Nieuws

Dit artikel stond in de Creditmanager 2-2025 en is geschreven door Tiemen van der Woude, Directeur Security en Programma’s

Inleiding: de onzichtbare dreiging

Elke vier seconden vindt ergens in de wereld een cyberaanval plaats. Ook de incassosector blijft daarbij niet buiten schot. De sector verwerkt dagelijks gevoelige persoonsgegevens en financiële informatie, wat het een aantrekkelijk doelwit maakt voor cybercriminelen. De toename van digitale samenwerking tussen ketenpartners vergroot de complexiteit en benadrukt de noodzaak voor een robuuste digitale weerbaarheid.​

De dreiging: een evoluerend landschap

Cyberaanvallen zijn geen incidentele gebeurtenissen; ze vormen een constante dreiging. Volgens het Microsoft Digital Defense Report 2024 worden klanten van Microsoft dagelijks geconfronteerd met meer dan 600 miljoen cyberaanvallen, variërend van ransomware tot phishing en identiteitsfraude. Deze aanvallen worden steeds geavanceerder en maken gebruik van kunstmatige intelligentie (AI) om hun effectiviteit te vergroten. Een opvallende trend is de vervaging van de grenzen tussen traditionele cybercriminelen naar hackers die opereren namens landen of geheime diensten en gefinancierde organisaties. Dit leidt tot een toename van gesponsorde cyberaanvallen. De financiële sector, inclusief de incassoketen, is hierbij een primair doelwit vanwege de waardevolle data die zij beheren.​

Wet- en regelgeving: NIS2, DORA en de Cyberbeveiligingswet

Op 14 december 2022 nam de Europese Unie de NIS2-richtlijn aan om de digitale weerbaarheid van lidstaten te versterken. Nederland verwacht deze in het derde kwartaal van 2025 te implementeren via de Cyberbeveiligingswet. Deze wet geldt voor ‘essentiële’ en ‘belangrijke’ entiteiten – zoals organisaties in energie, zorg, digitale infrastructuur, financiële dienstverlening en overheidsdiensten – en ook voor organisaties die worden aangewezen vanwege hun rol in vitale ketens of hun verwerking van vertrouwelijke gegevens.

Alhoewel incasso- en gerechtsdeurwaardersorganisaties niet onder deze wet vallen, hebben zij als partner voor organisaties voor wie deze wetgeving geldt er toch mee te maken. Zij werken met gevoelige persoonsgegevens, zijn digitaal sterk afhankelijk en vormen een schakel in de juridische en publieke infrastructuur. Creditmanagers mogen er dus op rekenen dat hun incassopartners uiterlijk in 2025 voldoen aan eisen zoals:

• het treffen van adequate beveiligingsmaatregelen (zorgplicht),
• het binnen 24 uur melden van ernstige incidenten (meldplicht)

Daarnaast is er DORA: impact op financiële instellingen en hun incassopartners

De Digital Operational Resilience Act (DORA) is een Europese verordening die vanaf 17 januari 2025 direct van toepassing is in alle EU-lidstaten. DORA verplicht financiële instellingen – zoals banken, verzekeraars en betaalinstellingen – om hun digitale weerbaarheid aanzienlijk te versterken. Dit houdt in dat zij strenge eisen moeten naleven op het gebied van ICT-risicobeheer, rapportage van ernstige digitale incidenten, en het testen van hun systemen op kwetsbaarheden.

Organisaties die optreden als externe dienstverleners voor financiële instellingen, zoals incasso- en gerechtsdeurwaardersorganisaties, vallen niet direct onder DORA, maar kunnen er indirect mee te maken krijgen. Financiële instellingen zijn namelijk verplicht aan te tonen dat hun toeleveranciers voldoen aan passende beveiligingsnormen en continuïteitseisen. Zij zullen deze verplichtingen vanuit DORA dan ook doorvertalen naar hun leveranciers.

Voor creditmanagers betekent dit dat zij kunnen verwachten dat incasso- en gerechtsdeurwaarders die voor hen werken of door hun financiële partners worden ingezet, steeds vaker moeten voldoen aan strengere eisen op het gebied van cybersecurity en incidentmanagement. Deze ontwikkeling maakt onderdeel uit van een bredere trend richting verhoogde digitale weerbaarheid in de financiële keten.

Bron: https://www.ncsc.nl/ https://eur-lex.europa.eu/eli/reg/2022/2554/oj/eng

Internationale context: een wereldwijde uitdaging

Amerikaanse technologiebedrijven zoals Google, Microsoft en Amazon domineren wereldwijd de markt voor cloudopslag, data-analyse en digitale infrastructuur. Veel Europese organisaties zijn hierdoor afhankelijk van niet-Europese platforms voor het opslaan en verwerken van data. Dit beperkt de controle over waar data wordt opgeslagen, wie er toegang toe heeft en hoe deze wordt beschermd.

Voor sectoren die met gevoelige persoonsgegevens werken, zoals de incassosector, gelden strikte wettelijke eisen op het gebied van compliance en dataveiligheid. Deze eisen worden rechtstreeks gesteld door Europese en nationale wet- en regelgeving, en gehandhaafd door toezichthouders zoals de Autoriteit Persoonsgegevens.

Daarnaast leggen grotere organisaties binnen de financiële sector, op basis van hun eigen wettelijke verplichtingen, aanvullende contractuele eisen op aan hun leveranciers en dienstverleners. Zo zorgen zij ervoor dat ook partijen binnen hun keten voldoen aan passende beveiligingsnormen en continuïteitseisen.

Wanneer gegevensverwerking plaatsvindt via niet-Europese infrastructuur, kan buitenlandse wetgeving zoals de Amerikaanse Cloud Act van toepassing zijn. Dit brengt risico’s met zich mee voor privacy en compliance binnen de Europese juridische kaders.

Tegen deze achtergrond groeit in Europa de roep om digitale soevereiniteit: het vermogen om data veilig en transparant binnen eigen juridische kaders te beheren. Initiatieven zoals Gaia-X, dat sinds 2019 werkt aan een Europees datanetwerk, weerspiegelen deze ambitie om minder afhankelijk te worden van grote buitenlandse spelers. Gaia-X is een Europees initiatief, met als doel om een veilig, transparant en interoperabel datanetwerk op te bouwen dat niet afhankelijk is van grote Amerikaanse of Chinese techbedrijven.

Grip krijgen op dreigingen

Om de digitale weerbaarheid van organisaties in de incassosector te versterken, is een holistische benadering nodig die zowel technologie, processen als samenwerking omvat.

Op basis van praktijkervaring binnen de sector, inzichten uit relevante wetgeving (zoals NIS2 en DORA) én de ontwikkelingen geschetst in dit artikel, heeft Syncasso een aantal concrete aanbevelingen geformuleerd.

Onderstaand een aantal adviezen en aanbevelingen die zijn bedoeld als handvatten voor organisaties die hun digitale beveiliging structureel willen versterken. Ze combineren technische maatregelen met organisatorische veranderingen en samenwerking, en vormen samen een geïntegreerde aanpak richting meer cyberweerbaarheid.

Aanbevelingen in techniek

Een robuuste digitale infrastructuur vormt de basis voor effectieve cybersecurity. Om risico’s te kunnen signaleren en analyseren, moeten systemen goed ingericht, gekoppeld en inzichtelijk zijn. Het opzetten van een Security Information and Event Management (SIEM)-systeem is daarbij een essentiële stap, maar vereist ook dat de onderliggende digitale omgeving geschikt is om de juiste data te genereren en te interpreteren. Denk aan het centraal loggen van gebeurtenissen, het standaardiseren van monitoringprocessen en het zorgen voor samenhang tussen fysieke en digitale beveiliging.

• Implementeer een SIEM-systeem om continu inzicht te hebben in verdachte activiteiten.
• Zorg voor een infrastructuur die data uit verschillende bronnen (zoals endpoints, netwerken en applicaties) adequaat verzamelt en beschikbaar maakt voor analyse.
• Koppel cybersecurity aan fysieke beveiligingsincidenten door standaard digitale checks uit te voeren.
• Veranker beveiligingsmaatregelen vanaf het begin in het ontwikkelen en beheren van software en systemen
• Zorg voor voldoende kennis en capaciteit om SIEM-data juist te interpreteren.

Processen: gestructureerde aanpak van incidenten

De effectiviteit van een SIEM-systeem staat of valt niet alleen met een goed ingericht incidentresponsproces, maar ook met de onderliggende technische infrastructuur. Om incidenten snel en doeltreffend op te sporen en te behandelen, moeten systemen zo zijn ingericht dat ze relevante data kunnen genereren, correleren en inzichtelijk maken. Dit vraagt om een combinatie van technische configuratie, goede detectieregels en realistische scenario’s (playbooks) die vooraf zijn doordacht.

Daarbij blijft een gestructureerd proces essentieel: alleen met duidelijke afspraken over detectie, analyse, besluitvorming en opvolging kunnen incidenten efficiënt worden afgehandeld. Denk aan heldere rollen, periodieke evaluaties en flexibiliteit om mee te bewegen met nieuwe dreigingen.

Aanbevelingen processen:

• Zorg voor een technische infrastructuur die relevante logdata genereert en geschikt is voor incidentanalyse.
• Ontwikkel en test concrete playbooks voor de meest waarschijnlijke incidenttypes (bijv. phishing, ransomware, datalek).
• Richt een formeel incidentresponsproces in, inclusief escalatieprocedures.
• Train teams in het herkennen en beoordelen van signalen uit het SIEM-systeem.
• Documenteer incidenten zorgvuldig en evalueer de aanpak na elk incident.
• Pas processen en playbooks regelmatig aan op basis van nieuwe dreigingen en leerervaringen.

Samenwerking & kennis: versterk de organisatie vanuit binnen én buiten

Cybersecurity vereist gespecialiseerde kennis en constante alertheid. Het is daarom verstandig om samen te werken met externe cybersecurityspecialisten en IT-beveiligingspartners. Tegelijkertijd is het belangrijk om ook intern te investeren in bewustwording en cultuurverandering. Door trainingen, simulaties en het ontwikkelen van ambassadeurs binnen het team, wordt cybersecurity een gedeelde verantwoordelijkheid in plaats van een taak van ‘de IT-afdeling’.

Aanbevelingen samenwerking & kennis:

• Werk samen met gespecialiseerde partners voor expertise en monitoring.
• Organiseer regelmatige phishing-simulaties om bewustzijn te verhogen.
• Train management en medewerkers in hun rol binnen cybersecurity.
• Stimuleer intern eigenaarschap via ambassadeurs en security champions.

Conclusie: van bewustwording naar actie

Cybersecurity is geen optionele luxe, maar een noodzakelijke voorwaarde voor continuïteit en vertrouwen in de incassosector. Bewustwording alleen is niet genoeg. Tijd voor concrete acties die écht bijdragen aan digitale weerbaarheid. Deze adviezen vormen daar een stevig fundament voor. Neem de autogordel, ontworpen in 1885 door George Cayley, die ooit als ongebruikelijk werd beschouwd. Inmiddels is die in vrijwel iedere auto standaard aanwezig en wordt door de meeste mensen als vanzelfsprekend gezien. Zo moet ook cybersecurity een integraal onderdeel worden van de dagelijkse praktijk. Door te investeren in technologie, processen en kennis kunnen organisaties zich wapenen tegen de voortdurende dreiging van cybercriminaliteit en bijdragen aan een veiligere digitale samenleving.

Lees het originele artikel hier.

Bronnen:

Nationaal Cyber Security Centrum (NCSC): Cyberbeveiligingswet (NIS2-richtlijn)​
De Nederlandsche Bank (DNB): Digital Operational Resilience Act (DORA)​De Nederlandsche Bank
Microsoft Digital Defense Report 2024: Microsoft Security Insider​