Toen het Instituut voor de Nederlandse Taal (INT) in mei 2026 slachtoffer werd van een ransomware-aanval, is het voorstelbaar dat sommige mensen zich afvroegen waarom juist een taalinstituut doelwit zou zijn.

Bij een telecombedrijf als Odido kunt u zich nog iets voorstellen. Daar zitten miljoenen klantgegevens. Bij een gemeente gaat het om persoonsgegevens van inwoners. Maar een organisatie die woordenboeken onderhoudt, taalonderzoek doet en taaladvies geeft? Wat moet een crimineel daarmee?

Misschien zit daar een denkfout

Waarom?

Wie aan een hack denkt, denkt vaak aan de organisatie zelf. Cybercriminelen kijken juist naar wat er achter die organisatie schuilgaat. Een taalinstituut heeft leveranciers, samenwerkingspartners, medewerkers, contracten, contactpersonen en financiële gegevens. In het geval van het INT bleek uit het onderzoek dat onder meer namen, adressen, contactgegevens en bankrekeningnummers van zakelijke relaties mogelijk waren buitgemaakt: de gegevens waarmee criminelen phishingmails geloofwaardiger kunnen maken of andere vormen van digitale oplichting kunnen voorbereiden.

Dat maakt een taalinstituut niet zo anders dan een sportclub, ziekenhuis of gemeente.

De afgelopen maanden werd de ene na de andere organisatie werd getroffen. Odido, Basic-Fit, ChipSoft, Gemeente Ede en Onderwijsinstellingen die met Canvas werken. Vervolgens ook het Instituut voor de Nederlandse Taal. Het voelt bijna alsof criminelen willekeurig met dartpijlen naar een lijst van organisaties gooien.

Volgens Jelmer Schreuder van brancheorganisatie NLdigital is “die reeks incidenten geen toeval, maar onderdeel van een wereldwijd patroon.” De vraag is volgens hem steeds minder of een organisatie interessant genoeg is om aan te vallen. Veel belangrijker is of een organisatie kwetsbaar genoeg is om binnen te komen. Met andere woorden: niet de aantrekkelijkheid van het doelwit staat centraal, maar de mogelijkheid om toegang te krijgen.

Dat klinkt ongemakkelijk. Want het betekent dat er geen duidelijke rangorde bestaat van “belangrijke” en “onbelangrijke” slachtoffers.
Alles wat aan internet hangt, komt in beeld.

It’s all about the money

Daar komt nog iets bij. Veel organisaties beschikken niet over onbeperkte budgetten voor digitale beveiliging. Grote multinationals investeren miljoenen. Kleinere instellingen, verenigingen en kennisorganisaties hebben die mogelijkheden vaak niet. Tegelijk maken ze gebruik van dezelfde digitale infrastructuur als de grote spelers. Het internet maakt daarin weinig onderscheid.

Geen angst

Dat betekent overigens niet dat we nu angstig moeten worden van iedere website waar we ooit een account hebben aangemaakt. Organisaties hebben persoonsgegevens nodig om diensten te kunnen leveren. Een reis boeken, een pakket ontvangen, een abonnement afsluiten of online bankieren kan nu eenmaal niet zonder gegevens achter te laten.

Wel groeit het besef dat een datalek geen uitzonderlijke gebeurtenis meer is. Daarom wordt steeds vaker gepleit voor het principe dat organisaties alleen gegevens verzamelen die echt noodzakelijk zijn. Hoe minder gegevens worden opgeslagen, hoe minder er uiteindelijk kan worden buitgemaakt.

Misschien is de belangrijkste les van de hack bij het Instituut voor de Nederlandse Taal dan ook niet dat een taalinstituut interessant is voor criminelen.

Misschien is de les dat wij nog steeds denken dat sommige organisaties te saai zijn om doelwit te worden. Terwijl cybercriminelen allang niet meer naar saai of interessant kijken. Die kijken vooral naar wat er achter de voordeur ligt.