De balans tussen toegankelijkheid en veiligheid

In gesprek met Bud Scheffer, hoofd ICT bij Museum Boijmans Van Beuningen. 

Waar ligt de balans tussen cyberveiligheid en werkbaarheid? Die vraag staat centraal in het werk van Bud Scheffer, hoofd ICT bij Museum Boijmans Van Beuningen. ‘Hoe veiliger je alles maakt, des te lastiger wordt het soms om goed te kunnen werken.’

10 minuten2 mrt `26

Open werken en toch veilig blijven

Het museumgebouw van Boijmans is al een tijdje dicht vanwege een grote verbouwing. Gelukkig kunnen bezoekers sinds een paar jaar terecht in het Depot: de allereerste opgeslagen museumcollectie ter wereld die bezoekers gewoon kunnen bekijken. ‘Een plek waar je zulke kostbare objecten bewaart, moet eigenlijk zo goed mogelijk afgesloten zijn,’ vertelt Scheffer. ‘Iedereen die binnenkomt, kan invloed hebben op de collectie. Toch willen we al deze voorwerpen zoveel mogelijk aan iedereen laten zien. Dat is een spanningsveld.’

Dat dilemma is vergelijkbaar met de veiligheidsvraagstukken die spelen binnen Scheffers eigen vakgebied: ICT. ‘Ook digitaal wil je zo vrij mogelijk te werk gaan. Tegelijkertijd moet je je informatie en systemen goed beschermen.’

Veilig werken op kantoor, thuis en onderweg

Toen Scheffer in 2017 bij Boijmans begon, stond cyberveiligheid nog niet hoog op de agenda. ‘In die tijd werkte iedereen op kantoor en was veel informatie alleen daar beschikbaar. Dat was veilig, maar niet flexibel. Toen steeds meer mensen ook thuis of onderweg gingen werken, moesten we onze systemen daarop aanpassen. Dat maakt het werk makkelijker, maar zorgt ook voor extra risico’s.’

Scheffer had de afgelopen twintig jaar in de consultancy gewerkt. In die branche ging het er heel anders aan toe. ‘Daar liep iedereen allang met een laptop onder de arm. Als consultant ben je vaak bij klanten op bezoek. Het is handig als je dan ook bij je bestanden kunt.’

Die ervaring hielp hem de systemen van Boijmans aan te passen aan de wens overal te kunnen werken. ‘We zijn nu beter beveiligd dan ooit. Tegelijkertijd vragen we steeds meer van onze systemen. Gelukkig worden daarvoor steeds meer tools ontwikkeld om dat mogelijk te maken.’

Foto van Bud Scheffer en logo van de DEN Community
Bud Scheffer, onderdeel van het DEN Community kernteam

Alleen toegang als dat nodig is

Veiligheid en gebruiksgemak gaan niet altijd goed samen. Een voorbeeld is multi-factor authentication (MFA), waarmee je via meerdere stappen bevestigt dat jij de eigenaar bent van een laptop, telefoon of mailadres. Denk bijvoorbeeld aan het invoeren van een code of het scannen van je vingerafdruk. Dat is veiliger, maar het kost wel een paar seconden extra.

Dat geldt ook voor de digitale schermen in het museum, vertelt Scheffer. ‘Het is handig als een leverancier op afstand iets kan aanpassen. Dan moet die persoon alleen wel toegang krijgen tot ons netwerk. Dat is niet veilig. Daarom is bij ons de regel: we geven alleen toegang als dat echt nodig is.’

Digitale veiligheid op de agenda

Om te voldoen aan de wensen en eisen van deze tijd, zijn steeds ingewikkeldere systemen nodig. Bij medewerkers die al een tijdje meelopen, roept dat soms vragen op. ‘Ze zeggen soms: vroeger kon dit wel, waarom nu niet meer? Of: ICT moet mij toch juist helpen om mijn werk beter te kunnen doen? Ik doe mijn best om dat voor elkaar te krijgen, maar ik moet ook risico’s voorkomen.’

Dat is niet altijd een dankbare taak, weet Scheffer uit ervaring. ‘Als alles werkt, hoor je niemand. Pas als iets vragen of irritatie oproept, komen mensen naar je toe. Daarom is het zo belangrijk dat we medewerkers goed voorlichten over de risico’s die we lopen als we niet veilig genoeg te werk gaan.’

Phishing herkennen en voorkomen

Een kantelpunt was een incident waarbij een account werd gehackt. De schade viel gelukkig mee, maar het voorval zette cyberveiligheid wel op de agenda. ‘Cyberveiligheid gaat niet alleen over techniek: juist de mens is vaak de zwakste schakel.’

Daarom organiseert Boijmans terugkerende trainingen voor medewerkers. Ook doet het museum regelmatig tests, bijvoorbeeld met phishingmails, zodat collega’s zulke berichten leren herkennen. ‘We proberen medewerkers bewust te maken van risico’s, maar niet iedereen is even makkelijk te bereiken,’ ziet Scheffer. ‘Vooral medewerkers op de vloer hebben weinig ruimte voor trainingen. Het zou mooi zijn als we als museum ook deze collega’s de kans geven zich hierin te verdiepen.’

Daarnaast is het belangrijk dat collega’s de meerwaarde van zo’n training inzien. ‘Ik probeer het belang naar de privésfeer te trekken. Thuis wil je ook niet dat iemand bij je bankgegevens kan. Die vergelijking helpt.’

Foto van een break out sessie tijdens de eerste DEN Community meet-up
Break-out sessie tijdens de eerste DEN Community meet-up

Belangrijkste systemen beschermen

Voor musea zijn er weinig normen over cyberveiligheid. ‘Als het gaat over de fysieke veiligheid van kunst, zijn er duidelijke regels. Digitaal werkt dat niet zo: we moeten zelf bepalen wat goed genoeg is. Dat is soms lastig: ik zou het fijn vinden als ik weet naar welk niveau ik moet streven.’

Om dat doel toch in kaart te brengen, liet Boijmans een onderzoek uitvoeren door een externe partij. ‘We hebben gekeken: waar staan we nu, waar willen we naartoe en wat is ervoor nodig om dat te bereiken? Ook hebben we bepaald welke informatie het belangrijkst is, en dus het best beschermd moet worden: de kroonjuwelen van het museum. ‘Ons collectieregistratiesysteem is ons belangrijkste kroonjuweel. Daarin staan de locaties van kunstwerken, maar ook gegevens van kunstenaars en schenkers. Ook financiële en juridische informatie is gevoelig. Denk bijvoorbeeld aan dossiers over de herkomst van een werk. Dat wil je niet zomaar op straat hebben liggen.’

Veilig samenwerken

Musea werken samen met allerlei partners, zoals leveranciers en externen. ‘Zij gebruiken vaak hun eigen laptop of telefoon. Daardoor kunnen wij de veiligheid minder goed garanderen. Daarom werken we met vaste digitale omgevingen, zoals Microsoft Teams, waarin je kunt instellen wie toegang heeft tot welke documenten.’

Sommige collega’s vinden zulke systemen lastig, ziet Scheffer. ‘Zij delen bestanden liever via een ander platforms, zoals Dropbox of Google. Daardoor verliezen wij alleen wel het overzicht. Daarom blijven we collega’s aanmoedigen de vaste routes te gebruiken.’

Blijven werken aan digitale veiligheid

Het museum maakt nog gebruik van systemen die lang geleden zijn gekozen. Die voldoen niet altijd aan de eisen van nu. ‘Cyberveiligheid moet het eerste criterium zijn waarop je selecteert. Hopelijk komen we ooit op een punt waarop al onze systemen aan onze wensen voldoen.’

Scheffer hoopt dat de cyberveiligheid bewaren in de toekomst nog een stuk makkelijker wordt. ‘Inloggen zonder wachtwoord wordt bijvoorbeeld steeds normaler. Dat is veiliger én gebruiksvriendelijker.’

Voor Scheffer is cyberveiligheid nooit klaar. ‘Het is geen project met een einddatum: het veld blijft zich ontwikkelen. Gelukkig kunnen musea elkaar helpen om bij te blijven. Veel collega-instellingen hebben dezelfde vragen. Door ervaringen te delen, komen we samen verder.’

Vijf tips voor een cyberveiliger museum

  1. Bepaal wat je ‘kroonjuwelen’ zijn

    Je kunt niet alles maximaal beveiligen. Kijk daarom eerst welke systemen en gegevens het belangrijkst zijn. Die verdienen extra bescherming.

  2. Maak een plan met duidelijke stappen

    Onderzoek waar je nu staat en waar je naartoe wilt, eventueel met hulp van een externe partij. Maak daarna een roadmap met concrete acties en een realistische planning.

  3. Investeer in bewustwording

    Medewerkers spelen een grote rol in digitale veiligheid. Organiseer korte trainingen en herhaal ze regelmatig. Maak het praktisch en herkenbaar, met voorbeelden uit het dagelijks leven.

  4. Kies voor veilige standaardoplossingen

    Werk zoveel mogelijk met dezelfde systemen, onder meer voor het delen van bestanden. Zo houd je grip op wie toegang heeft tot welke informatie en voorkom je dat medewerkers uitwijken naar minder veilige alternatieven.

  5. Neem cyberveiligheid mee bij elke nieuwe keuze

    Koop je een nieuw systeem of start je een nieuw project? Stel dan altijd de vraag: hoe zit het met de digitale veiligheid? Maak cyberveiligheid een vast onderdeel van je besluitvorming.

Ga in gesprek over cyberveiligheid!

Wil je meer weten over cybersecurity? Ga in gesprek met collega's uit de sector tijdens de DEN Community meet-up op 19 maart. Deze inspirerende netwerkmiddag brengt cultuurprofessionals samen om ervaringen en praktijkvoorbeelden rond cyberweerbaarheid te delen. Meld je aan en laat je inspireren.

Meer weten over cyberveiligheid?

Benieuwd hoe je jouw organisatie beter kunt beschermen tegen digitale dreigingen? Kom dan naar de DEN Community Meet-up op 19 maart en ga in gesprek met collega’s uit de sector. Tijdens deze inspirerende netwerkmiddag ontmoeten cultuurprofessionals elkaar om ervaringen uit te wisselen en praktijkvoorbeelden over cyberweerbaarheid te delen. Meld je aan en laat je inspireren door anderen uit de sector

Meer artikelen per onderwerp

Ontdek de laatste digitale trends in de cultuursector

Ontvang onze nieuwsbrief met tips, kennis en inspiratie over digitale transformatie in cultuur.

RequiredField
RequiredField