Het lectoraat Cyberweerbare Organisaties van Avans Hogeschool komt eind deze week met de MKB-Datawatcher, een gratis dienst die mkb-bedrijven mailt zodra hun zakelijke inloggegevens op leak-sites opduiken. In opdracht van politie Oost-Brabant, en gericht op het mkb, de groep die nu meestal buiten beeld blijft.
De MKB-Datawatcher van de politie Oost-Brabant en Avans Hogeschool is een detectie- en alarmeringssysteem dat een mkb-bedrijf een mail stuurt zodra het e-mailadres en wachtwoord ervan opduiken op openbare sites waar gelekte inloggegevens worden gedeeld. De dienst is gratis en bedoeld om te waarschuwen vóórdat criminelen die gegevens misbruiken. De tool zelf is gebouwd met hulp van de Academie voor Technologie en Innovatie (ATIx) van Avans. De dienst komt voort uit een onderzoeksproject dat het lectoraat sinds september 2025 uitvoert.
Dat de politie het project bij een hogeschool belegde, is een bewuste keuze. Sommige vraagstukken lenen zich goed voor praktijkgericht onderzoek in het hoger onderwijs, omdat een hogeschool zo’n project op grotere schaal kan uitvoeren dan de politie zelf, legt een interventiespecialist van Team Cybercrime van politie Oost-Brabant uit. “Wij blijven betrokken voor de duiding van cybercrime en de betrouwbaarheid van het onderzoek”, zegt hij. De gezamenlijke focus op een weerbaarder mkb maakt Avans wat hem betreft een logische partner.
De aanleiding is dat de aanpak van datalekken nu nog te vaak reactief is, zegt Rick van der Kleij, lector Cyberweerbare Organisaties bij Avans Hogeschool. Bestaande notificatie richt zich bovendien vooral op grote bedrijven die betaalde beveiligingsdiensten kunnen inkopen. Het mkb mist die kennis, capaciteit en de middelen. “Ondernemers willen best stappen zetten, maar weten vaak niet hoe ze moeten beoordelen wat ze nodig hebben”, zegt Van der Kleij. “De taal van securityleveranciers sluit niet aan op die van de ondernemer, waardoor onduidelijk blijft welk risico een product eigenlijk oplost.”
Ongevraagd waarschuwen maakt het verschil
Waarschuwen bij datalekken bestaat al, maar de MKB-Datawatcher is nét even anders. Bij Have I Been Pwned van beveiligingsonderzoeker Troy Hunt en bij Check je Hack van de politie moet je zelf je e-mailadres invoeren om te zien of het in een lek voorkomt. Het Nationaal Cyber Security Centrum (NCSC), vallend onder het Ministerie van Justitie en Veiligheid, waarschuwt bedrijven wel actief over kwetsbaarheden in software, maar niet over gelekte wachtwoorden. De MKB-Datawatcher combineert beide: die benadert bedrijven ongevraagd én specifiek over gelekte inloggegevens.
Volgens Van der Kleij ligt juist daar de winst. “Van heel veel mkb-bedrijven gaan de inloggegevens al rond zonder dat iemand het doorheeft, want er is nog niets zichtbaar misgegaan”, zegt hij. “Die ondernemers weten van niets. Hoe eerder ze horen dat hun gegevens zijn gelekt, hoe sneller ze hun wachtwoorden kunnen wijzigen en erger kunnen voorkomen.”
Het systeem werkt in stappen, legt Van der Kleij uit. Eerst analyseert het zogeheten combolijsten, bestanden waarin gelekte e-mailadressen en wachtwoorden worden aangeboden. Vaak staat daarin al een aanwijzing dat het om Nederlandse gegevens gaat. Privé-mailadressen worden er zoveel mogelijk uitgefilterd, al lukt dat niet helemaal omdat sommige ondernemers hetzelfde adres zowel zakelijk als privé gebruiken. Daarna koppelt het systeem het mailadres aan een webdomein, zoekt daar een KvK-nummer bij en controleert dat via een koppeling met de database van de Kamer van Koophandel. Pas als al die controles kloppen, staat met voldoende zekerheid vast dat het lek bij een Nederlands bedrijf hoort.
Dat de dienst daarvoor zelf gelekte persoonsgegevens verwerkt, vraagt om zorgvuldigheid. “Voorafgaand aan de ontwikkeling van de tool is een uitgebreid proces doorlopen, waaronder een volledige Data Protection Impact Assessment. Daarmee is vooraf beoordeeld welke persoonsgegevens worden verwerkt, waarom dat noodzakelijk is en welke maatregelen nodig zijn om de risico’s voor betrokkenen te beperken”, zegt Van der Kleij. Het systeem bewaart zo min mogelijk gegevens. Wachtwoorden worden bovendien meteen gehasht, zodat de onderzoekers ze zelf niet kunnen inzien. De data staan in de beveiligde onderzoeksomgeving van SURF, de ict-coöperatie van het Nederlandse onderwijs en onderzoek. Een bedrijf kan vervolgens via een e-mailadres in de melding contact opnemen met de onderzoekers om zijn gegevens te laten aanpassen of verwijderen.
Herkenbaar maken tegen phishing
Een ongevraagde mail over gelekte wachtwoorden roept meteen een vraag op: hoe weet de ontvanger dat het bericht echt is en geen phishing? Toen het Digital Trust Center, sinds 1 januari dit jaar onderdeel van het NCSC, namelijk ooit zijn eigen waarschuwingsdienst testte, bleek dat bedrijven veel vaker iets met een melding deden als ze hun gegevens zélf hadden aangemeld. Bij ongevraagde meldingen was vaak onduidelijk wie de afzender was, en dat remde de respons.
Het ontwerp van de MKB-Datawatcher is daarop afgestemd. De mail draagt de logo’s van Avans en de landelijke politie en verwijst naar officiële sites waar de ontvanger de informatie kan controleren. “We zetten bewust geen klikbare links in de mail. Dat sluit aan bij het advies om niet zomaar op links in onverwachte berichten te klikken”, zegt Van der Kleij.
Naast de waarschuwing krijgt een bedrijf een concreet stappenplan. Het eerste advies is om te controleren of de getroffen adressen voorkomen bij diensten als Have I Been Pwned en het Nederlandse Check je Hack. Daarna geldt: wijzig de wachtwoorden van de geraakte accounts en zet waar mogelijk tweefactorauthenticatie aan. Wie een IT-leverancier heeft, kan die er direct bij betrekken. De melding wijst ook de weg naar aangifte.
Winst zit ook in aangifte
De ambitie reikt verder dan de regio van de opdrachtgever (Oost-Brabant). De notificatie zelf is niet aan een gebied gebonden: zodra een lek aan een Nederlands mkb-bedrijf is te koppelen, kan de melding overal in het land uitgaan. Het formele onderzoek van het lectoraat Cyberweerbare Organisaties aan Avans Hogeschool loopt in juli 2026 af, maar de dienst moet daarna zeker vijf jaar blijven draaien. ATIx onderhoudt en ontwikkelt de tool verder.
Wat succes is, houdt Van der Kleij bewust bescheiden. “Zelfs als we 1 procent van het Nederlandse mkb helpen om verdere schade te voorkomen, is dat al aanzienlijke winst”, zegt hij. En er is een tweede opbrengst, die het project groter maakt dan de losse bedrijven die een mail krijgen. “Het zou ook winst zijn als meer bedrijven aangifte doen wanneer ze slachtoffer worden. Dat helpt niet alleen het bedrijf zelf, het geeft de politie eindelijk zicht op dat verborgen aantal.”