๐๐ซ๐จ๐œ๐ž๐๐ฎ๐ซ๐ž๐ฌ. ๐’๐š๐š๐ข? ๐“๐จ๐ญ ๐ฃ๐ž ๐ณ๐ข๐ž๐ญ ๐ก๐จ๐ž ๐ฌ๐ง๐ž๐ฅ ๐ก๐ž๐ญ ๐ฆ๐ข๐ฌ ๐ค๐š๐ง ๐ ๐š๐š๐ง.

door | 16 februari 2026

We zitten midden in ons ISO-traject. En eerlijk: nog meer dan anders gaat het nu over procedures. Over afspraken die digitale veiligheid moeten borgen. Over โ€œdit doen we altijd zo en borgen we ookโ€. Met het risico dat het een papieren tijger wordt.

En toen gebeurde dit.
Twee weken geleden stond ik in een Odido-winkel, op zoek naar een specifieke telefoon. De medewerker dacht dat het toestel misschien nog in het magazijn lagโ€ฆ en liep weg.ย ๐Œ๐ž๐ญ ๐ณ๐ข๐ฃ๐ง ๐ฌ๐œ๐ก๐ž๐ซ๐ฆ ๐จ๐ฉ๐ž๐ง.ย Vijf minuten lang.

In die vijf minuten had ik (als ik dat had gewild) toegang tot alles waar die medewerker bij kon. Klantinfo, systemen, context. Het interesseert me niet en ik zou niet eens weten hoe je daar โ€œsnelโ€ misbruik van maakt. Maar hetย verbaasdeย me wel.

Regel #1 van digitale hygiรซne:ย Lock je scherm als je wegloopt.

De dag erna kwam ik terug om de telefoon op te halen (hij moest besteld worden). En jawel:ย wรฉรฉr ๐ž๐ž๐ง ๐จ๐ฉ๐ž๐ง ๐ฌ๐œ๐ก๐ž๐ซ๐ฆ. Andere medewerker.

En eind vorige week was het โ€œgroot nieuwsโ€: dat bij Odido klantgegevens buit zijn gemaakt via accounts/toegang van medewerkers (o.a. door phishing/social engineering) – en dat data voor criminelen een goudmijn is.

๐˜Œ๐˜ฏ ๐˜ฅ๐˜ช๐˜ต ๐˜ช๐˜ด ๐˜ฏ๐˜ช๐˜ฆ๐˜ต ๐˜ฏ๐˜ช๐˜ฆ๐˜ถ๐˜ธ. ๐˜ž๐˜ช๐˜ฆ ๐˜ฉ๐˜ฆ๐˜ณ๐˜ช๐˜ฏ๐˜ฏ๐˜ฆ๐˜ณ๐˜ต ๐˜ป๐˜ช๐˜ค๐˜ฉ ๐˜ฏ๐˜ฐ๐˜จ ๐˜ฉ๐˜ฆ๐˜ต ๐˜ฅ๐˜ข๐˜ต๐˜ข๐˜ญ๐˜ฆ๐˜ฌ ๐˜ฃ๐˜ช๐˜ซ ๐˜ฅ๐˜ฆ ๐˜Ž๐˜Ž๐˜‹?
Medewerkers hadden allemaal een verwerkersovereenkomst. Formeel geregeld.ย Maar in de praktijk kon (bijna) iedere medewerker lijsten downloaden met gegevens van mensen die gecontroleerd waren.
Dat is precies het punt:

๐๐ซ๐จ๐œ๐ž๐๐ฎ๐ซ๐ž๐ฌ ๐ณ๐ข๐ฃ๐ง ๐ง๐ข๐ž๐ญ ๐ก๐ž๐ญ ๐๐จ๐ž๐ฅ. ๐†๐ž๐๐ซ๐š๐  ๐ข๐ฌ ๐ก๐ž๐ญ ๐๐จ๐ž๐ฅ.
Je kunt een prachtige set regels hebben (ISO-proof, audit-proof)โ€ฆย maar als hetย dagelijks gedragย niet meebeweegt, zijn het papieren tijgers.

En dan komen de vragen die er echt toe doen:
– Kennen medewerkers de regels?
– Snappen ze waarom die regels bestaan (en wat er op het spel staat)?
– Is er geoefend op situaties uit de praktijk?ย (drukte aan de balie, snel iets pakken, โ€œben zo terugโ€)
– Wordt er ook gecheckt of het gebeurt?ย (niet om te straffen, maar om te borgen)

En ja, die zie ik ook nog vaak:ย Een directeur die wachtwoorden deelt met de secretaresse om bijvoorbeeld taken af te handelen โ€œAl dat gedoeโ€.

๐ƒ๐ž ๐ค๐ฎ๐ง๐ฌ๐ญ
De kunst is om procedures te bouwen die mensenย kunnenย volgen.
En om ze zo te borgen dat ze geen document zijn, maar eenย gewoonte.
Voor ons ook nog een uitdaging om niet een grote lijst aan ISO documenten te hebben waar niemand meer naar kijkt, maar een concrete lijst die borgt dat we (allemaal) doen wat juist is.

Hoe zit dat bij jullie?ย Zijn er regels en procedures? Kennen mensen de regels? Volgen ze ze ook als niemand kijkt?ย ๐Ÿ‘€

AFAS Software ISO Datalek KEEN Integrations