Waar veel securitytalks draaien om angst, dreiging en datalekken, pakt Elger Jonker het op de Developer Summit 2025 anders aan. Met de Internet Cleanup Foundation zet hij al jaren digitale schoonmaakacties op touw: meten, inzichtelijk maken, en organisaties aanzetten tot verandering. Tijdens de Tweakers Developers Summit 2025 vertelt hij onder de titel ‘Oeps, we maakten security van Nederland openbaar: vermaak, hoofdpijn en certificaten’ hoe hij met kleine middelen en een flinke dosis humor grote impact maakt.
Elger noemt zichzelf graag een ethisch hacker, maar hij is vooral iemand die het internet een stukje beter wil maken. Als oprichter/voorzitter van de Internet Cleanup Foundation werkt hij aan projecten die veiligheid en toegankelijkheid zichtbaar en bespreekbaar maken. Zijn uitgangspunt is eenvoudig: als je kwetsbaarheden inzichtelijk maakt, kunnen organisaties er echt iets aan doen. Transparantie als hefboom voor verandering.
“Hele gore PHP-code”
Dat idee ontstond al in 2015, toen Elger nog bij een groot ict-bedrijf werkte. “We hadden veel gemeenten als klant, en ik vroeg me af: hoe ziet de security er eigenlijk écht uit?”, vertelt hij. Op een conferentie voor hackers, waar hij als sponsorvertegenwoordiger naast zwaargewichten uit de scene zat, besloot hij die vraag concreet te maken. “Ik dacht: laten we dat nu eens inzichtelijk maken. Hoe staat het er eigenlijk voor?”
Hij zette in allerijl een kaart van Nederland online, die pijnlijk liet ziet hoe en of gemeenten hun versleuteling op orde hadden. “Met hele gore PHP-code, maar hé, het werkte”, en in de zaal met honderd security-officers van gemeenten sloeg het in als een bom. “Mensen gingen bellen, dingen regelen en vroegen me om door te pakken. Dat ding ging zijn eigen leven leiden.” Wat begon als een hobby groeide langzaam verder. In 2016 volgde een officiële lancering onder de naam Faalkaart.nl, waarna het project een paar jaar doorkabbelde, vooral in Elgers vrije tijd. Pas in 2022 kreeg het initiatief echte stabiliteit, toen de overheid - CIP, BZK en JenV - het project opnam in de Nationale Cyber Security Strategie en Werkagenda Waardengedreven Digitaliseren, en er structureel budget vrijkwam. “De overheid heeft nu een uitzonderlijk goedkoop middel om hun eigen spullen te meten”, aldus Elger.
Waardeloze security
Die steun was hard nodig, want in de beginjaren was de situatie ronduit zorgelijk. “Toen we begonnen met meten, zag je dat eigenlijk alles onvoldoende was. En met onvoldoende bedoel ik gewoon: kwetsbaar en slordig. Geen versleuteling, matige versleuteling … dingen waarvan je meteen ziet: dit kan zo niet.” Dat was extra wrang omdat er in die tijd al miljarden werden uitgegeven aan pentests en audits. “Het probleem zat ’m in de scope: er waren nauwelijks standaarden of afspraken waar iedereen zich aan moest houden. Dus kreeg je een waardeloos security-oppervlak.”
Uit de vroege experimenten groeide Basisbeveiliging.nl, een platform dat de digitale veiligheid van Nederlandse websites en e-mailservers meet. In plaats van dikke rapporten vol jargon laat het in één oogopslag zien hoe de basisbeveiliging ervoor staat. Een groen label betekent dat de techniek goed staat, oranje wijst op verbeterpunten en rood op serieuze tekortkomingen. Achter die kleurcodes gaat een wereld van technische details schuil: van versleutelde verbindingen (Https/TLS) tot Dnssec en e-mailbeveiliging met SPF, DKIM en Dmarc. “Het zijn eigenlijk de sloten en grendels van het internet”, zegt Elger. “Iedereen begrijpt dat je je voordeur op slot moet doen. Online is dat niet anders.”
Dit jaar kwam er een broertje bij: Basistoegankelijk.nl. Waar Basisbeveiliging draait om veiligheid, richt dit platform zich op digitale inclusie. “Want wat heb je aan een veilige website, als een deel van de samenleving die niet kan gebruiken?” Het platform onderzoekt of sites voldoen aan internationale toegankelijkheidsrichtlijnen: voldoende kleurcontrast, alternatieve teksten bij afbeeldingen, logische navigatie. Ook hier verschijnen de vertrouwde groen-oranje-rood scores. En de koppeling met security is direct: “Beschikbaarheid van informatie gaat niet alleen over dát de tekst er staat, maar ook dat hij kan worden ontvangen door de volledige doelgroep. Als iemand tijdens een pandemie cruciale informatie niet kan vinden omdat een website crappy linkjes en rare buttons heeft, dan is dat óók een securityprobleem, want de beschikbaarheid is niet op orde.”
Wat heb je gedaan om lekken te voorkomen?
Ondertussen wordt het speelveld alleen maar complexer. Kijkend naar de geopolitieke chaos in de wereld, speelt digitale veiligheid een steeds grotere rol. Overheden en bedrijven moeten voortdurend bijblijven, want de best practices veranderen continu. Zelf blijft Elger scherp door dicht op de hackerscene te zitten. “Daar hoor je wat er écht speelt, zonder dat het gekleurd wordt door vendors die hun producten willen slijten. Op conferenties als CCC of WHY krijg je uit de talks en bezoekers mee wat actueel is, zonder verkooppraatjes.”
Daarnaast werkt hij voor Internet.nl, een platform dat websites en e-maildiensten test op moderne internetstandaarden. “Doordat ik aan Internet.nl werk, krijg ik ook de updates mee rondom de nieuwste standaarden. Zo blijf ik ook hier goed op de hoogte.” Vaak vertaalt hij die kennis direct naar nieuwe tools. “We kregen de vraag: kunnen jullie ‘volgkoekjes’ inzichtelijk maken? Die optie hebben we in korte tijd gebouwd. Misschien bestond hij ergens al, maar nu is hij openbaar voor iedereen. Je ziet meteen welke cookies overheden plaatsen.”
De stroom aan datalekken die de media halen, verbazen hem nauwelijks meer. “Ik denk tegenwoordig: er is een database, dus alles wat erin staat is uiteindelijk openbaar. Dat klinkt hard, maar je weet gewoon dat zoiets ooit gaat uitlekken. Dus de vraag is wat je hebt gedaan om dat te voorkomen.” Daarbij wijst hij niet alleen naar cybercriminelen, maar ook naar medewerkers. “Een kopietje maken is zo gedaan. Tegen de menselijke schakel kun je bijna niet beveiligen.”
Iets zwaars minder zwaar maken én oplossen
Zijn oplossing voor online veiligheid is vaak simpel: minimaliseren. “Zet zo min mogelijk online. Je hebt een website, poort 443 en eventueel 80 voor legacy. En dat is het. Geen database, geen rare tools. Minimaliseer je aanvalsoppervlak, dan wordt het ook makkelijker te beheren.” Het druist in tegen de logica van veel securitybedrijven die telkens meer lagen en producten toevoegen om de wens van de klant te volgen. “Dat is gewoon geld; een pizzadoosje ertussen, en nog één, en nog één. Soms werkt dat, maar in de kern gaat het erom dat je het klein en overzichtelijk moet houden.” Hij noemt het voorbeeld van PHPMyAdmin, een tool die hij nog vaak op internet ziet staan. “Dat is een fantastische tool voor ontwikkelaars, maar als er een kwetsbaarheid in zit, ligt je hele database meteen op straat. Dat is toch bizar? Zet er op z’n minst een filter voor, zodat wij het niet kunnen vinden – en kwaadwillenden ook niet.”
Daarmee raakt hij aan de kern van de Internet Cleanup Foundation: signaleren, niet uitvoeren. “We maken alleen inzichtelijk. We doen dat inmiddels voor zo’n 10.000 organisaties. Het aanpassen voor anderen is ook niet het werk waar we op zitten te wachten. Er zijn genoeg leveranciers die dat kunnen en daar al voor verantwoordelijk zijn. Waar wij ons mee bezighouden, is aan de voorkant zitten van het transparant maken van het internet.”
En organisaties doen er daadwerkelijk wat mee, benadrukt hij. “We hebben grafieken die over de tijd laten zien hoe domeinen worden opgeschoond. Dat effect is aanzienlijk.” De honderden mails die elke maand binnenkomen, zijn daar het bewijs van. Ook bedachten ze een luchtige manier om inspanningen te belonen: certificaten voor wie alles op orde heeft. “Iedere organisatie die bij ons groen staat, krijgt er eentje. Vorig jaar deelden we er honderd uit, onder andere aan ASN, ING en ABN AMRO. Banken die gewoon alles hadden opgelost. We maakten er een gouden lijst omheen, en als je er met een UV-lamp op scheen, verscheen Rick Asthley. Gewoon voor de grap. Dan maak je van iets zwaars ook entertainment.”
“De Overheid doet het beter dan veel securitybedrijven”
Elger noemt ook concrete resultaten bij grote spelers. “SLTN begon bij ons met een paar domeinen. Toen we in februari onderzoek deden naar alle .nl-domeinen vonden we er honderden die aan hen waren toe te rekenen – oude overnames, vergeten registraties. Ze hebben die complete berg opgeschoond. In totaal ging het om 314 domeinen en je ziet in de trendlijn dat al die risico’s verdwijnen. Dat is een enorme plus.” Dat juist zulke partijen soms achterlopen, verrast hem niet. “Je zou denken dat cloudproviders of cybersecuritybedrijven beter zouden weten. Maar de cijfers laten iets anders zien. Alleen de overheid steekt er met kop en schouders bovenuit.”
Het is precies dit spanningsveld dat zijn werk ook luchtig maakt. Zijn talk draagt niet voor niets de titel Oeps, we maakten security van Nederland openbaar: vermaak, hoofdpijn en certificaten. “Ja, dat zit vol leedvermaak”, geeft hij lachend toe. “We brengen vaak slecht nieuws en als je dat alleen maar negatief brengt, word je er zelf ook geen beter mens van. Dus we zoeken manieren om het leuk te maken, om er een sport van te maken.” Soms levert dat onverwachte virals op. “We hadden bijvoorbeeld heel veel gemeenten doorgemeten, en toen bleek dat er nog maar één gemeente groen was. Dat was de best wel kleine gemeente Harlingen. Het voelde een beetje als Asterix en Obelix: heel Nederland viel om, maar eentje bleef overeind staan. Dat ging meteen viral op LinkedIn.”
Niet één, maar twee keer aanwezig op de Dev Summit
Als Elger vooruitblikt op zijn talk tijdens de Developer Summit, combineert hij realisme met humor. “We zijn met z’n drieën, hebben een klein budget, en toch willen we een platform draaien dat het hele internet kan meten. Dat levert puzzels op. Soms moet je iets lelijk programmeren of een omweg bedenken, gewoon omdat het werkt. Het ziet er niet fraai uit, maar je haalt in één keer een heleboel problemen weg.”
Hij geeft een voorbeeld dat hij zeker zal delen. “Als je alle rapporten van een organisatie ophaalt – stel het ministerie van Algemene Zaken – dan krijg je in één keer alle domeinen en meetresultaten mee. Dat is een bak aan JSON-data. Het klinkt absurd, maar door deelrapporten als string te sturen werkt het supersnel. Lelijk, maar effectief.”
Waarom moeten bezoekers van de conferentie juist naar de sessie van de Internet Cleanup Foundation gaan? Elger: “Omdat je wilt weten hoe je jezelf én de rest van Nederland veiliger maakt. Je leert technieken die je bij iedere klus kunt toepassen. En je ziet de zonnige kant van security. Het is niet alleen maar ellende en datalekken, er zijn ook genoeg organisaties die het gewoon goed doen. Die lichten we ook uit.” Tijdens de conferentie treedt de Internet Cleanup Foundation zelfs twee keer op. Elger neemt de securitykant voor zijn rekening, terwijl collega Johan zich stort op architectuur en devops. “Hij gaat extreem de diepte in met NixOS en opensource-technieken. Hoe schaal je zoiets op? Hoe haal je bewegende delen uit een platform? Dat wordt hardcore technisch, maar ook heel leerzaam.”
Koop nu je kaartjes voor de Dev Summit 2025
Enthousiast geworden om Elger en alle andere sprekers te zien en horen op de Dev Summit 2025? Scoor dan nu je entreekaartje. Helaas zijn de earlybird-tickets inmiddels uitverkocht, en ook de reguliere kaartverkoop loopt hard. Een regulier ticket kost 299 euro; je kunt nog gebruikmaken van de actie waarbij je drie tickets voor de prijs van twee scoort.
Als je werkgever de kosten voor het ticket op zich neemt, ontvang je uiteraard een factuur voor de administratie. Persoonlijke gegevens worden niet gedeeld met partners.
Ben je student? Dan bieden we graag een gereduceerd tarief aan. Ook hiervoor kun je terecht in de ticketshop.
Onze partners dit jaar
