Op 27 oktober, tijdens de Werelddag voor Audiovisueel Erfgoed, organiseerde AVA_Net een webinar over een actueel thema: cyberveiligheid. Cybercriminelen vormen een reële dreiging, ook voor audiovisuele archieven en andere culturele instellingen. Hoe kun je risico’s beperken? Welke maatregelen zijn nodig om digitale collecties veilig te houden? En hoe ontwikkel je goed beleid voor jouw organisatie?
Tijdens het webinar deelt adviseur Natalie Fransen (DEN) praktische handvatten en inzichten aan de hand van situaties uit het audiovisuele erfgoedveld. Ze laat zien zien dat digitale weerbaarheid geen luxe is, maar een noodzaak. Met actuele voorbeelden, onderzoeksresultaten en praktische tools geeft ze de deelemers concrete handvatten om de digitale veiligheid van hun organisaties, hoe klein ook, te verbeteren.
Digitale transformatie vraagt om bewustzijn
DEN is het kennisinstituut voor digitale transformatie in de cultuursector. Het zet zich in om de digitale transformatie hanteerbaar, zodat cultuurprofessionals ermee aan de slag kunnen. Digitale ontwikkeling draait niet alleen om zichtbaarheid en publieksbereik, maar ook om het veilig omgaan met data, collecties en infrastructuur.
Toenemende dreiging
De urgentie rond cyberveiligheid is groot. Fransen verwijst naar recente incidenten, zoals een hack bij de British Library en een incident bij Beeld & Geluid waarbij een phishingmail en what’s app bericht uit naam van de directeur rondging. Resi Hesseling van Juridische Zaken van Beeld & Geluid geeft een toelichting op het incident en vertelt over de directe actie die de organisatie heeft ondernomen.
“Een dergelijke mail sturen we niet door, maar we maken een screenshot van om collega’s te waarschuwen en de afdeling ICT in te lichten. Ook rapporteren we de mail als phishing.” – Resi Hesseling (Beeld & Geluid)
Op de lange termijn worden nieuwe medewerkers van Beeld & Geluid tijdens hun onboarding geïnstrueerd over hoe ze moeten omgaan met phishing. Ook volgen zij een digital awareness training.
Onderzoek: bewustzijn groeit, borging blijft achter
Het maakt niet uit hoe groot of klein je bent: geen enkele organisatie is ongevoelig voor cyberattacks. Uit een onderzoek van DEN onder 120 culturele organisaties blijkt dat drie op de tien instellingen al eens te maken heeft gehad met een digitaal incident. Vaak gaat het om phishing, misbruik van persoonsgegevens of financiële schade. Hoewel veel organisaties praktische maatregelen nemen, ontbreekt structurele borging nog te vaak.
“De techniek is meestal niet het probleem, het gaat om organisatiecultuur, beleid en verantwoordelijkheden.” – Natalie Fransen (DEN)
Werkgroep Cyberveiligheid voor erfgoed
Binnen de landelijke Weerbaarheidsagenda werkt de Taskforce Veilig Erfgoed aan manieren om erfgoedinstellingen beter te wapenen tegen dreigingen. Een van de werkgroepen richt zich specifiek op cyberveiligheid, met als doel erfgoedbeheerders zelfredzamer te maken wanneer zich digitale risico’s voordoen. Dat sluit goed aan bij de boodschap van Fransen: cyberveiligheid begint bij een open cultuur en bewustwording, maar vraagt óók om duidelijke afspraken, beleid en training.
Van bewustwording tot beleid
Volgens Fransen draait cyberveiligheid om drie samenhangende pijlers:
- Praktische maatregelen – zorg voor back-ups, automatische updates en tweestapsverificatie.
- Bewustzijn en vaardigheden – train medewerkers in het herkennen van verdachte situaties.
- Leiderschap en governance – leg verantwoordelijkheden vast en reserveer budget.
Natalie wijst de deelnemers op de CyberVeilig Check van DEN in samenwerking met het Digital Trust Center en als nuttige hulpmiddel om de eigen organisatie te testen. Uit de resultaten blijkt dat de cultuursector op vrijwel alle onderdelen onder het landelijke gemiddelde scoort.
Ervaringen uit de AV-erfgoedpraktijk
Information manager Ernst van Velzen van Eye Filmmuseum en ICT-engineer Tristan Zondag van Beeld & Geluid delen over hoe hun organisaties omgaan met digitale dreigingen. Ernst vertelt dat bij zijn organisatie de nadruk ligt op bewustwording onder medewerkers. Om deze te vergroten doen ze elk jaar een test met een phishingmail. Beeld & Geluid laat regelmatig pentesten uitvoeren. Tristan vertelt over de risico’s die daarbij zichtbaar worden en de beveiligingsmaatregelen die Beeld & Geluid vervolgens neemt. Ook beschikt de organisatie over de ISO 27001-certificering voor informatiebeveiliging, een internationale standaard die de veilige omgang met alle bedrijfsgegevens toetst.
Vier stappen naar een veilige organisatie
Fransen presenteert een helder stappenplan voor cyberveiligheid:
- Breng je kroonjuwelen in kaart – systemen die essentieel zijn voor de bedrijfsvoering.
- Bepaal welke risico’s je kunt accepteren en welke niet.
- Implementeer beheersmaatregelen op het gebied van beleid, IT en bewustwording.
- Monitor, train en evalueer regelmatig.
Als praktische ondersteuning noemt ze de praatplaat van het Digital Trust Center, die helpt bij het gesprek tussen organisatie en IT-dienstverlener over verantwoordelijkheden en samenwerking bij incidenten.
“Een aanval kan iedereen treffen”
In haar afsluiting benadrukt Fransen het belang van voorbereiding.
“Een cyberaanval kan iedereen treffen. Wat telt, is hoe je erop voorbereid bent en wat je ervan leert.”- Natalie Fransen (DEN)
Tot slot verwijst ze naar het voorbeeld van Het Utrechts Archief, dat eerder openlijk deelt hoe het een cyberaanval het hoofd biedt. “Dit soort kennisdeling maakt de hele sector sterker,” zegt Fransen.
Meer informatie
- DEN artikelen en tools over cyberveiligheid
- Vragen? Mail naar Natalie Fransen: Natalie.Fransen@den.nl
