Een middelgrote Europese NGO met 80 medewerkers beheert doorgaans 15 tot 25 SaaS-tools, neemt 30 tot 100 vrijwilligers per jaar aan en heeft een IT-functie van één persoon. Die IT-manager beschermt financiële gegevens van donoren, gegevens van begunstigden die vallen onder artikel 9 van de GDPR en operationele plannen met implicaties voor de fysieke veiligheid. VPN-licenties, free-tier beveiligingsstandaards van Microsoft voor non-profitorganisaties en een spreadsheet met toegangsrechten voor vrijwilligers zijn niet langer toereikend. Een SASE-platform consolideert identiteitsgebaseerde toegang, webfiltering, agentless apparaatcontrole en auditlogging in één console, waardoor dat éénpersoonsteam een verdedigbare beveiligingsposture krijgt zonder vijf afzonderlijke tools te hoeven verzamelen met een budget dat zelden hoger is dan 50.000 euro per jaar.
Welke cyberbeveiliging hebben non-profits nodig in 2026?
Non-profitorganisaties in 2026 hebben identiteitsbewuste toegangscontroles nodig die overeenkomen met de snelheid waarmee vrijwilligers aan boord gaan, gecentraliseerde webbeveiliging voor hun SaaS-stack, agentless apparaatisolatie voor onbeheerde laptops en een enkele console die auditbewijs produceert voor naleving van donorrichtlijnen en NIS2-rapportage. Een SASE-platform levert ze alle vier vanuit één cloud-beheerde service, ter vervanging van de geassembleerde stapel van VPN, DNS-filter, apparaatmanager en loggingtool. Voor organisaties waar een gecompromitteerd vrijwilligersreferentienummer de gegevens van begunstigden onder GDPR artikel 9 kan blootleggen, is consolidatie het enige operationeel haalbare pad.
De gegevens die NGO’s eigenlijk verwerken
Non-profit gegevens zijn niet van geringe waarde. In veel gevallen vormen ze een hoger risico dan commerciële bedrijfsgegevens, omdat de gevolgen van blootstelling verder reiken dan financieel verlies en ook fysieke veiligheid omvatten.
Donorgegevens omvatten betalingsgegevens, politieke banden en religieuze voorkeuren. DonorPerfect, Raiser’s Edge en Salesforce NPSP bewaren deze gegevens van duizenden Europese NGO’s, waarbij de toegang vaak wordt gedeeld tussen vast financieel personeel en tijdelijke subsidiebeheerders.
Gegevens over begunstigden zijn de meest gevoelige categorie. Vluchtelingenstatus, medische omstandigheden, beschermingsbehoeften, geografische locaties. Volgens artikel 9 van de GDPR vallen deze gegevens onder de speciale categorie persoonsgegevens. Voor organisaties als ICRC, AZG of kleinere nationale equivalenten kan een inbreuk op de gegevens van begunstigden leiden tot fysieke vervolging. In het ENISA-rapport over het dreigingslandschap van 2025 wordt gedocumenteerd dat door de staat gesponsorde groepen het specifiek op deze gegevens gemunt hebben bij maatschappelijke organisaties.
Financiële gegevens hebben betrekking op uitgaven voor subsidies en betalingsinstructies. BEC-aanvallen gericht op betalingsstromen van subsidies zijn toegenomen, waarbij aanvallers verzoeken tot wijziging van betalingen onderscheppen tussen NGO’s en institutionele donoren zoals de EU-Commissie en USAID.
Operationele gegevens omvatten de locaties van veldwerkers en de routes van de bevoorradingsketen. In conflictgebieden heeft deze informatie directe gevolgen voor de veiligheid van het personeel ter plaatse.
Hoe NGO’s cyberaanvallen uitvoeren in 2026
De aanvalspatronen die gericht zijn op non-profits zijn niet theoretisch. Recente incidenten in Europa illustreren de specifieke vectoren waartegen kleine IT-teams zich moeten verdedigen.
In maart 2026 richtte de ransomware-groep Qilin zich op Die Linke, een Duitse politieke organisatie, waarbij IT-systemen offline werden gehaald en werd aangetoond hoe maatschappelijke organisaties worden gebruikt als proeftuin voor verstoringscampagnes. De aanvallers combineerden diefstal van referenties met de inzet van ransomware in een patroon dat tegen elke NGO die vertrouwt op VPN-gebaseerde toegang op afstand succesvol zou zijn geweest.
Supply chain-aanvallen via gedeelde SaaS-platforms zijn de tweede belangrijke vector. Begin 2026 bracht een kwetsbaarheid in een leverancier van documentproducties financiële gegevens van meerdere Europese organisaties in gevaar. NGO’s die gebruik maken van gedeelde platforms voor subsidiebeheer lopen dezelfde risico’s.
Phishing blijft de dominante initiële vector voor ongeveer 60 procent van de incidenten, volgens ENISA. AI-gegenereerde phishingmails komen nu aan in lokale talen met een context die past bij de humanitaire context, waardoor ze voor vrijwilligers veel moeilijker te onderscheiden zijn van legitieme communicatie.
Het Stryker-incident in maart 2026, waarbij aanvallers toegang kregen tot Microsoft Intune en 200.000 apparaten in 79 landen wisten, illustreert het risico van gecompromitteerde administratieve tools. Een NGO die afhankelijk is van beheerde veldapparatuur zou direct alle operationele capaciteit verliezen.
Het veiligheidsmodel van de vrijwilligerseconomie
Vrijwilligers en freelancers vormen de operationele ruggengraat van non-profit werk. CBS Nederland ontdekte dat 41 procent van de Nederlandse 15- tot 24-jarigen en 48 procent van de 65- tot 75-jarigen vrijwilligerswerk doet (2022). Voor een typische NGO met 80 vaste medewerkers betekent dit 30 tot 100 extra personen die op elk moment toegang hebben tot systemen, elk met hun eigen onbeheerde laptop.
De beveiligingsuitdaging gaat hier niet over het controleren van deze mensen. Het gaat erom een snelle, veilige onboarding en offboarding mogelijk te maken zonder dat er handmatige IT-provisioning nodig is voor elke vrijwilliger die zich aansluit bij een project van drie maanden. Traditionele IT-modellen gaan uit van een stabiel personeelsbestand met door het bedrijf uitgegeven apparaten. De vrijwilligerseconomie draait al deze aannames om.
Bij beveiligingsincidenten met NGO’s waarbij vrijwilligers betrokken zijn, komen drie specifieke faalwijzen terug:
De offboarding kloof. Wanneer een vrijwilliger zijn of haar engagement beëindigt, moet de toegang tot Microsoft 365, Salesforce NPSP, Slack en projectspecifieke SharePoint-mappen onmiddellijk worden ingetrokken. In de praktijk, met een enkele IT-manager die met 20 platforms jongleert, duurt het deprovisioneren dagen of weken. Tijdens die periode worden slapende accounts doelwitten voor informatiedieven zoals Lumma, dat in 2025 en 2026 de meest gebruikte methode werd voor het verzamelen van referenties. Een gecompromitteerd account van een voormalige vrijwilliger geeft direct toegang tot donateursdatabases zonder dat er een waarschuwing afgaat.
De BYOD-realiteit. Vrijwilligers gebruiken hun eigen apparaten, vaak met verouderde besturingssystemen zonder endpointbeveiliging. Het installeren van een agent of MDM op de persoonlijke laptop van een vrijwilliger is zowel onpraktisch als ethisch problematisch. De organisatie moet de toegang tot haar applicaties beveiligen zonder het apparaat te controleren.
Het probleem met gedeelde referenties. IT-teams met te weinig middelen delen vaak platformgegevens in plaats van individuele accounts aan te maken. Wanneer zes mensen dezelfde Raiser’s Edge login gebruiken, is er geen auditspoor en geen manier om de toegang voor één persoon in te trekken.
Het antwoord op alle drie de faalwijzen is identiteitsgebaseerde toegang met geautomatiseerd levenscyclusbeheer, geen extra endpoint agents of handmatige processen.
Nalevingsdruk op NGO’s in 2026
Non-profits kunnen er niet langer van uitgaan dat ze buiten de regelgeving vallen. In 2026 komen drie krachten op het gebied van naleving samen.
NIS2 bereikt NGO’s via een direct en indirect bereik. Onder NIS2 Bijlage I en II kunnen NGO’s in de gezondheidszorg (medische hulporganisaties), waterbeheer of kritieke infrastructuurprojecten direct worden aangemerkt als belangrijke of essentiële entiteiten. Het Belgisch Centrum voor Cyberveiligheid (CCB) vereist dat essentiële entiteiten een CyberFundamentals-verificatie krijgen tegen april 2026, met een volledige certificering tegen april 2027.
Meestal bereikt NIS2 non-profits door druk uit te oefenen op de toeleveringsketen. Volgens artikel 21, lid 2, onder d), moeten essentiële entiteiten de beveiliging van hun hele toeleveringsketen beoordelen. Een NGO die sociale zorg verleent aan een gemeente of humanitaire logistiek levert aan een door de overheid gefinancierd programma, heeft te maken met contractuele beveiligingseisen die de NIS2-verplichtingen weerspiegelen. De NIS2-nalevingschecklist voor IT-managers geeft in detail aan wat auditors verwachten te zien.
De handhaving van artikel 9 van de GDPR neemt toe. Belgische en Nederlandse gegevensbeschermingsautoriteiten hebben hun focus op gegevensverwerking van speciale categorieën verscherpt. Gegevens van begunstigden over religie, gezondheidstoestand, politieke overtuiging of etnische afkomst vereisen versleuteling, multifactorauthenticatie en strikte toegangscontrole. Een NGO die deze gegevens verwerkt via gedeelde referenties zonder controlespoor is duidelijk in overtreding.
Nalevingseisen voor donoren omvatten nu ook cyberbeveiliging. De EU-Commissie, USAID en Open Society Foundations nemen cyberbeveiligingsclausules op in subsidieovereenkomsten voor 2026 en eisen bewijs van monitoring, reactie op incidenten en toegangscontrole. De IATI-standaard dringt aan op het open delen van gegevens, wat paradoxaal genoeg een sterkere bescherming van de onderliggende infrastructuur vereist.
De werkelijkheid van de SaaS-toolstack
Een middelgrote NGO met 80 medewerkers werkt meestal met gesubsidieerde enterprise tools en sectorspecifieke platforms.
Productiviteit en communicatie. Microsoft for Nonprofits of Google for Nonprofits bieden de kernsuite. Deze programma’s bieden aanzienlijke kortingen, maar de gratis of goedkope niveaus bevatten zelden geavanceerde beveiligingsfuncties zoals volledige voorwaardelijke toegang of geavanceerde bescherming tegen bedreigingen. Veel IT-managers vertrouwen op standaardbeveiligingsinstellingen die basis-MFA mogelijk maken, maar gaten laten in sessiebewaking en bedreigingsdetectie.
Donorbeheer. Salesforce NPSP, Raiser’s Edge (NRE), DonorPerfect of Bloomerang zorgen voor donorrelaties en de verwerking van giften. Elk platform onderhoudt zijn eigen identity store. Als een vrijwilliger toegang nodig heeft tot donateurgegevens voor een fondsenwervingscampagne, wordt die toegang handmatig verleend en zelden automatisch ingetrokken.
Financiële en veldoperaties. Xero of QuickBooks beheert de uitgaven voor subsidies. KoboToolbox zorgt voor gegevensverzameling in het veld. WhatsApp coördineert teams. Elk voegt toegangspunten toe buiten formeel IT-toezicht.
Het resultaat is een stapel van 15 tot 25 applicaties zonder eenduidige identiteitslaag, zonder gecentraliseerd toegangsbeleid en zonder eenduidige bron van waarheid voor wie toegang heeft tot wat. Elke applicatie is een aparte deprovisioneringstaak wanneer een vrijwilliger vertrekt. Elk is een afzonderlijk aanvalsoppervlak.
Waarom traditionele NGO-veiligheidsbenaderingen niet langer werken
VPN’s creëren het verkeerde toegangsmodel. Een vrijwilliger die verbinding maakt via VPN krijgt brede netwerktoegang. Als hun inloggegevens gecompromitteerd zijn, erft de aanvaller diezelfde brede toegang. VPN’s presteren ook slecht over onstabiele veldverbindingen, waardoor medewerkers geneigd zijn ze te omzeilen. De handleiding voor de SASE architectuur legt uit waarom op identiteit gebaseerde toegang in de plaats is gekomen van tunneling op netwerkniveau.
Free-tier beveiligingsstandaards laten gaten achter. Microsoft for Nonprofits bevat basis-MFA via standaardbeveiligingsinstellingen. Het bevat geen controle op apparaatcompliance, voorwaardelijk toegangsbeleid op basis van risicosignalen of geautomatiseerde sessie-intrekking. Het gratis niveau is beter dan niets. Het is niet ontworpen om gegevens van speciale categorieën onder GDPR Artikel 9 te beschermen.
Handmatig deprovisioneren is niet schaalbaar. Wanneer het verloop van vrijwilligers 30 tot 100 gebeurtenissen in de levenscyclus van identiteiten per jaar betekent op 15 tot 25 platforms, kan de enkele IT-manager het niet bijhouden. Slapende accounts met actieve credentials stapelen zich op in donorplatforms, financiële systemen en operationele tools.
Hoe SASE het beveiligingsprobleem van NGO’s oplost
SASE vervangt de geassembleerde stapel door een enkel platform dat elke storingsmodus aanpakt.
ZTNA biedt toegang per programma met automatische offboarding. Zero Trust Network Access verbindt elke vrijwilliger met de specifieke applicaties die hun project vereist. Een vrijwilliger voor fondsenwerving bereikt Raiser’s Edge en relevante SharePoint mappen. Een veldgegevensverzamelaar bereikt KoboToolbox en het projectdashboard. Geen van beiden kan de bronnen van de ander zien. Door de identiteit in de centrale directory in te trekken, wordt de toegang tot alle aangesloten applicaties automatisch beëindigd.
SWG centraliseert filtering in de hele SaaS-stack. Een Secure Web Gateway inspecteert al het webverkeer aan de hand van informatie over bedreigingen en beleidslijnen, ongeacht welke applicatie de gebruiker opent. Dezelfde bescherming tegen phishing die Microsoft 365 dekt, dekt ook Bloomerang, KoboToolbox en elke andere webgebaseerde tool. Voor een IT-team van één persoon maakt dit het configureren van aparte beveiligingsinstellingen voor elk platform overbodig.
Agentless apparaatcontrole via NIAC beveiligt vrijwillige laptops. NIAC van Jimber biedt sessie-isolatie voor apparaten die geen endpoint agent kunnen uitvoeren. Wanneer een vrijwilliger verbinding maakt vanaf zijn persoonlijke laptop, wordt de sessie uitgevoerd in een gecontroleerde omgeving. Er worden geen gegevens opgeslagen op het apparaat. Malware kan niet stroomopwaarts communiceren met NGO-toepassingen. Dit biedt beveiliging op bedrijfsniveau zonder software te installeren op persoonlijke eigendommen.
Gecentraliseerde logboekregistratie voldoet aan auditvereisten. Elke toegangsevent en beleidsbeslissing komt in één log terecht. Wanneer de Europese Commissie om bewijs van toegangscontrole vraagt voor een subsidiebeoordeling of wanneer een CCB-beoordelingsinstantie de NIS2-compliance controleert, produceert de IT-manager een volledig dossier vanaf één console. Het overzicht van NIS2-compliance 2026 legt uit wat autoriteiten verwachten.
Identiteitsbewuste onboarding in enkele minuten. Door het SASE platform te verbinden met Microsoft Entra ID of Google Workspace wordt een vrijwilligersaccount aangemaakt dat automatisch het juiste toegangsbeleid voorziet. Door dat account uit te schakelen, wordt de toegang overal ingetrokken. De levenscyclus van een vrijwilliger gaat van dagen handmatig werk naar minuten van geautomatiseerde provisioning.
Eén console voor IT-werkzaamheid van één FTE. Een enkele IT-manager kan geen afzonderlijke consoles onderhouden voor een VPN, DNS-filter, webproxy, apparaatbeheer en een loggingtool. Platformen zoals Jimber brengen ZTNA, SWG, FWaaS en audit logging in één interface, waardoor de werklast beheersbaar wordt voor een klein team met ondersteuning van een servicepartner.
Service partner multi-tenant beheer. De meeste NGO’s besteden een deel van hun IT uit aan een servicepartner. Dankzij de multi-tenantarchitectuur van Jimber kan die partner meerdere NGO’s beheren vanuit één console met gedeelde beleidssjablonen, waardoor de kosten per organisatie dalen terwijl de scheiding van gegevens behouden blijft.
Een realistische uitrol van 60 dagen voor een NGO van 80 personen
Voor de implementatie van SASE is geen project van een jaar of een investeringsbudget nodig. Een NGO van 80 personen die samenwerkt met een externe servicepartner kan de overgang in 60 dagen voltooien.
Dagen 1 tot 15: basis voor identiteit. De IT-manager en servicepartner controleren de huidige SaaS-stack en brengen gebruikersgroepen in kaart voor toegang tot applicaties. Microsoft Entra ID of Google Workspace wordt de gezaghebbende identiteitsbron. MFA wordt afgedwongen voor alle accounts. Slapende vrijwilligersaccounts worden gedeactiveerd. Deze fase vereist geen nieuwe tools, alleen hygiëne.
Dagen 16 tot 45: pilot en beleidsmodellering. Een pilotgroep van 15 tot 20 gebruikers, waaronder mobiele medewerkers en actieve vrijwilligers, migreert naar het SASE platform. ZTNA-beleid vervangt VPN-toegang. De servicepartner configureert SWG-beleidsregels voor donorbeheer en financiële platforms. Vrijwilligerslaptops maken verbinding via agentless isolatie.
Dagen 46 tot 60: volledige uitrol en legacyontmanteling. Overgebleven personeel en vrijwilligers migreren. VPN-licenties worden geannuleerd. Firewall-apparaten in het veldkantoor worden buiten gebruik gesteld of gedowngraded naar eenvoudige routers. De besparingen op geannuleerde licenties en verminderde beheersoverhead compenseren meestal de SASE abonnementskosten in het eerste jaar.
De sector van marketing- en creatieve bureaus wordt geconfronteerd met een parallel overgangspatroon, waarbij het onboarden van freelancers het onboarden van vrijwilligers vervangt als operationele drijfveer. De onderliggende architectuur is hetzelfde.
Veelgestelde vragen
Is NIS2 van toepassing op non-profits en NGO’s?
NIS2 is rechtstreeks van toepassing op NGO’s in sectoren van Bijlage I of II, waaronder gezondheidszorg en kritieke infrastructuur. Meer in het algemeen is het indirect van toepassing: essentiële entiteiten moeten de beveiliging van de toeleveringsketen beoordelen op grond van artikel 21.2.d. Een NGO die een gemeente of overheidsprogramma bedient, heeft contractuele NIS2-verplichtingen van die klanten, ongeacht haar eigen classificatie.
Hoe beveiligen NGO’s de toegang van vrijwilligers zonder hun laptops te beheren?
Agentless sessie-isolatie geeft vrijwilligers toegang tot applicaties vanaf persoonlijke apparaten zonder software te installeren. De sessie draait in een gecontroleerde cloudomgeving zonder lokale gegevensopslag. Malware op het apparaat kan de systemen van de organisatie niet bereiken. NIAC-hardware van platforms zoals Jimber biedt dit als onderdeel van de SASE-stack.
Welke cyberbeveiligingsaudits voeren grote donoren doorgaans uit?
De EU Commissie, USAID en Open Society Foundations nemen bewijs van cyberbeveiliging op in subsidieovereenkomsten, met inbegrip van toegangscontroles, monitoring en reactie op incidenten. De IATI-standaard vereist het transparant delen van gegevens met bijbehorende waarborgen. Alle grote institutionele donoren verwachten nu gedocumenteerde, controleerbare beveiligingscontroles.
Kan een middelgrote NGO zich een SASE platform veroorloven?
Een single-vendor SASE platform kost meestal minder dan de geassembleerde stack die het vervangt. VPN licenties, DNS filtering, basis logging en de uren van de servicepartner om vier consoles te beheren overstijgen vaak de kosten per gebruiker van een geconsolideerd platform. Voor budgetten onder de 50.000 euro is SASE een consolidatiestrategie die de totale kosten verlaagt.
Hoe gaat SASE om met gegevens van begunstigden onder GDPR?
ZTNA dwingt toegang per applicatie af, zodat alleen geautoriseerde gebruikers toegang hebben tot databases van begunstigden. Apparaatstatuscontroles verifiëren de beveiligingsstandaarden voordat toegang wordt verleend. Alle gebeurtenissen worden geregistreerd met identiteit, apparaatcontext en tijdstempel, waardoor het GDPR Artikel 9-audittraject wordt geboden. Europese platforms zoals Jimber verwerken gegevens binnen de EU-grenzen, waardoor CLOUD Act-complicaties worden vermeden.
Wat is het verschil tussen Microsoft for Nonprofits beveiliging en SASE?
Microsoft for Nonprofits biedt gesubsidieerde Microsoft 365 met basis-MFA. Het biedt geen dekking voor niet-Microsoft-applicaties, apparaatcompliance of gecentraliseerde logging over de volledige tool stack. SASE voegt een uniforme beveiligingslaag toe voor alle toepassingen met gecentraliseerd beleid en rapportage. De twee zijn complementair: Microsoft biedt productiviteit, SASE biedt beveiliging.
Non-profits zijn er om een missie te dienen, niet om een beveiligingsinfrastructuur te beheren. Maar in 2026 is er voor de bescherming van het vertrouwen van donateurs, de veiligheid van begunstigden en de operationele continuïteit meer nodig dan free-tier beveiligingsstandaards en een vrijwilligerstoegangsspreadsheet. Een geconsolideerd SASE-platform geeft het IT-team van één persoon dezelfde beveiligingsarchitectuur die grote ondernemingen gebruiken, tegen kosten die passen binnen de beperkingen van budgetten die met subsidies worden gefinancierd. Klaar om te zien hoe het werkt voor jouw organisatie? Boek een demo en loop door een uitrolplan voor non-profit activiteiten.
