Federatief datadelen en cybersecurity

Hoe federatief datadelen via dataspaces de cybersecurity-positie van organisaties versterkt.

<>

Terug naar overzicht

3 maart 2026

Ben je minder kwetsbaar voor hackers als je federatief data deelt?

Waarom centraal opgeslagen data een structureel risico vormt – en hoe federatieve architectuur het aanvalsoppervlak verkleint

De omvangrijke hack bij Odido in februari 2026 kan niemand ontgaan zijn. Hackerscollectief ShinyHunters drong via social engineering de systemen binnen en exfiltreerde gegevens van 6,2 miljoen klanten: namen, adressen, IBAN-nummers, paspoortgegevens, interne klantnoten, allemaal in één klap op straat. De vraag die dit oproept, is er een die organisaties zichzelf serieus moeten stellen: ligt dit aan ongeluk? Aan de criminelen? Of aan een fundamentele architectuurkeuze?

Het antwoord zit grotendeels in dat laatste.

Waarom centraal opgeslagen data zo aantrekkelijk is voor aanvallers

Bij Odido draaide alles om één centraal Salesforce CRM-systeem. Bijna alle klantdata - van huidige én voormalige klanten van zowel Odido als Ben - stond bij elkaar. Wie via een gecompromitteerde medewerkersinlog toegang kreeg tot dat systeem, had in principe toegang tot alles.

De aanval zelf was geen geavanceerde zero-day exploit. ShinyHunters stuurde phishingmails naar medewerkers en belde die medewerkers vervolgens op, waarbij ze zich voordeden als IT-collega's. Daarmee omzeilden ze de tweefactorauthenticatie. Eén medewerker, één systeem, 6,2 miljoen klantrecords, dat is de rekening van centralisatie.

Centraal opgeslagen data creëert een enkelvoudig aanvalspunt waarop de gehele schade geconcentreerd is.

Dat Odido bovendien data bleek te bewaren die het op grond van de AVG al lang had moeten verwijderen - waaronder oude btw-nummers met BSN-gegevens - maakte de omvang nog groter. De Autoriteit Persoonsgegevens is inmiddels een onderzoek gestart en vroeg formeel opheldering. Het Openbaar Ministerie heeft een strafrechtelijk onderzoek geopend.

Wat federatief datadelen structureel anders doet

Federatief datadelen werkt vanuit een ander uitgangspunt: data blijft bij de bron en alleen geautoriseerde toegang wordt verleend. Er is geen centrale kopie van al je klantgegevens op één plek. In plaats daarvan bevraagt een bevoegde partij de gegevens bij de bronorganisatie en ontvangt alleen wat nodig is voor dat specifieke doel.

Dit is niet een beveiligingstruc bovenop een bestaande architectuur. Het is een structurele keuze die het aanvalsoppervlak fundamenteel verkleint.

Als een individueel systeem gecompromitteerd wordt, is alleen de data bij dat specifieke knooppunt bereikbaar, niet de gecombineerde dataset van miljoenen klanten. De schade schaalt mee met het principe van dataminimalisatie, niet met de omvang van een centrale database.

Federatieve architectuur beperkt de blast radius van een datalek structureel.

Dataminimalisatie is niet alleen goed beleid, het is EU-recht

Artikel 5 van de AVG verplicht organisaties al jaren tot dataminimalisatie: persoonsgegevens mogen alleen worden verwerkt voor het doel waarvoor ze zijn verzameld, en niet langer dan nodig. Artikel 25 gaat nog een stap verder met "privacy by design and by default": technische maatregelen moeten ervoor zorgen dat minimalisatie de standaard is, niet de uitzondering.

De EU Data Act - van kracht per september 2025 - bouwt hierop voort door interoperabiliteitsvereisten vast te stellen voor Europese dataspaces. Het is geen toeval dat die vereisten structureel aansluiten op een federatieve architectuur: data die niet centraal wordt gekopieerd, voldoet per definitie beter aan het minimalisatieprincipe.

De Europese cyberbeveiligingsrichtlijn NIS2 voegt hier cyberveiligheidsvereisten aan toe - verplichte risicobeoordelingen, versleuteling, tweefactorauthenticatie, bestuursaansprakelijkheid - met boetes tot 10 miljoen euro of 2% van de wereldwijde omzet.

Dataminimalisatie is geen optie maar een wettelijke verplichting.

De Nederlandse praktijk: het Datastelsel Verduurzaming Utiliteit

Het Datastelsel Verduurzaming Utiliteit (DVU) , de federatieve dataspace die Poort8 realiseerde voor RVO, laat zien hoe dit werkt: gebouwenergiedata blijft bij de bronorganisatie en wordt alleen bevraagd als er een geldige autorisatie bestaat, een autorisatie die de gebouweigenaar zelf beheert.

Wanneer je data niet centraliseert, elimineer je het risico dat één inbraak een complete dataset oplevert.

In een federatieve dataspace wordt data niet verplaatst, alleen bevraagd.

Federatief is veiliger, maar niet magisch

Eerlijk is eerlijk: federatieve architectuur elimineert beveiligingsrisico's niet. Ze verschuift ze. Je ruilt één centraal aanvalspunt in voor gedistribueerde knooppunten met eigen authenticatie, autorisatie en logging. Dat vereist een goed ingericht vertrouwensraamwerk, iets wat bewezen Europese standaarden invullen door juridisch en technisch waterdichte afspraken te maken over wie data mag bevragen, onder welke condities, en met welke verantwoording.

Maar de kern van de Odido-casus; één gecompromitteerde inlog die toegang geeft tot 6,2 miljoen klantrecords, is structureel onmogelijk als die records niet op één plek bij elkaar staan.

Daar komt nog een dimensie bij: in een volledige federatieve architectuur is er geen enkel centraal punt; niet voor de data zelf, maar ook niet voor toegangsrechten of voor identificatie. Autorisaties worden per knooppunt beheerd, er is geen centrale "sleutelbos" waarmee je bij één inbraak meteen overal binnen kunt. Identificatie vindt plaats bij de bron, niet in een centrale identiteitsdatabase. Een aanvaller die één knooppunt compromitteert, heeft daarmee geen hefboom naar de rest van het systeem.

Federatief datadelen maakt een Odido-schaal breach structureel onwaarschijnlijker.

Wat dit betekent voor jouw organisatie

De vraag is niet langer of je data deelt; wet- en regelgeving, ketenintegratie en klantprocessen vereisen dat allang. De vraag is hoe je het organiseert.

Organisaties die data centraliseren om het beheer simpel te houden, betalen die eenvoud mogelijk op een later moment terug in reputatieschade, boetes en klantverlies. Odido verloor in de weken na de hack duizenden klanten die naar andere aanbieders overstapten.

Bij Poort8 helpen we organisaties om federatieve datauitwisseling werkbaar te maken, met duidelijke controle over wie wat mag zien, gebaseerd op Europese standaarden. Niet als abstracte architectuurdiscussie, maar als concrete implementatie die aansluit op je bestaande processen. Onderzoek van JADS toont aan dat vertrouwen in neutrale infrastructuur een van de drie sleutelfactoren is voor het succes van dataspaces.

Jouw data, jouw regels, en een architectuur die dat ook echt borgt. Benieuwd hoe dit verschilt van een blockchain-aanpak? Lees ons artikel over waarom governance het verschil maakt tussen dataspaces en blockchain .

Klaar om te starten?

Ontdek hoe federatief datadelen jouw organisatie veiliger maakt.

Plan een Dataspace Discovery

Neem contact op

;

};

export default FederatiefDatadelenCybersecurity;

;

const FederatiefDatadelenCybersecurity = () => { return <> <BlogSEO title=

Centraal opgeslagen data creëert een enkelvoudig aanvalspunt. Federatief datadelen verkleint het aanvalsoppervlak structureel. Lees hoe federatieve architectuur de blast radius van een datalek beperkt.

>federatieve datauitwisseling</Link> werkbaar te maken, met duidelijke controle over wie wat mag zien, gebaseerd op Europese standaarden. Niet als abstracte architectuurdiscussie, maar als concrete implementatie die aansluit op je bestaande processen. <Link to=

> <strong>Jouw data, jouw regels, en een architectuur die dat ook echt borgt.</strong> Benieuwd hoe dit verschilt van een blockchain-aanpak? Lees ons artikel over <Link to=

>Plan een Dataspace Discovery</Link> </Button> <Button size=