Je logt ‘s ochtends in bij je boekhoudpakket, je CRM, of die projecttool waar je team in werkt. En je ziet netjes je eigen bedrijf: je eigen klanten, je eigen cijfers. Voelt als je eigen kantoor, met een eigen slot op de deur.
Maar dat kantoor deel je. En met heel veel anderen.
Bijna elke moderne clouddienst werkt namelijk zo: honderden, soms duizenden bedrijven draaien op precies dezelfde systemen. In dezelfde database zelfs. Jij ziet alleen jouw hoekje, maar de rest is er ook. Vlak naast je gegevens.
Zo’n gedeelde opzet heet ‘multi-tenant’: één systeem, veel huurders. Het is de normaalste zaak van de wereld en op zich niks mis mee. Het scheelt enorm in kosten, en daar profiteer jij als klant ook van. Het is alleen goed om te weten dat het zo werkt.
Want wat jou en het bedrijf naast je gescheiden houdt, is geen muur van beton. Het is een regel software. Eentje die zegt: ‘laat deze gebruiker alleen de gegevens van zijn eigen bedrijf zien.’ En die regel moet op honderden plekken in het systeem kloppen.
Vergeet een programmeur ‘m op één plek, dan zit er een gat in de muur. En kan iemand van een ander bedrijf ineens jouw gegevens inzien. Of aanpassen.
Dat klinkt als een filmscenario, maar dat is het niet. Het is een van de meest voorkomende manieren waarop bedrijfsgegevens bij de verkeerde belanden. Niet door een geniale hacker in een hoodie, maar door één vergeten regeltje.
En het vervelende? Je ziet er als klant helemaal niks van. De tool ziet er met dat gat precies zo betrouwbaar uit als zonder. ‘Het werkt toch gewoon’ is denk ik wel de gevaarlijkste zin in dit hele verhaal. Want werken en veilig zijn, dat is niet hetzelfde.
Ik ben ooit ethisch hacker geweest. Dan leer je al snel om het om te draaien. De vraag is niet of het er netjes uitziet. De vraag is of je leverancier kan aantonen dat die muur er echt staat.
En daar heb je maar één zin voor nodig. Eentje die je in dertig seconden vertelt hoe serieus je leverancier het neemt:
“Kun je me aantonen, getest en niet alleen op papier, dat een gebruiker van een ander bedrijf niet bij mijn gegevens kan?”
Let vooral op dat woordje getest. Elk mooi beleidsdocument zegt dat je data ‘veilig gescheiden’ is. Dat is zo opgeschreven. De echte vraag is of iemand ook echt geprobeerd heeft die scheiding te breken. Blijft het antwoord hangen bij ‘dat zit goed in ons beleid’, dan weet je eigenlijk al genoeg.
Die vraag stel ik aan de leveranciers van mijn klanten. En eerlijk is eerlijk: ik stel ‘m ook aan mezelf. Mijn eigen platform test ik precies op dit soort gaten, alsof ik de inbreker ben. Je kunt pas iets van iemand vragen als je het zelf ook doet.
Dus die muur tussen jou en die onbekende buurman? Die hoort er te staan. Vraag gewoon even of iemand ‘m ook echt getest heeft.