.Plan - Dev Summit 2025, Elger Jonker: 'Iedere database wordt vroeg of laat openbaar'

In dit artikel:

Elger Jonker, oprichter en voorzitter van de Internet Cleanup Foundation, gebruikt meten en openheid om de digitale veiligheid en toegankelijkheid in Nederland te verbeteren. Op de Tweakers Developers Summit 2025 belicht hij onder de titel “Oeps, we maakten security van Nederland openbaar: vermaak, hoofdpijn en certificaten” hoe zijn projecten met weinig middelen en veel humor grote invloed hebben gehad.

Het initiatief begon in 2015 toen Jonker uit nieuwsgierigheid de beveiliging van gemeentelijke websites in kaart bracht. Wat begon als een snelle, ruwe kaart groeide in 2016 uit tot Faalkaart.nl. Vanaf 2022 kreeg het project structurele steun vanuit de overheid (onder meer via CIP, BZK en JenV) en werd het opgenomen in de Nationale Cyber Security Strategie, waardoor blijvende financiering en grotere schaal mogelijk werden.

Uit die eerste metingen bleek dat veel organisaties basisbeveiliging slecht geregeld hadden: zwakke of ontbrekende versleuteling en rommelige configuraties ondanks forse uitgaven aan pentests. Om dat probleem inzichtelijk en begrijpelijk te maken ontwikkelde Jonker Basisbeveiliging.nl, een platform dat in één oogopslag de staat van technische basiszaken toont met een groen-oranje-rood-systeem. Het meet onder meer HTTPS/TLS, DNSSEC en e-mailauthenticatie (SPF, DKIM, DMARC) — de “sloten en grendels” van het internet. Dit jaar kwam daar Basistoegankelijk.nl bij, dat dezelfde kleurcodering gebruikt om te beoordelen of websites voldoen aan internationale toegankelijkheidsrichtlijnen. Jonker benadrukt dat beschikbaarheid en bruikbaarheid van informatie onderdeel zijn van veiligheid: een onbruikbare site kan in crisissituaties even schadelijk zijn als een lek.

De aanpak van de Internet Cleanup Foundation is vooral signaleren: meten en transparant maken, niet zelf systemen repareren. Die duidelijkheid blijkt effectief: zo’n 10.000 organisaties werden gemeten, talloze reacties leiden tot opschoning, en grafieken tonen verbetering door de tijd. Grote voorbeelden zijn certificaten en erkenning voor organisaties die “groen” scoren — vorig jaar werden er honderd uitgereikt, mede aan partijen als ASN, ING en ABN AMRO — en een concreet resultaat waarbij SLTN honderden verouderde .nl-domeinen opschoonde (314 domeinen) na aanwijzingen uit de metingen.

Jonker pleit voor minimalisme als securityprincipe: zet zo min mogelijk online, reduceer het aanvalsoppervlak en voorkom onnodige services of externe tools die risico’s introduceren (hij noemt PHPMyAdmin als risicovolle maar vaak aanwezige tool). Tegelijkhoudt hij de vinger aan de pols in de hackersgemeenschap en bij Internet.nl om snel bij te blijven bij nieuwe standaarden en kwetsbaarheden. Praktische uitbreidingen, zoals het openbaar maken van welke cookies overheden plaatsen, ontstaan snel door die combinatie van kennis en praktijkgericht programmeren — soms met “lelijke” maar effectieve technische oplossingen die schaalbare resultaten opleveren.

Jonker erkent dat datalekken onvermijdelijk lijken zolang databases bestaan en de menselijke factor moeilijk volledig is te beveiligen. Daarom richt zijn werk zich op preventief inzicht zodat organisaties kunnen handelen. De toon van zijn presentatie is bewust luchtig: door security ook als spel of sport te presenteren, wil hij aandacht en betrokkenheid vergroten — voorbeelden als de kleine gemeente Harlingen (die als enige groen bleek te scoren en viraal ging) illustreren dat positieve voorbeelden inspirerend zijn.

Op de Dev Summit is de Internet Cleanup Foundation twee keer aanwezig: Jonker behandelt security, zijn collega Johan gaat dieper in op architectuur en devops (NixOS, schaalbaarheid). De sessies beloven praktische technieken die bezoekers direct kunnen toepassen om hun eigen dienstverlening en het Nederlandse internet veiliger en toegankelijker te maken.