Nieuws
image

Hoogleraar pleit wegens datalekken voor professionele digitale architecten

donderdag 2 april 2026, 13:16 door Redactie, 18 reacties

Om datalekken en andere beveiligingsincidenten te voorkomen moeten digitale systemen worden ontwikkeld door professioneel opgeleide digitale architecten, zo stelt Stef Joosten, hoogleraar Informatica aan de Open Universiteit. Joosten pleit voor academisch geschoolde digitale architecten die het voortouw moeten nemen bij het ontwerpen van efficiënte en veilige informatiesystemen. "Je laat jezelf toch ook niet opereren door een chirurg zonder diploma?"

De hoogleraar houdt volgende week zijn afscheidsrede en zal daarin pleiten voor duidelijke opleidingseisen voor digitale architecten, vergelijkbaar met die in de bouwkunde. "Een digitaal architect moet technisch bekwaam zijn, academisch gevormd om vanuit een intrinsieke nieuwsgierigheid complexiteit te doorgronden en in staat zijn om objectief en op niveau met opdrachtgevers en uitvoerders te communiceren."

"Als een informatiesysteem hackers in staat stelt miljoenen persoonsgegevens te stelen, dan is het aanvalsoppervlak te groot, oftewel: er zijn veel te veel toegangen voor hackers. Dat mag nooit het geval zijn. Een klein aanvalsoppervlak is een fundamenteel uitgangspunt voor elk digitaal informatiesysteem. Daarmee maak je het verschil tussen een klein incident en een ramp met miljoenen gedupeerden en grote maatschappelijke gevolgen", aldus Joosten, die daarbij naar het datalek bij Odido wijst.

De hoogleraar stelt dat digitale architectuur zelfs een vergelijkbare maatschappelijke impact heeft als bouwkundige architectuur. "Zoals gebouwen het fundament vormen van dorpen en steden, vormt digitale architectuur het fundament van overheidsbeleid, dienstverlening en rechtsbescherming. Als dat fundament niet stevig is en structurele fouten bevat, kan het vertrouwen van burgers in overheid en organisaties snel onder druk komen te staan."

Als het aan de vertrekkend hoogleraar ligt vindt er een professionaliseringslag van het vak digitaal architect plaats en komen er duidelijke opleidingseisen. "We vinden het vanzelfsprekend dat een nieuw appartementencomplex wordt ontworpen door een academisch opgeleide bouwkundig architect met een beroepsregistratie. Waarom stellen we diezelfde eisen niet aan mensen die digitale informatievoorzieningen ontwerpen waar miljoenen burgers van afhankelijk zijn?"

Reacties (18)
Reageer met quote
Vandaag, 13:27 door Anoniem
Alsof het hebben van een 'diploma' ook maar *iets* betekent in IT-land.
Daarnaast: als het ook maar *iets* voor toevoegen, dan heb je nog steeds overwegend met in het buitenland gemaakte software te maken.
Tenslotte: die wereld verandert zo snel dat iemand die een jaar geleden wellicht actuele kennis had, inmiddels 'verouderd' is. Dus als je de kant van een diploma op wilt... Elke 3 maanden opnieuw examen doen ofzo? En wie gaat dat dan onderwijzen?

De vergelijking met 'bouw' gaat volkomen mank. Een baksteen is nu een baksteen en was 50 jaar geleden ook een baksteen zeg maar. En ja, er zijn daar heus ook ontwikkelingen. Maar op een heel andere manier dan in de IT.

Klinkt als iemand die aan het lobbyen is om centen voor een bepaalde faculteit te krijgen.
De vergelijking met de dokter: die krijgt nog wel eens een douw als-ie falikant op z'n m**l gaat. Odildo gaat hier gewoon mee weg komen.
Reageer met quote
Vandaag, 13:41 door Anoniem
Compleet eens met de roep om meer professionaliteit in de IT. Maar daarbij zou ik ook, zoals bij veel ingenieurs al het geval is, een zekere aansprakelijkheid voor de kwaliteit van het geheel bij de gecertificeerde professionals leggen. Maar dat impliceert dat kwaliteitseisen gaan doordruppelen naar de uitvoerende niveaus van programmeurs en testers.

Ik weet dat er bedrijven zijn die gaan zeuren dat kwaliteit en veiligheid "teveel geld kost", maar laat de managers van die bedrijven maar eens hun handtekening zetten onder een verklaring "Wij hebben voor X gekozen, tegen het expliciete advies van onze architect in; zelfs nadat hij ons over de potentiële nadelige gevolgen van onze keuze ingelicht heeft."
Reageer met quote
Vandaag, 13:46 door Anoniem
Staan architecten in het algemeen niet te ver van de dagelijke parktijk af?

Ik heb nu al in een aantal woningen gewoond die door architecten bedacht en ontworpen zijn. Duh :-)
En toch zie ik keer op keer ontwerpfouten die het gebruik en onderhoud van onderdelen van zo'n huis moeilijker maken.
Denk aan plafond lichtpunten op vreemde plekken waar nooit een tafel zal komen te staan (bv in de loop van de deur).
Ramen die maar voor een deel open kunnen, zodat op hogere verdiepingen de ramen aan de buitenkant niet door jouw zelf makkelijk schoon gehouden kunnen worden. Tenzij je een acrobaat bent of een hoogwerker huurt.
Een tuimelraam boven een vlizotrap plaatsen (Ja, daar kun je op staan als die dicht is. Maar om boven te komen ...)
En dit stond echt zo in de oorspronkelijke ontwerpen en bouwtekeningen.


Ook op het werk ben ik al meerdere keren tegen ICT-bedenksels van architecten aangelopen die praktisch niet werkten.
Wat voorkomen kan worden als ze met de werkvloer praten, en die bestaande expertise gebruiken. wat ze regelmatig niet doen.

Het beste en veiligste IT ontwerp wat een architect kan maken, sluit alle gebruikers compleet buiten.
Alleen kan het bedrijf dan niet meer werken. Geen omzet meer maken.
In alle andere gevallen zulen er altijd compromissen gesloten moeten worden tussen veiligheid en kunnen werken.
Vooral als er geld verdiend moet worden.

Een betere aanvliegroute zou zijn om het aantal datasets met gevoelige persoonsgegevens bij organisaties zwaar te gaan verminderen. Ze kunnen er blijkbaar niet allemaal even goed mee om gaan.
Wat er niet is, kan njet gestolen worden.
Reageer met quote
Vandaag, 13:50 door Anoniem
Als ik vluchtig lees, dan lees ik:

- Odido was onprofessioneel

- gediplomeerden doen dingen beter; kijk maar naar open-hart chirurgie.


Ik gok dat deze meneer geen communicatie gestudeerd zal hebben, laat staan een diploma in dat vak.
Maargoed, mooie afscheidsrede.
Reageer met quote
Vandaag, 13:55 door Anoniem
voor grootschalige netwerk- en bedrijfsICT zit er meestal toch al een (team van) geschoolde en gediplomeerde netwerk, systems en security-architect(en).

voor het bouwen van een schuurtje heb je ook geen diploma bouwkunde aan de TU Delft nodig.
Reageer met quote
Vandaag, 14:01 door Anoniem
Altijd weer dat hardnekkige misverstand. Een Architect maakt en onderhoud architectuur.
Een ontwerper produceert ontwerpen.
Een ontwerp wordt gemaakt binnen de grenzen van de vigerende architectuur.
De architectuur bestaat uit afspraken, voorschriften, modellen en voorbeelden. Daarnaast mag er alles in wat nodig is om tot een doelmatige architectuur te komen.
De architectuur is een levend onderwerp en wordt om de juist redenen regelmatig bijgesteld.

Je laat je toch ook niet opereren door de verpleger !
Reageer met quote
Vandaag, 14:39 door Anoniem
Door Anoniem: Altijd weer dat hardnekkige misverstand. Een Architect maakt en onderhoud architectuur.
Een ontwerper produceert ontwerpen.
Een ontwerp wordt gemaakt binnen de grenzen van de vigerende architectuur.
De architectuur bestaat uit afspraken, voorschriften, modellen en voorbeelden. Daarnaast mag er alles in wat nodig is om tot een doelmatige architectuur te komen.
De architectuur is een levend onderwerp en wordt om de juist redenen regelmatig bijgesteld.

Je laat je toch ook niet opereren door de verpleger !

Geheel terecht.
Ik merk dat iedereen zich architect (wil) noemen. Soms zijn netwerkarchitecten gewoon netwerkontwerpers.
Scheidslijn is niet voor iedereen duidelijk.
Reageer met quote
Vandaag, 14:43 door Anoniem
Ik denk dat dit best een goed idee is, veel IT-ers zijn vaak specialisten en goede generalisten die een samenhangend "bouwsel" kunnen maken zijn heel schaars.

Echter: een van de redenen dat ze schaars zijn is omdat de vraag klein is en die is weer klein omdat er niet tot nauwelijks gevolgen zitten aan inbraken en datalekken, dus kapitaal overhevelen naar aandeelhouders (en de risico's afwentelen op de samenleving) zal denk ik de norm blijven.
Reageer met quote
Vandaag, 14:57 door Anoniem
Het is meer dan alleen architectuur.
Bepaalt de architect ook de bewaartermijn van data? En dat er opruimprocedures zijn die werken, en dat er toegangscontroleprocedures zijn die nageleefd worden, enz.
Maar de architect is zeker heel belangrijk. Wij hebben waar ik werk per land een architect en ook internationaal en daar werken andere disciplines nauw mee samen (zoals Quality, Security, Privacy, Legal, enz) in het gestructureerde workflow met reviews en goedkeuringen.
Reageer met quote
Vandaag, 14:57 door Anoniem
Door Anoniem: voor grootschalige netwerk- en bedrijfsICT zit er meestal toch al een (team van) geschoolde en gediplomeerde netwerk, systems en security-architect(en).

voor het bouwen van een schuurtje heb je ook geen diploma bouwkunde aan de TU Delft nodig.
Je hebt een bouwvergunning nodig voor het (ver-)bouwen van een woonhuis, met een aantal rapporten van gecertificeerde experts die verklaren dat het bouwsel veilig is en niet spontaan gaat instorten. (De architect besteedt ettelijke weken per jaar aan het bijhouden van wetgeving en lokale regels)
Iedereen mag nu lukraak programma's schrijven om persoonsgegevens te verwerken, het zou goed zijn om dat te beperken tot door een (onafhankelijk) expert geverifieerde projecten. Kan er een controle vooraf plaats vinden of alles aan de wettelijke eisen voldoet. Voor computerspelletjes mogen andere regels gelden.
Reageer met quote
Vandaag, 14:59 door Anoniem
Door Anoniem: Alsof het hebben van een 'diploma' ook maar *iets* betekent in IT-land.
Daarnaast: als het ook maar *iets* voor toevoegen, dan heb je nog steeds overwegend met in het buitenland gemaakte software te maken.
Tenslotte: die wereld verandert zo snel dat iemand die een jaar geleden wellicht actuele kennis had, inmiddels 'verouderd' is. Dus als je de kant van een diploma op wilt... Elke 3 maanden opnieuw examen doen ofzo? En wie gaat dat dan onderwijzen?

Je hebt duidelijk geen enkel benul van het verschil tussen ontwerp en implementatie.

Op ontwerp en conceptueel niveau verandert IT maar heel langzaam .
En ongetwijfeld zelf geen enkele IT opleiding , anders zou je niet zo dom stellen dat een IT diploma nutteloos is.


De vergelijking met 'bouw' gaat volkomen mank. Een baksteen is nu een baksteen en was 50 jaar geleden ook een baksteen zeg maar. En ja, er zijn daar heus ook ontwikkelingen. Maar op een heel andere manier dan in de IT.

Mwoah - imperatief , functioneel object oriented zijn dingen met een heel erg lange cyclus tijd.
"virtualisatie" is gepioneerd in de jaren zestig (mainframes) .

Wat er snel(ler) gaat zijn knopjes of het een of andere framework .

Klinkt als iemand die aan het lobbyen is om centen voor een bepaalde faculteit te krijgen.

Je klinkt als een hobbyist met Dunning-Kruger


De vergelijking met de dokter: die krijgt nog wel eens een douw als-ie falikant op z'n m**l gaat. Odildo gaat hier gewoon mee weg komen.

En dat heeft niks te maken met het punt dat het een beter idee als er over IT ontwerpen goed nagedacht wordt . En scholieren met een progger-hobby kunnen dat niet.
Reageer met quote
Vandaag, 15:03 door Anoniem
Door Anoniem:
Je laat je toch ook niet opereren door de verpleger !

Een hoop ITers - en zeker posters hier - zitten precies op het niveau verpleger , denken dat spuiten zetten het summum van zorgkunde is , en hebben mooie flamewars over de beste naald.

Alles hangt af van spuiten, de scherpste naald , en als je maar perfect de ader vindt.
Reageer met quote
Vandaag, 15:36 door Anoniem
Door Anoniem:
Door Anoniem: voor grootschalige netwerk- en bedrijfsICT zit er meestal toch al een (team van) geschoolde en gediplomeerde netwerk, systems en security-architect(en).

voor het bouwen van een schuurtje heb je ook geen diploma bouwkunde aan de TU Delft nodig.
Je hebt een bouwvergunning nodig voor het (ver-)bouwen van een woonhuis, met een aantal rapporten van gecertificeerde experts die verklaren dat het bouwsel veilig is en niet spontaan gaat instorten. (De architect besteedt ettelijke weken per jaar aan het bijhouden van wetgeving en lokale regels)
Iedereen mag nu lukraak programma's schrijven om persoonsgegevens te verwerken, het zou goed zijn om dat te beperken tot door een (onafhankelijk) expert geverifieerde projecten. Kan er een controle vooraf plaats vinden of alles aan de wettelijke eisen voldoet. Voor computerspelletjes mogen andere regels gelden.


Dit moet nu al, want dat volgt o.a. uit de AVG en informatiebeveiligingsstandaarden zoals ISO27001 en NEN7510. Dat niet elk bedrijf zijn zaakjes op orde heeft, dat weten we inmiddels ook. Certificering is (meestal) geen wettelijke eis, zelfs niet voor organisaties die met medische gegevens werken bijvoorbeeld. Er is niet altijd een onafhankelijke controle, pas als het mis gaat wordt er bij het bedrijf gevraagd om bewijs dat alles volgens de regels was gebouwd. Er vinden wel, afhankelijk van de sector, audits plaats door instanties/overheid waarin dit soort zaken worden 'geraakt', dus helemaal zwart/wit is het ook niet.
Reageer met quote
Vandaag, 15:36 door Anoniem
meneer Joosten is misschien iets te lang hoogleraar om nog te snappen hoe het bedrijfsleven in elkaar zit waar dit soort dingen al lang bestaan. Of het is een lobby om geld voor nog een studierichting.
Reageer met quote
Vandaag, 16:20 door Anoniem
Door Anoniem: Altijd weer dat hardnekkige misverstand. Een Architect maakt en onderhoud architectuur.
Een ontwerper produceert ontwerpen.
Een ontwerp wordt gemaakt binnen de grenzen van de vigerende architectuur.
Een architect ontwerpt gebouwen, die maakt werkelijk het ontwerp. En als je bijvoorbeeld kijkt naar Plan Zuid waarmee Amsterdam begin 20e eeuw is uitgebreid dan zijn de gebouwen door verschillende architecten ontworpen terwijl het plan voor het geheel óók door een architect (Berlage) is gemaakt.

Dat ons vakgebied gulzig termen "leent" van andere vakgebieden en er vervolgens andere betekenissen aan geeft betekent niet dat de oorspronkelijke betekenis daarmee komt te vervallen. Als je die tegenkomt zou je juist even kunnen stilstaan bij waar een woord eigenlijk vandaan komt en je kunnen afvragen of je eigen gebruik ervan wel zo geweldig is.
Reageer met quote
Vandaag, 16:28 door Anoniem
Door Anoniem: meneer Joosten is misschien iets te lang hoogleraar om nog te snappen hoe het bedrijfsleven in elkaar zit waar dit soort dingen al lang bestaan. Of het is een lobby om geld voor nog een studierichting.

Oplossing (opleidjng professionele digitale architecten) zoekt probleem?
Of eigenlijk:
Oplossing zoekt incident(en) die gezamelijk tot een probleem verheven zouden kunnen worden.
Reageer met quote
Vandaag, 17:12 door Anoniem
Als academisch geschoold een garantie is, dan zou de wereld er een stuk mooier uitzien.
Reageer met quote
Vandaag, 20:41 door MathFox
Door Anoniem:
Oplossing (opleidjng professionele digitale architecten) zoekt probleem?
Of eigenlijk:
Oplossing zoekt incident(en) die gezamelijk tot een probleem verheven zouden kunnen worden.
Wanneer "incidenten" te vaak voorkomen (vraag HaveIBeenPwned maar) is er waarschijnlijk een onderliggend structureel probleem.

datahonger!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components