NorthC les: Backup is waardeloos als je organisatie stilvalt
De brand die uitbrak in het datacenter van NorthC in Almere, heeft geleid tot een keten van storingen die vitale sectoren in Nederland diep in de kern raakte. Volgens expert Igor van Gemert is dit incident niet zomaar een technische tegenslag, maar een pijnlijke demonstratie van de kloof tussen het hebben van een 'backup' en het daadwerkelijk waarborgen van 'business continuity'.
Hoewel de brand uitbrak in de technische installaties aan de achterzijde van het gebouw en de serverruimtes zelf grotendeels intact bleven, was de impact enorm. Zodra de onderliggende laag van stroom, koeling en connectiviteit wegviel, gingen organisaties offline die hun diensten volledig op deze ene locatie hadden geconcentreerd, aldus Igor van Gemert.
Cascades aan storingen: Van bussen tot bouwtoegang
De gevolgen waren direct zichtbaar in de publieke sector en de zorg:
- Universiteit Utrecht: De onderwijsinstelling moest de meeste gebouwen sluiten. Niet alleen websites en inlogsystemen lagen plat, maar zelfs de fysieke toegangspasjes van gebouwen werkten niet meer.
- Openbaar Vervoer Utrecht: Busverkeer werd ontregeld doordat de communicatie tussen chauffeurs en de centrale uitviel. Zelfs de noodknoppen in de voertuigen hanteerden naar verluidt niet de normale functies.
- Zorg en Financiën: Infomedics, een grote verwerker van zorgdeclaraties, zag zijn diensten tijdelijk verdampen.
Tegenover deze uitvallen stond het Flevoziekenhuis, dat meldde dat de patiëntenzorg onverstoord doorging. Het ziekenhuis werkt bewust met meerdere datacenters (geografische redundantie), wat het verschil markeert tussen 'backup-denken' en 'continuïteits-architectuur'.
Juridische consequenties: NIS2, CER en AVG
Igor van Gemert, CEO en specialist in business continuity, benadrukt dat dit incident direct valt onder de nieuwe Europese richtlijnen zoals NIS2 en CER. Deze wetgeving hanteert een 'all-hazards' benadering: fysieke dreigingen zoals brand en stroomuitval worden expliciet gezien als onderdeel van cyber-resilience.
Daarnaast is er een privacy-dimensie. Volgens de AVG (GDPR) kan het langdurig niet beschikbaar zijn van persoonsgegevens (zoals medische dossiers of studentendata) gekwalificeerd worden als een datalek, zelfs als er niets is gestolen. De vraag voor bestuurskamers is niet langer: "Is onze data veilig?", maar: "Kan onze organisatie blijven functioneren als een locatie wegvalt?"
De les voor de boardroom
Het incident in Almere toont aan dat veel organisaties gevaarlijk afhankelijk zijn van één fysieke plek voor kritieke zaken als identiteitsbeheer, toegang en communicatie.
"Resilience bewijs je niet met een beleidsstuk op papier," stelt Van Gemert. "Je bewijst het op het moment dat een locatie faalt en de organisatie blijft draaien." Voor bestuurders is de les duidelijk: continuïteit is geen IT-feestje, maar een kwestie van crisisleiderschap en strategisch risicomanagement. Het wachten is nu op de definitieve implementatie van de Nederlandse Cybersecuritywet, maar de standaard voor 'goed bestuur' is door deze brand per direct aangescherpt.
In het kort: De impact van NorthC Almere
| Sector | Gevolg |
| Onderwijs | Gebouwen dicht, inlogsystemen en fysieke toegang defect. |
| Transport | Uitval communicatie en noodsystemen in bussen (Utrecht). |
| Zorg | Administratieve systemen (Infomedics) offline; Flevoziekenhuis bleef operationeel. |
| Wetgeving | Casestudy voor NIS2 (digitale infra) en CER (fysieke weerbaarheid). |
Meer over back-up
Over Witold Kepinski
