Cybersecurity voor erfgoedverenigingen: bescherm je digitale werking in vier stappen

Veel erfgoedverenigingen werken vandaag digitaal: ledenlijsten, collectieregistraties, foto’s en financiële gegevens staan vaak online of op computers. Dat maakt de werking efficiënt en toegankelijk, maar brengt ook risico’s met zich mee. Het is daarom belangrijk om te weten hoe je deze online informatie veilig houdt. In deze praktijktip vind je een concreet stappenplan om de digitale werking van je vereniging te versterken en te beschermen tegen mogelijke cyberaanvallen.

WAT IS CYBERSECURITY?

Cybersecurity betekent het zo goed mogelijk proberen beschermen van alle gegevens, accounts of bestanden die online of op computers staan tegen digitale aanvallen.

Online gegevens veilig houden is niet alleen belangrijk voor overheden of bedrijven. Ook erfgoedverenigingen bewaren heel wat waardevolle informatie, zoals:

  • ledenbestanden,
  • digitale collecties en foto’s,
  • financiële gegevens,
  • e-mailaccounts en websites.

Als deze informatie in verkeerde handen terechtkomt, kan dat grote gevolgen hebben: gegevens kunnen gestolen worden, accounts geraken geblokkeerd of geld verdwijnt.

De kroonjuwelen van jouw vereniging

Als je weet wat voor jouw vereniging de belangrijkste gegevens zijn, kan je je beveiliging gericht aanpakken.

Sta even stil bij de vraag: wat wil je beschermen? Wat zijn de kroonjuwelen van je vereniging? Denk aan de informatie en systemen die essentieel zijn voor je werking en die je niet kwijt wil raken of in verkeerde handen wil zien terechtkomen.

WELKE CYBERBEDREIGINGEN KAN JE TEGEN KOMEN?

Cyberbedreigingen bestaan in veel vormen. Twee van de meest voorkomende zijn phishing en hacking.

Phishing

Phishing is een vorm van internetfraude waarbij iemand probeert om je persoonlijke gegevens te verkrijgen, bijvoorbeeld via e-mail, sms of sociale media. De afzender doet zich daarbij voor als een betrouwbare organisatie zoals je bank, een overheidsdienst of zelfs een mede-vrijwilliger of bestuurslid.

Hoe herken ik een phishingpoging?

Vaak proberen hackers je te overtuigen om op een link te klikken, je wachtwoord in te geven of persoonlijke gegevens door te sturen. Zulke berichten herken je meestal aan een aantal zaken:

  • een vreemd of fout gespeld e-mailadres,
  • de naam van de afzender komt niet overeen met het gebruikte e-mailadres,
  • een algemene aanspreking, bv.: ‘Geachte klant’, ‘Beste heer/mevrouw’ of ‘Beste gebruiker’,
  • een dringende of dreigende toon, bv.: ‘Uw account wordt geblokkeerd’ of woorden zoals ‘opgeschort’ en ‘onmiddellijk’,
  • spellingsfouten en vreemde zinsconstructies,
  • de vraag om een handeling te verrichten, bv.: gegevens doorgeven,
  • een link naar een verdachte website.
Een voorbeeld van hoe een phishing mail eruit kan zien

Voorbeeld van een phishing mail.

Tip: ziet het bericht er verdacht uit? Druk dan nooit op de link! Ga er met je muis over, zonder erop te klikken, om het volledige webadres te bekijken. Twijfel je toch nog? Surf dan zelf naar de website van de organisatie om het bericht te controleren.

Meer informatie over het herkennen van een phishingpoging vind je hier. 

Hacking

Hacking gebeurt wanneer iemand zonder jouw toestemming binnendringt in jouw computer of op een van je online accounts. Dat kan bijvoorbeeld door wachtwoorden te kraken, schadelijke software (malware) te installeren of systemen over te nemen.

Hoe weet ik dat ik gehackt ben?

Als iemand je computer of accounts hackt, kan dat grote gevolgen hebben voor jouw privacy. Let op volgende signalen:

  • je kan niet meer inloggen op je account(s),
  • gegevens zijn verdwenen of gewijzigd,
  • bestanden openen niet meer zoals normaal,
  • sommige bestanden zijn versleuteld en onbereikbaar.

Tip: denk je dat je slachtoffer bent van hacking? Verander meteen je wachtwoorden, controleer je apparaten op verdachte activiteiten en neem contact op met je provider en het centrum voor cyberbeveiliging.

Jouw digitale veiligheid versterken: een praktisch stappenplan

Cybersecurity hoeft geen vak voor IT-experts te zijn. Je kan je vereniging al veel beter beschermen met vier eenvoudige stappen: preventie, detectie, reactie en herstel.

Voor je aan deze stappen begint, is het belangrijk om te bepalen wat je echt wilt beschermen. Zijn dat je digitale collecties, je ledenlijsten of je financiële gegevens? Kijk ook naar je digitale tools: welke websites gebruik je, hoe gebruik je ze en welke accounts zijn onmisbaar voor je werking? Zo weet je waar je je beveiliging op moet richten.

STAP 1: PREVENTIE

De beste manier om je vereniging te beschermen tegen digitale aanvallen is door te voorkomen dat er iets kan misgaan. Dat wil zeggen: proactief maatregelen nemen om je gegevens, accounts en systemen veilig te houden. Het is een slimme tijdsinvestering die je later veel stress en schade kan besparen.

Hou je software up-to-date

Computersoftware (de toepassingen en systemen die ervoor zorgen dat je computer werkt en dingen kan doen) wordt regelmatig bijgewerkt om nieuwe beveiligingslekken te dichten.

Zorg daarom dat je:

  • je computer regelmatig update,
  • apps en programma’s bijwerkt,
  • browsers (zoals Chrome of Edge) up-to-date houdt.

Maak regelmatig back-ups

Back-ups zijn kopieën van je bestanden op een andere locatie, bijvoorbeeld:

  • op een externe harde schijf,
  • op een online Cloud server zoals Google Drive, OneDrive of Dropbox.

Tip: maak om de drie tot zes maanden of minstens één keer per jaar een back-up van je belangrijkste bestanden.

Door deze routine aan te houden, behoud je zelfs bij een hack, een kapotte computer of een virus altijd toegang tot je gegevens.

Gebruik sterke wachtwoorden

Sterke wachtwoorden maken het hackers moeilijker om toegang te krijgen tot je accounts. Wachtwoorden zijn belangrijk om te hebben op je e-mailaccounts, maar ook op je Cloud servers.

Een goed wachtwoord:

  • heeft minstens 12 tekens,
  • bevat een combinatie van letters, cijfers en symbolen,
  • bevat geen persoonlijke informatie,
  • is uniek voor elk account.

Voorbeeld: -Qb(XhbP(QjJ%JRK

Omdat sterke wachtwoorden soms moeilijker te onthouden zijn, kan je gebruik maken van een wachtwoordmanager. Een wachtwoordmanager is een tool die al je wachtwoorden veilig opslaat op één plek en ook nieuwe, sterke wachtwoorden kan genereren voor je accounts. Veel browsers zoals Google Chrome en Microsoft Edge hebben al zo’n ingebouwde tool. Je kan ook aparte tools gebruiken zoals 1Password of Proton Pass.

Screenshot van wachtwoordmanager in Google Chrome.

De ingebouwde wachtwoordmanager in Google Chrome.

Gebruik multifactorauthenticatie

Multifactorauthenticatie (MFA) voegt een extra beveiligingslaag toe aan je accounts. Naast je wachtwoord moet je bijvoorbeeld ook een code op je smartphone ingeven.

Veelgebruikte apps zijn Microsoft Authenticator en Google Authenticator.

Zelfs als iemand je wachtwoord kent, kan die dus niet zomaar inloggen.

Beperk de beheerdersrechten van je vereniging

Beheerdersrechten bepalen wie in jouw vereniging toegang heeft tot welke systemen en gegevens. Niet iedereen hoeft alles te kunnen aanpassen of inzien. Maak daarom een duidelijk onderscheid tussen:

  • een standaardgebruiker: kan systemen bekijken, maar geen wijzigingen aanbrengen.
  • een lokale admin: heeft volledige controle over één computer.
  • een domeinadmin: kan meerdere computers beheren binnen één domein, bv.: alle systemen die te maken hebben met facturatie.
  • een enterprise admin: heeft toegang tot alle systemen en gegevens van de vereniging, dit zijn meestal bestuursleden of de directeur.

Door rechten zorgvuldig toe te wijzen, beperk je het risico op fouten of misbruik en blijft je digitale werking veiliger.

STAP 2: DETECTIE

Zelfs met goede preventieve maatregelen en een goede beveiliging kan er iets mislopen. Daarom is het belangrijk om verdachte situaties snel te herkennen.

Let bijvoorbeeld op:

  • onverwachte meldingen dat iemand zich heeft ingelogd,
  • wijzigingen in accounts of instellingen,
  • bestanden die plots verdwenen zijn,
  • onbekende activiteiten in e-mailaccounts.

Tip: heb je een Microsoft computer? Dan kan je gratis virusscans uitvoeren. Zo controleert je computer of er mogelijke bedreigingen of verdachte bestanden aanwezig zijn en helpt het problemen vroegtijdig op te sporen.

Voorbeeld van een datalek melding

Sommige bedrijven, zoals Google of Apple, waarschuwen je ook wanneer je gegevens betrokken zijn bij een datalek.

STAP 3: REACTIE

Denk je dat je slachtoffer bent van cybercriminaliteit? Dan is er maar één boodschap: snel reageren! Neem de situatie serieus, probeer zo snel mogelijk inzicht te krijgen in wat er aan de hand is en overleg met je bestuursleden en vrijwilligers over mogelijke oplossingen.

Wat kan je doen?

Stel een noodprocedure op voor je vereniging: bepaal wie eerst gecontacteerd wordt en wie daarna de juiste instanties inschakelt. Richt eventueel een crisisteam op binnen je vereniging dat de schade beoordeelt en het herstel coördineert. Zo weet iedereen wat zijn of haar taak is bij een mogelijke cyberaanval en kan er snel en georganiseerd gehandeld worden.

STAP 4: HERSTEL

De laatste stap in het beveiligen van je digitale werking is herstel. Hoe je dit precies aanpakt, hangt af van de schade en welke systemen of bestanden er zijn getroffen. Het is belangrijk om eerst duidelijk in kaart te brengen wat er verloren is gegaan of gewijzigd. Stel jezelf vragen zoals: welke accounts zijn geraakt, welke bestanden of archieven zijn verloren of ontoegankelijk gemaakt en zijn er financiële middelen verdwenen?

Niet elke aanval is even groot, maar ook kleinere incidenten kunnen schade veroorzaken als je er niet correct op reageert.

Wat kan je doen om je digitale veiligheid te herstellen?

  • Accounts: probeer contact op te nemen met het bedrijf van het gehackte account (bv.: Meta voor Facebook en Instagram, je bank …). Is je account gehackt? Dan moet je een nieuw account aanmaken. Informeer zo snel mogelijk alle betrokkenen zoals je leden, partners of je volgers.
  • Financiën: blijf in contact met je bank om te bekijken wat de mogelijkheden zijn bij verloren of gestolen geld.
  • Bestanden en documenten: kijk of je back-ups nog up-to-date zijn. Stel: de laatste back-up van je ledenlijst gebeurde zes maanden geleden. Ondertussen zijn er nieuwe leden bijgekomen. In dit geval is je back-up verouderd en moet je die aanpassen.

Blijf niet stilzitten

Na een cyberaanval is het belangrijkste: kijken hoe het is gebeurd en wat je kan verbeteren.

  • Waar zat de zwakke plek in je systeem of computer?
  • Welke maatregelen kan je nemen om deze zwakke plek te versterken?

Communiceer dit duidelijk binnen je vereniging. Door de oorzaak te begrijpen en maatregelen te nemen, verklein je de kans dat een soortgelijke aanval nog eens voorkomt en beperk je de potentiële schade.

CHECKLIST: HOE STAAT HET MET DE CYBERSECURITY VAN JE VERENIGING?

Gebruik deze handige checklist om te kijken hoe het met de digitale veiligheid van je vereniging gesteld is. 

  • Zijn de belangrijkste digitale gegevens van je vereniging in kaart gebracht? 
  • Gebruik je sterke wachtwoorden of een wachtwoordmanager?  
  • Heb je al een multifactorauthenticatie ingeschakeld?  
  • Worden er regelmatig back-ups van belangrijke bestanden gemaakt?  
  • Weet iedereen in jouw vereniging hoe phishingberichten eruitzien? Of waar ze op moeten letten bij een mogelijke hack? 
  • Is er afgesproken wie binnen je vereniging welke stappen onderneemt bij een cyberincident? 
  • Is er een noodprocedure uitgewerkt?