In een wereld waarin digitale processen steeds meer de boventoon voeren, worden ook non-profitorganisaties geconfronteerd met groeiende cyberdreigingen. Terwijl je missie gericht is op het helpen van anderen, zien cybercriminelen juist kansen in de vaak beperkte beveiligingsmaatregelen van goede doelen. De combinatie van waardevolle gegevens, beperkte IT-budgetten en focus op maatschappelijke impact maakt non-profits tot aantrekkelijke doelwitten.
Toch hoef je niet machteloos toe te kijken. Door je bewust te zijn van de specifieke risico’s kun je gerichte maatregelen nemen om je organisatie, donateurs en begunstigden te beschermen. In dit artikel bespreken we de zes meest voorkomende beveiligingsrisico’s waar elke non-profit rekening mee moet houden.
1: Phishing-aanvallen gericht op donateurs en vrijwilligers
Cybercriminelen hebben een speciale interesse in non-profits vanwege hun netwerk van donateurs en vrijwilligers. Via gerichte phishing-campagnes proberen ze zich voor te doen als jouw organisatie om gevoelige informatie of zelfs donaties te ontfutselen. Deze aanvallen worden steeds geavanceerder en moeilijker te herkennen.
Een veelvoorkomende tactiek is het versturen van e-mails die lijken te komen van een bestuurslid of bekende vrijwilliger, waarin om dringende financiële hulp wordt gevraagd. Ook zien we pogingen waarbij valse donatiepagina’s worden opgezet die exact op die van jouw organisatie lijken. Hiermee kunnen zowel financiële middelen als persoonlijke gegevens van goedwillende donateurs worden gestolen.
Preventietip: Train al je medewerkers en vrijwilligers in het herkennen van phishing-pogingen. Informeer donateurs regelmatig over hoe jullie communiceren en betalingen verwerken, zodat ze verdachte verzoeken kunnen herkennen.
2: Onvoldoende toegangsbeheer binnen de organisatie
Non-profits kennen vaak een grote doorloop van vrijwilligers en medewerkers, wat het beheren van toegangsrechten tot systemen en gegevens uitdagend maakt. In veel organisaties blijven oude accounts actief nadat iemand is vertrokken, of worden wachtwoorden gedeeld onder meerdere gebruikers om het “gemakkelijk” te houden.
Dit leidt tot een situatie waarin teveel mensen toegang hebben tot gevoelige informatie, zonder dat duidelijk is wie wanneer welke gegevens bekijkt of wijzigt. Vooral bij financiële systemen is dit risicovol; onvoldoende scheiding van bevoegdheden kan leiden tot misbruik of fraude zonder dat dit direct wordt opgemerkt.
Beschermingsmaatregel: Implementeer een strikt beleid voor gebruikersaccounts waarbij rechten worden toegekend op basis van wat iemand minimaal nodig heeft voor zijn of haar werk. Zorg voor regelmatige controles van actieve accounts en verwijder of deactiveer accounts van vertrokken medewerkers en vrijwilligers onmiddellijk.
3: Ransomware-aanvallen op kritieke missiegegevens
Ransomware vormt een toenemende bedreiging voor non-profits. Deze malware versleutelt je bestanden en eist losgeld voor het vrijgeven ervan. Voor organisaties die werken met gevoelige informatie over begunstigden, donaties of programma’s kan dit verwoestend zijn.
Het verlies van toegang tot kritieke gegevens kan je dienstverlening volledig stilleggen. Bovendien beschikken non-profits vaak niet over financiële reserves om losgeld te betalen of geavanceerde hersteloperaties uit te voeren. Zelfs als je zou betalen, is er geen garantie dat je je gegevens terug krijgt.
De gevolgen reiken verder dan alleen operationele verstoring – het verlies van vertrouwelijke informatie over kwetsbare groepen waarmee je werkt, kan leiden tot reputatieschade en juridische problemen.
Cruciale maatregel: Maak regelmatig back-ups van alle belangrijke gegevens en bewaar deze op een locatie die niet direct verbonden is met je netwerk. Test deze back-ups regelmatig om zeker te weten dat je ze kunt gebruiken als dat nodig is.
4: Hoe bescherm je privacy-gevoelige gegevens van kwetsbare groepen?
Als non-profit werk je mogelijk met informatie van kwetsbare individuen of groepen. Dit brengt specifieke verantwoordelijkheden met zich mee, zowel ethisch als juridisch. Onder de AVG/GDPR ben je verplicht om persoonsgegevens adequaat te beschermen, en de consequenties van datalekken kunnen zwaar zijn.
Veel non-profits verzamelen meer gegevens dan strikt noodzakelijk, bewaren ze langer dan nodig, of slaan ze op zonder voldoende beveiligingsmaatregelen. Dit vergroot de impact van een eventueel datalek aanzienlijk. Bedenk wat het zou betekenen als gevoelige informatie over je begunstigden op straat komt te liggen.
Beschermingsstrategie: Voer een data-audit uit om te bepalen welke gegevens je verzamelt, waarom je ze bewaart, en hoe lang ze nodig zijn. Minimaliseer dataverzameling tot wat essentieel is en zorg dat gevoelige informatie wordt versleuteld, zowel tijdens opslag als verzending.
5: Beveiligingsrisico’s van verouderde IT-infrastructuur
Veel non-profits werken met verouderde hardware en software vanwege budgetbeperkingen. Systemen die niet meer worden ondersteund met beveiligingsupdates vormen echter een enorm risico. Ongepatche software bevat vaak bekende kwetsbaarheden die cybercriminelen eenvoudig kunnen uitbuiten.
Daarnaast creëert een lappendeken van verschillende systemen die niet goed met elkaar communiceren extra beveiligingsproblemen. Gegevens die handmatig tussen systemen worden overgedragen, leiden vaak tot menselijke fouten en beveiligingsrisico’s.
Een ander probleem is dat oude systemen vaak niet compatibel zijn met moderne beveiligingsoplossingen zoals tweefactorauthenticatie of encryptie, waardoor basisbeveiliging al niet mogelijk is.
Effectieve aanpak: Maak een inventarisatie van je IT-omgeving en identificeer systemen die verouderd zijn of niet meer worden ondersteund. Ontwikkel een gefaseerd plan om kritieke systemen te vervangen of te updaten, waarbij je prioriteit geeft aan die systemen die de meest gevoelige gegevens bevatten.
6: Onvoldoende voorbereiding op beveiligingsincidenten
Zelfs met de beste preventieve maatregelen kan een beveiligingsincident optreden. Veel non-profits hebben echter geen plan voor hoe te reageren wanneer dit gebeurt. Zonder duidelijk incident-responsplan verliezen organisaties kostbare tijd in het bepalen wie wat moet doen, terwijl de schade zich verder uitbreidt.
Een goed incident-responsplan omvat niet alleen technische reacties, maar ook communicatie naar stakeholders, juridische verplichtingen (zoals meldplicht datalekken) en stappen om dienstverlening te continueren. Zonder zo’n plan kan een klein incident uitgroeien tot een existentiële crisis voor je organisatie.
Essentiële voorbereiding: Ontwikkel een incident-responsplan dat duidelijk definieert wie verantwoordelijk is voor welke acties bij een beveiligingsincident. Zorg dat iedereen in de organisatie weet wat te doen bij vermoedelijke incidenten en oefen het plan regelmatig.
Bouwen aan een veiligheidscultuur binnen je non-profit
Effectieve cyberbeveiliging is meer dan alleen technische maatregelen – het vereist een organisatiebrede cultuurverandering. Begin met het creëren van bewustzijn door regelmatige trainingen en updates over actuele dreigingen. Maak beveiliging een vast agendapunt tijdens vergaderingen, niet een onderwerp dat alleen wordt besproken na een incident.
Betrek iedereen bij het beveiligingsproces, van bestuursleden tot vrijwilligers. Als mensen begrijpen waarom bepaalde maatregelen nodig zijn, zullen ze eerder meewerken. Erken en beloon veilig gedrag en moedig mensen aan om potentiële risico’s te melden zonder angst voor negatieve gevolgen.
Denk ook aan een laagdrempelige benadering. Complexe beveiligingsprocessen worden vaak omzeild, dus zoek naar oplossingen die zowel veilig als gebruiksvriendelijk zijn. Houd rekening met de beperkte middelen van je organisatie door te focussen op de grootste risico’s eerst.
Bij officebox begrijpen we de unieke uitdagingen waar non-profits voor staan. We zien dat organisaties die veiligheid integreren in hun dagelijkse werkzaamheden niet alleen beter beschermd zijn, maar ook meer vertrouwen genieten van hun donateurs en begunstigden. Met de juiste aanpak is goede beveiliging bereikbaar voor elke non-profit, ongeacht grootte of budget.
Heb je vragen over hoe je de beveiliging binnen je organisatie kunt verbeteren? Neem gerust contact met ons op – we denken graag met je mee over praktische oplossingen die passen bij jouw specifieke situatie en missie.
Veelgestelde vragen
Hoe kunnen we met een beperkt budget toch effectieve cyberbeveiligingsmaatregelen implementeren?
Begin met gratis of betaalbare oplossingen zoals open-source firewalls, tweefactorauthenticatie en cloudgebaseerde beveiligingsdiensten die speciale non-profit tarieven bieden. Prioriteer de beveiliging van uw meest kritieke systemen en gegevens eerst. Overweeg ook om IT-professionals te benaderen voor pro-bono advies of zoek naar subsidies specifiek voor digitale veiligheid van non-profits. Collectieve inkoop met andere non-profits kan ook leiden tot aanzienlijke kostenbesparingen.
Wat moeten we doen als we vermoeden dat er een datalek heeft plaatsgevonden?
Handel snel maar doordacht. Isoleer eerst getroffen systemen om verdere schade te voorkomen. Documenteer alle waargenomen onregelmatigheden. Neem contact op met een IT-beveiligingsexpert om het incident te onderzoeken. Meld het lek binnen 72 uur bij de Autoriteit Persoonsgegevens als er persoonsgegevens zijn gelekt. Informeer betrokken personen transparant over wat er is gebeurd en welke stappen u neemt. Evalueer na afloop wat er is misgegaan en versterk uw beveiligingsmaatregelen om herhaling te voorkomen.
Hoe trainen we onze vrijwilligers effectief in cyberveiligheid zonder hen te overweldigen?
Maak training praktisch en relevant met concrete voorbeelden uit de non-profitwereld. Gebruik korte, regelmatige sessies (15-20 minuten) in plaats van lange, eenmalige trainingen. Focus op de meest voorkomende risico's zoals phishing en veilig wachtwoordgebruik. Deel echte voorbeelden van phishing-e-mails en leg uit hoe deze te herkennen. Creëer een omgeving waarin vrijwilligers zonder angst vragen kunnen stellen of incidenten kunnen melden. Overweeg gamification-elementen zoals korte quizzen om de betrokkenheid te vergroten.
Welke gratis of betaalbare tools kunnen we gebruiken om onze cyberveiligheid te verbeteren?
Er zijn diverse toegankelijke hulpmiddelen beschikbaar: LastPass of Bitwarden voor veilig wachtwoordbeheer, Microsoft Defender of Avast voor antivirusbescherming, Cloudflare voor webbeveiliging, en Have I Been Pwned om te controleren of e-mailadressen betrokken zijn geweest bij datalekken. Voor het maken van back-ups kunt u overwegen om Duplicati te gebruiken, en voor veilige communicatie is Signal een goede optie. Google biedt bovendien haar Google Workspace gratis aan voor kwalificerende non-profits, inclusief geavanceerde beveiligingsfuncties.
Hoe gaan we om met persoonlijke apparaten (BYOD) die vrijwilligers gebruiken voor organisatiewerk?
Ontwikkel een duidelijk BYOD-beleid waarin staat welke beveiligingsmaatregelen verplicht zijn, zoals up-to-date antivirussoftware en automatische vergrendeling. Gebruik cloudgebaseerde oplossingen waarbij gegevens niet lokaal worden opgeslagen. Laat gevoelige gegevens toegankelijk zijn via beveiligde webportals in plaats van downloaden. Overweeg het gebruik van virtuele desktops zodat werk plaatsvindt in een gecontroleerde omgeving. Maak duidelijke afspraken over wat te doen bij verlies of diefstal van een apparaat, zoals het onmiddellijk melden zodat toegang op afstand kan worden geblokkeerd.
Wat zijn de eerste stappen om onze huidige cyberbeveiligingssituatie te beoordelen?
Begin met een inventarisatie van alle digitale middelen, inclusief hardware, software en gegevens. Identificeer welke gegevens het meest gevoelig zijn en extra bescherming vereisen. Controleer wie toegang heeft tot welke systemen en of deze toegang nog nodig is. Evalueer uw huidige back-upstrategie en test of herstel daadwerkelijk werkt. Overweeg een eenvoudige beveiligingsscan uit te voeren met tools zoals Microsoft Secure Score of vraag een expert om een basis-beveiligingsaudit. Gebruik de resultaten om een prioriteitenlijst op te stellen van de meest urgente beveiligingsverbeteringen.
Hoe beschermen we donateursgegevens specifiek tegen cyberdreigingen?
Versleutel alle donateursgegevens, zowel tijdens opslag als verzending. Beperk wie binnen uw organisatie toegang heeft tot deze informatie op basis van 'need-to-know'. Gebruik betrouwbare, beveiligde betalingsverwerkers in plaats van zelf creditcardgegevens te verwerken. Implementeer sterke authenticatiemethoden voor systemen die donateursgegevens bevatten. Zorg voor regelmatige controle van activiteiten binnen deze systemen om ongebruikelijke patronen te detecteren. Bewaar donateursgegevens niet langer dan noodzakelijk en verwijder oude gegevens veilig wanneer ze niet meer nodig zijn.