel, de meeste bedrijven gebruiken een rumoerige kantoortuin ipv aparte kamers, dus wellicht is het een beetje beter wat jij beschrijft 😬
Reageer
mgizmo @jongetje15 maart 2026 16:03
yep + de waarom-vraag stellen heeft geen nut ("bijdehand") :)
Reageer
zordaz @jongetje15 maart 2026 18:20
Ik kan je vertellen dat het bij veel grote bedrijven niet veel anders is. Het is bij dit soort nieuwsberichten altijd erg makkelijk om de bekende cliche's over de overheid van stal te halen, maar dat is echt veel te makkelijk.
Reageer
jongetje @zordaz15 maart 2026 19:05
Het zijn geen clichés, zijn mijn eigen ervaringen en observeringen.
Reageer
zordaz @jongetje15 maart 2026 21:21
Datzelfde geldt voor mij. De meest uitgebluste en bureaucratische organisatie waar ik heb ooit gewerkt was opvallend genoeg ook geen overheid.
Reageer
ApexAlpha @jongetje15 maart 2026 15:07
Haha, ja. Ooit bij BZK gesolliciteerd voor een functie van "redteam coordinator".

Ik had 8 jaar ervaring als pentester / redteamer en ook nog een opleiding Bestuurskunde afgerond en ben actief in de lokale politiek.

"We gaan toch voor iemand met meer overheidservaring."

Tja...
Reageer
RoyD @ApexAlpha15 maart 2026 16:05
Is dat een andere manier om te zeggen dat ze een politiek gelijkgezinde op de plek neer willen zetten?
Reageer
ApexAlpha @RoyD15 maart 2026 16:57
Geen idee, of mijn accent stond ze niet aan maar dat durfden ze niet te zeggen. Wie weet.
Reageer
champion16 @ApexAlpha15 maart 2026 16:20
Wel hilarisch eigenlijk.
Wat maakt het voor de "lagere" functies een vereiste dat je overheidservaring hebt?
Als engineer geen idee. Als bestuurder kan ik mij wel iets bij voorstellen,
Reageer
Lisadr @ApexAlpha15 maart 2026 16:26
Bij veel grote loge-organisaties zoals overheid, sommige banken en BIG4. Zijn de leidinggevenden vaak mensen die vrijwel hun hele carrière bij dezelfde organisatie of binnen dezelfde bubbel hebben gewerkt? Ze denken dat hun organisatie heel uniek is en willen soortgelijke men. Dom, maar zo werkt het.
Reageer
William_H @Lisadr15 maart 2026 20:01
Klopt inderdaad. Blijkt uit menig onderzoek. Mensen (mannen) huren mensen (mannen) in die op hun lijken.
Reageer
Henk1827 15 maart 2026 14:39
Veel van deze problemen zijn op te lossen door IT veel serieuzer te nemen. IT is het hart van onze samenleving. De data van alles en iedereen in onze samenleving gaat door IT systemen. Van de €265.000.000.000 [1] die we in Europa aan Amerika geven kunnen we mooi de salarissen van de IT specialsten verhogen, en kwaliteitspersooneel in dienst nemen.

[1] https://www.ictmagazine.nl/blogs/europa-betaalt-265-miljard-euro-voor-digitale-afhankelijkheid/
Reageer
R_Zwart @Henk182715 maart 2026 15:50
1 van de oorzaken van deze problemen is dat er vrijwel geen IT-ers zijn die op C-level kunnen uitleggen waarom IT serieuzer genomen moet worden. Hoe vaak ik niet heb gehoord dat je bijvoorbeeld moet upgraden omdat daarmee vulnerabilities a, b en c worden opgelost en varianten daar op. Op het niveau van beslissers zegt dat helemaal niets. Andere units in de meeste organisaties zijn daar veel beter in. Niet alleen bij de overheid maar net zo goed in het bedrijfsleven.
Reageer
rko4u @R_Zwart15 maart 2026 16:29
Ik denk dat de belangrijkste oorzaak van het probleem is dat de overheid bijna geen ITers in dienst heeft. Ze huren overal bedrijven voor in en die nemen het niet altijd zo serieus op, die willen alleen maar zoveel mogelijk geld en het liefst voor zo min mogelijk werk. Als ik het verhaal hierboven lees zijn de overheidssystemen niet eens losgekoppeld van die van andere klanten. Dat voelt voor mij niet OK.
Reageer
Linke-soep @Henk182715 maart 2026 17:22
Dan kun je wel goed personeel in dienst nemen maar als je als Europees ict bedrijf nog steeds niet in staat bent een fatsoenlijke cloudomgeving op te zetten zonder Amerikaanse software en netwerkoplossingen omdat de kennis toch naar de States of China gaat heb je er helemaal niets aan.
Reageer
Henk1827 @Linke-soep15 maart 2026 19:13
Je hoeft niet 100% Europees te gebruiken, dat is ook niet mogelijl. Als je maar zo veel mogelijk Europees gebruikt. Er zijn hele goede cloudproviders die makkelijk schalen tot 10000 gebruikers, zoals Scaleway.
Reageer
William_H @Linke-soep15 maart 2026 20:04
Probleem is dat die Europese of Nederlandse cloudbedrijven in NL niet eens aan de beurt komen bij aanbestedingen, omdat die zo dichtgetimmerd zitten dat EU/NL partijen een gigantische legal-team nodig hebben, wat vaak alleen de Big4 uit de VS hebben.
Reageer
SuperDre
@Henk182715 maart 2026 16:16
Hogere salarissen voor 'specialisten' lost niets op, want juist veel management kan niet goed bepalen of het wel goede specialisten zijn. En hoe goed je het ook probeert te beveiligen, uiteindelijk moet de data getoond/gedeeld worden, en daarmee hou je altijd een probleem wat gewoonweg niet fatsoenlijk op te lossen is.
Reageer
Sluuut 15 maart 2026 17:50
Tijdens het migreren naar een Azure omgeving was ik de enige die vroeg; “is de logging wel lang genoeg”; gezien de ontdekkingstijd van een hack gemiddeld pas na 1 jaar plaatsvind zou je meer dan 1 jaar logging moeten hebben. Want je wilt altijd terug kunnen traceren wanneer-wat heeft plaatsgevonden. Maar nee, de standaard waarden zoals een externe partij die standaard aanbied werd aangehouden. Want Microsoft heeft tegenwoordig de visie om er al vanuit te gaan dat je gehackt bent. En de kosten zijn te hoog voor een langere log periode.

Jammer dat je de cloud in word “geduwd”, want OnPrem waren het de kosten niet om wel goede logging met lange retentie te bewaren.
Reageer
PaulZ @Sluuut15 maart 2026 18:00
Ik ben juist nu met een project bezig, om alle logging ouder dan 6 maanden te (laten) verwijderen ivm de Archiefwet + AVG 😳 .

En aangezien het ontdekken niet direct na de hack plaatsvindt ga je dus geheid een boel zinvolle gegevens missen :/
Reageer
Sluuut @PaulZ15 maart 2026 18:04
Maar dan kun je toch ook anonimiseren? Systeemnamen/acties kunnen gewoon anoniem gelogd worden en persoonsgegevens kun je anonimiseren.
Reageer
William_H @PaulZ15 maart 2026 20:10
Denk dat je niet de juiste jurist hebt gesproken. Er zit echt geen AVG belemmering op logging. Als je het maar op de juiste manier instelt.
Reageer
oldsmelly 15 maart 2026 16:17
Wat mij ernstige zorgen baart is dat als Argos er niet achteraan was gegaan we het gewoon nooit hadden geweten.. Want ja meldplicht en openheid van zaken is natuurlijk altijd voor anderen

[Reactie gewijzigd door oldsmelly op 15 maart 2026 16:21]

Reageer
D_Jeff 15 maart 2026 16:48
hoewel er al stappen zijn gemaakt om tot 1 uitvoerende ICT organisatie voor de landelijke overheid te komen, blijf ik mij verbazen hoeveel "hoekjes/eilandjes" een uitzondering krijgen om (nog) niet te hoeven aansluiten

Als die al die "hoekjes/eilandjes" gedwongen worden om alsnog op te gaan, is er in ieder geval meer inzicht (wat kan bijdragen aan minder cyber incidenten)
Reageer
Clu3M0r3 15 maart 2026 16:55
Nou, de overheid wijst de burger erop dat deze digitaal weerbaar/waakzaam moet zijn. Op zich een goede zaak, maar keer op keer blijkt dat ze in dat opzicht steken laten vallen. Wellicht moet de overheid eens gaan investeren in eigen goed opgeleid IT personeel (en dan heb ik het niet over zijinstromers met een IT-certificaat van een of andere commerciële cursusboer) en niet alles maar aan "de markt" overlaten.
Reageer
nullbyte @Clu3M0r315 maart 2026 17:30
Overheidsambtenaren komen niet door een membraan uit een andere dimensie ze bestaan uit de zelfde ITers die de zelfde cursussen en studies hebben gevolgd als de rest van de Nederlanders.

[Reactie gewijzigd door nullbyte op 15 maart 2026 17:58]

Reageer
Knallmeister @nullbyte15 maart 2026 21:04
Overheidsambtenaren komen niet door een membraan uit een andere dimensie
Ben je hier aan het hallucineren, of denk je dat iemand dit echt serieus neemt?
bestaan uit de zelfde ITers die de zelfde cursussen en studies hebben gevolgd als de rest van de Nederlanders
Bewijs dat maar eens.
Reageer
computerjunky 15 maart 2026 18:45
Tot zover de kans op veroordeling van Odido haha. Justitie heeft het immers zelf niet eens in orde.

Ach ja dit is helaas bij lange na niet de laatste keer. en er moet eigenlijk om bescherming van burgers te waarborgen het een en ander veranderen. De vraag is alleen wat. Persoonlijk zit ik er niet mee want ik heb niets te verbergen en zal nooit in phishing trappen want ik wil niets hebben en de betalingen gaan allemaal geautomatiseerd masr genoeg mensen die er wel in zullen trappen ondanks de ruime 20 jaar waarin ze beter hadden kunnen leren.

Verder moeten we echt stoppen met de term gehackt te gebruiken. Hacken is volgens mij gewoon het systeem binnen dringen zinder hulp van derden. Phishing en dergelijke kan je gewoon nooit helemaal voorkomen. Zolang er iemand toegang heeft tot het systeem en daar rechten heeft kan iemand binnen komen. Hacken is echt veel serieuzer want dat betekent een serieuze fout in het systeem.
Reageer
Pasteis 15 maart 2026 15:38
Citrix is echt drama. Het haalt je productiviteit hard onderuit en architecten achtten het als veilige oplossing om lekker alles achter Citrix client te plaatsen.

Je moet je architectuur zo in richten dat je er eigenlijk vanuit moet gaan dat vroeg of laat een hacker of ongewenste kan binnenkomen in je systeem… de vraag is alleen hoe bescherm je het daarachter om mogelijke risico’s en consequenties te beperken.
Reageer
nullbyte @Pasteis15 maart 2026 17:46
Cyber Security is een gelaagd systeem. Elk Citrix alternatief heeft kwetsbaarheden en 0 days.
Je moet je architectuur zo in richten dat je er eigenlijk vanuit moet gaan dat vroeg of laat een hacker of ongewenste kan binnenkomen in je systeem… de vraag is alleen hoe bescherm je het daarachter om mogelijke risico’s en consequenties te beperken.
Dit zijn best practices in Cyber Security. Dit heeft niets met een enkel component als Citrix te maken.
"Assume Breach" en "0 trust" wordt dat genoemd.

[Reactie gewijzigd door nullbyte op 15 maart 2026 17:59]

Reageer
William_H @nullbyte15 maart 2026 20:08
Probleem is dat er lang gedacht is dat als we Citrix hebben draaien, dan zijn we veilig. Dus zodra men binnen is in de Citrix omgeving, zoals nu ook gebeurt, heeft men zoveel stront aan de knikker dat men niet eens die knikker meer kan vinden.
Reageer
Johnny E @Pasteis15 maart 2026 16:52
Bedenk je wel elke software heeft onderhoud nodig en voor elke software komen kwetsbaarheden uit.

Citrix opzich is geen drama als je het goed onderhoud en je processen zo inricht dat je snel kan patchen als er een update uitkomt of een kwetsbaarheid bekend wordt. Het probleem is dat de ict processen bij de overheid en vele andere Citrix gebruikende organisaties zo zijn ingericht dat updates handmatig en via tijdrovende ITIL processen verlopen. En ipv dat je je organisatie zo inricht dat je elke update toepast en je bij blijft, kiezen deze organisatie er veelal voor omdat niet te doen en alleen te updaten als er een kwetsbaarheid bekend wordt met CVS score >8.

Hierdoor lopen ze permanent achter de feiten aan en wordt het toepassen van updates veel complexer.
Reageer
Pasteis @Johnny E15 maart 2026 17:17
Ik doelde meer over het feit dat het zo traag is en vaak programma’s bij mij crashte. Dit heb ik nu bij drie opdrachtgevers meegemaakt. Resultaat is dat toch men omwegen gaat zoeken buiten Citrix om.

Ik ben het met je eens. Elk stukje software heeft een kwetsbaarheid, maar ik had laatst bij een opdrachtgever de situatie dat ze alles achter Citrix zette en het zo lastig te werken was dat er juist geprobeerd werd om erbuitenom te werken. Denk aan bijvoorbeeld documenten maken.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq