Het zijn niet alleen de gegevens van medewerkers waar hackers op uit zijn. Maatwerkbedrijven werken vaak voor grote klanten in sectoren zoals voeding en gezondheidszorg, die onder de strenge NIS2-richtlijn vallen. Via zo’n toeleverancier proberen hackers soms alsnog binnen te geraken. “Besef dat je interessant bent voor hackers, ook al denk je van niet”, zegt Dirk Vissers, proces- en ICT-verantwoordelijke bij maatwerkbedrijf Lidwina.
“Lidwina is een maatwerkbedrijf in Mol. We creëren kansen voor mensen met een afstand tot de reguliere arbeidsmarkt. Kansen om te groeien in hun talenten en competenties, via zinvolle en begeleide tewerkstelling. Vandaag werken hier ongeveer 600 mensen, waarvan zo’n 480 maatwerkers en 120 begeleiders of omkadering”, schetst Dirk.
“Onze activiteiten zijn heel divers: verpakking – zowel voeding als niet-voeding –, assemblage, groenzorg, naaiwerk en houtbewerking. Daarnaast werken er ook ploegen rechtstreeks bij klanten op locatie. We spreken zelf graag van een ‘straat van sterke merken’.”
“Onze ambitie is om dé referentie te zijn in de Kempen op vlak van maatwerk. We focussen op tevreden medewerkers, klanten en omgeving, en nemen duurzaamheid als leidraad. Tegelijk willen we bijdragen aan een inclusieve samenleving.”
Digitalisering staat niet expliciet tussen die kernactiviteiten, maar is wel een rode draad doorheen de werking. Waarom is digitalisering zo’n belangrijk thema voor jullie?
“Digitalisering is niet meer te stoppen. Dat geldt voor ons als organisatie, maar zeker ook voor onze maatwerkers. Voor hen is het vaak moeilijker om mee te zijn in die digitale realiteit. Denk aan communicatie met overheid of banken: die verloopt vandaag bijna volledig via apps en online platformen. Dat vraagt vaardigheden die niet voor iedereen vanzelfsprekend zijn.”
“Daar zit ook een reëel risico. Onze doelgroep is kwetsbaarder voor phishing en online fraude. Eén verkeerde klik kan volstaan om geld kwijt te raken. Daarom zetten we sterk in op begeleiding: we tonen concrete voorbeelden van verdachte mails of berichten en leren mensen waar ze op moeten letten.”
Trojaans paard
Waar zit het grootste risico voor jullie als organisatie?
“Cybersecurity is voor ons geen bijzaak, maar een absolute noodzaak. We verwerken gevoelige informatie: medische gegevens, begeleidingsdossiers, persoonlijke trajecten. Als die in verkeerde handen vallen, kan dat leiden tot identiteitsfraude, reputatieschade en juridische gevolgen onder de GDPR.”
“Daarnaast maken we deel uit van een bredere keten. We werken voor klanten die onder strengere regelgeving vallen, zoals NIS2. Zij verwachten dat ook wij onze beveiliging op orde hebben. Het grootste risico is dat we een toegangspoort worden. Hackers proberen vaak niet rechtstreeks binnen te dringen bij grote bedrijven, maar zoeken een zwakkere schakel in de keten. Dan word je ongewild een ‘Trojaans paard’. Dat maakt organisaties in de social profit, waar IT niet altijd de core business is, net interessant.”
“Vertrouw niemand”
Hoe pakken jullie cyberveiligheid concreet aan?
“We hebben een aantal technische maatregelen genomen. We werken met een externe IT-partner die onze systemen monitort op verdachte activiteiten. Twee-factor-authenticatie is verplicht voor iedereen en back-ups worden continu opgevolgd.”
“Maar technologie alleen volstaat niet. De mens blijft de zwakste schakel. Daarom zetten we sterk in op bewustmaking. We werken met een ‘zero trust’-mentaliteit: vertrouw niets zomaar, klik niet zomaar, denk altijd twee keer na. Daarnaast bouwen we aan een structureel beleid. Wat doen we bij een incident? Wie neemt welke rol op? Hoe zorgen we dat we zo snel mogelijk weer operationeel zijn? Dat soort scenario’s werken we nu vooraf uit, zodat we niet moeten improviseren als het ooit misgaat.”
“Want de impact kan groot zijn. Onze werking kan stilvallen: machines die niet meer aangestuurd worden, planningen die verdwijnen, communicatie die wegvalt. Leveringen lopen vertraging op, klanten wachten, en de financiële schade kan snel oplopen. Omdat maatwerkbedrijven vaak met beperkte marges werken, kan zo’n onderbreking de organisatie ernstig destabiliseren. Cyberveiligheid is dus rechtstreeks gekoppeld aan onze continuïteit.”
“Ooit lukt het”
Merken jullie effectief pogingen tot cyberaanvallen?
“Ja. We zien regelmatig pogingen om in te loggen op e-mailaccounts van directieleden, vaak vanuit het buitenland en met geautomatiseerde wachtwoordpogingen. Tot nu toe zonder succes, maar dat zegt weinig over het risico.”
“We moeten ervan uitgaan dat het ooit lukt. Kijk naar wat er recent gebeurde bij het Antwerpse ziekenhuis AZ Monica, ook daar zijn systemen gehackt en gegevens buitgemaakt. Dat zijn organisaties met veel middelen en expertise, en toch gebeurt het. Dat zet alles wel in perspectief. Bovendien weet je nooit zeker of iemand al in je systeem zit zonder dat je het merkt. Aanvallen blijven soms maanden onder de radar. Dat maakt het zo complex en tegelijk zo belangrijk om waakzaam te blijven.”
Je nam deel aan een Groeilab rond cyberveiligheid. Wat heeft dat opgeleverd?
“Dat was bijzonder waardevol. We leerden onder andere denken als een hacker: waar zitten de zwakke plekken, hoe wordt er ingebroken, welke technieken worden gebruikt? De belangrijkste les voor mij was dat je cybersecurity niet kan uitbesteden. Je IT-partner is cruciaal, maar als organisatie moet je zelf verantwoordelijkheid nemen. Sindsdien werken we aan een volwaardig beleid: duidelijke procedures, incident- en recoveryplannen, regelmatige risicoanalyses. Cyberveilig werken moet deel worden van onze dagelijkse werking, niet iets dat ernaast hangt.”
Wat is jullie belangrijkste boodschap voor andere organisaties in de social profit?
“Wacht niet tot er iets gebeurt. Cybersecurity is geen luxe en ook geen puur technisch verhaal. Het gaat over mensen, gedrag en organisatie. En misschien nog het belangrijkste: besef dat je interessant bent voor hackers, ook al denk je van niet. Net omdat je denkt dat je geen doelwit bent.”
