Ambtenaren, chirurgen en advocaten: waarom elke sector te maken heeft met een probleem op het gebied van mobiele beveiliging

Ambtenaren, chirurgen en advocaten: waarom elke sector te maken heeft met een beveiligingsprobleem op het gebied van mobiele apparaten – voorpagina

Mobiele beveiliging is geen kwestie die zich beperkt tot de defensiesector en af en toe overslaat naar andere sectoren. Het is een algemeen risico dat zich op verschillende manieren manifesteert, afhankelijk van wat uw organisatie doet, welke gegevens zij verwerkt en wie daar toegang toe wil hebben. De sectoren die in het verleden het minst in mobiele beveiliging hebben geïnvesteerd, zijn vaak juist de sectoren die de meest gevoelige informatie opslaan op de slechtst beveiligde apparaten.

De vijf aanvalsvectoren die in het vorige artikel zijn van toepassing op alle sectoren. Wat verschilt, zijn de gevolgen van een succesvolle inbreuk, het regelgevingskader dat de reactie regelt en de specifieke aanvallers die een reden hebben om zich voor uw gegevens te interesseren.

Overheid en publieke sector

Ambtenaren bij Nederlandse ministeries sturen regelmatig werkgerelateerde berichten via WhatsApp; dat is geen geheim. Bij verschillende ministeries is dit formeel verboden, maar in de meeste gevallen is dit verbod in de praktijk niet te handhaven. De kloof tussen beleid en realiteit is geen cultureel falen; het is een falen van de systeemarchitectuur. Als er geen goedgekeurd, bruikbaar alternatief is, gebruiken mensen gewoon wat werkt.

Het gevolg is dat gevoelige overheidscommunicatie stelselmatig via infrastructuur verloopt die onder Amerikaanse jurisdictie valt, wordt opgeslagen op servers die buiten het juridische bereik van Nederland of de EU liggen, en voor Meta toegankelijk is op grond van de Amerikaanse wetgeving. De Nederlandse staatssecretaris erkende in maart 2026 dat het gebruik van WhatsApp een risico vormt. De Europese Commissie heeft in april 2026 een mededingingsprocedure tegen Meta en WhatsApp ingeleid. Frankrijk, Duitsland en België hebben al door de overheid ingehuurde alternatieven in gebruik genomen. Nederland is actief bezig met het testen van mogelijkheden.

NIS2, dat in oktober 2024 in Nederlandse wetgeving is omgezet, brengt achttien kritieke sectoren binnen het verplichte toepassingsgebied, waaronder communicatiemiddelen. Voor overheidsorganisaties leidt de combinatie van een formeel WhatsApp-verbod, actieve NIS2-auditvereisten en het ontbreken van een geïmplementeerd alternatief tot een nalevingskloof die nu meetbaar is en op bestuursniveau speelt.

Gezondheidszorg

Volgens gegevens van de FBI over het jaar 2024 is de gezondheidszorg van alle categorieën kritieke infrastructuur de sector die het meest het doelwit is van gecombineerde aanvallen met ransomware en gegevensdiefstal. De gemiddelde kosten van een datalek in de gezondheidszorg bedroegen in 2024 9,8 miljoen dollar, een stijging die volgens de sectoranalyse van ScienceSoft. Phishing via e-mail is het belangrijkste toegangspunt en verantwoordelijk voor 63% van alle inbreuken via toegangspunten in de sector.

Mobiele apparaten spelen een centrale rol bij dit risico. Klinisch personeel gebruikt smartphones om de patiëntenzorg te coördineren, dossiers in te zien en te communiceren tussen afdelingen. Hetzelfde apparaat waarop ’s ochtends een phishingbericht binnenkomt, wordt ’s middags gebruikt om patiëntgegevens in te zien. Zonder endpointbeveiliging op mobiele apparaten is er geen mechanisme om de aanval te onderscheppen voordat deze slaagt.

De gevolgen voor de gezondheidszorg reiken verder dan alleen gegevensverlies. Wanneer systemen door ransomware worden platgelegd, wordt de zorgverlening verstoord. In 2024 werd 58% van de computers binnen de getroffen zorginstellingen getroffen door aanvallen. Het vermogen van een ziekenhuis om als ziekenhuis te functioneren, wordt rechtstreeks beïnvloed door de beveiligingsarchitectuur van de mobiele eindpunten.

Defensie en kritieke infrastructuur

Medewerkers van Defensie gebruiken privételefoons voor operationele communicatie. Niet omdat ze dat willen, maar omdat er geen goedgekeurd alternatief is. De grijze zone tussen vertrouwelijke communicatiemiddelen en berichtenapps voor consumenten is breed, en het grootste deel van de operationele activiteiten vindt daarbinnen plaats.

De ‘Salt Typhoon’-campagne bevestigde eind 2024 dat de telecominfrastructuur zelf een aanvalsoppervlak vormt. China heeft in meer dan 80 landen inbreuk gepleegd op systemen voor wettelijke interceptie, waarbij is bevestigd dat ook Nederland hierdoor is getroffen. Wanneer het onderliggende netwerk is gecompromitteerd, biedt versleuteling op applicatieniveau in een berichtenapp voor consumenten slechts beperkte bescherming.

Voor exploitanten van kritieke infrastructuur heeft NIS2 crisiscommunicatiekanalen expliciet in het auditbereik opgenomen. Aannemers en veldtechnici die operationele gegevens delen via WhatsApp-groepen vormen nu niet alleen een veiligheidsprobleem, maar ook een nalevingskwestie. De organisaties die op dit gebied het grootste risico lopen om niet te slagen voor een NIS2-audit, zijn niet degenen die de beveiliging volledig hebben genegeerd. Het zijn juist de organisaties die de IT-beveiliging grondig hebben aangepakt, maar de mobiele beveiliging als bijzaak hebben behandeld.

Juridische dienstverlening en journalistiek

Advocaten hebben een wettelijke plicht om de vertrouwelijkheid van hun cliënten te waarborgen. Journalisten hebben een professionele en, in sommige rechtsgebieden, wettelijke verplichting om hun bronnen te beschermen. Beide groepen maken voor hun communicatie in overgrote mate gebruik van mobiele apparaten, en van beide is aangetoond dat ze het doelwit zijn van geavanceerde surveillance.

Er is vastgesteld dat Pegasus op de apparaten van advocaten, journalisten en politici in heel Europa is geïnstalleerd. Voor de aanvallen hoefde het slachtoffer niets te doen; de apparaten draaiden de meest recente software en de infectie was voltooid voordat de gebruiker doorhad dat er iets was gebeurd.

De geheimhoudingsverplichtingen ten aanzien van cliënten zijn structureel onverenigbaar met communicatieplatforms die gegevens verwerken onder Amerikaanse jurisdictie. Het juridische risico dat hierdoor ontstaat, zowel voor de advocaat als voor de cliënt, is niet louter theoretisch. Het hangt af van waar de gegevens naartoe gaan en wie er onder welk juridisch kader toegang toe heeft.

De conclusie

Elke hierboven beschreven sector kent een ander dreigingsprofiel, andere wettelijke vereisten en andere gevolgen wanneer er sprake is van een succesvolle inbreuk. Wat ze gemeen hebben, is het volgende: mobiele apparaten brengen organisatorische risico’s met zich mee waarvoor de meeste beveiligingsarchitecturen niet zijn ontworpen, en de kloof tussen de huidige beveiligingsstatus en een toereikende beveiligingsstatus wordt steeds groter.

De organisaties die die kloof als eerste dichten, zullen niet alleen beter beveiligd zijn. In het kader van NIS2 zullen ze ook aantoonbaar aan de voorschriften voldoen. De organisaties die dat niet doen, lopen beide risico’s tegelijkertijd.