Wat zou u doen als morgen bleek dat gegevens van al uw inwoners op straat lagen? Of als uw digitale systemen wekenlang onbruikbaar waren, zoals bij het Openbaar Ministerie na de hack in 2025? Het Odido-lek van begin 2026, waarbij miljoenen klantgegevens werden gestolen, laat zien dat dit soort incidenten gemeengoed zijn geworden. De vraag is niet óf het u overkomt, maar of u weet wat u doet als het zover is. Hierbij helpt de cybercrisisoefening van PDCS.

Oefenen voordat het misgaat

Een digitale crisis raakt de hele organisatie. Onder tijdsdruk, met onvolledige informatie en grote belangen, moeten bestuurlijke besluiten worden genomen. Welke systemen zet u uit? Communiceert u naar buiten, en zo ja, wanneer en via wie? Wie praat de burgemeester bij, en wat vragen we dan? Wat mag uw ICT-beheerder of IT-leverancier eigenlijk zelfstandig beslissen?

Dit type besluitvorming oefent u met de cybercrisisoefening van PDCS. Technische kennis is niet nodig. De oefening is gemaakt voor managers en beslissers.

Gebaseerd op echte incidenten

Ons team heeft tientallen crisisoefeningen begeleid en was actief betrokken bij de incidentrespons bij Nederlandse gemeenten tijdens losse incidenten en grootschalige crises zoals Citrix, Log4J en de NAFIN-storing. Ook waren de mensen van PDCS betrokken bij evenementen zoals de NAVO Top en de Nederlandse verkiezingen. Die praktijkervaring zit in elke oefening.

De oefening is beschikbaar in meerdere varianten. Bij langdurige systeemuitval oefent u wat er gebeurt als uw gemeente dagen of weken niet bij haar eigen data kan. Het grootschalige datalekscenario gaat over persoonsgegevens van inwoners die zijn uitgelekt: wat zijn uw verplichtingen, en aan wie legt u verantwoording af? Bij een leveranciersincident bent u afhankelijk van een externe partij die geraakt is en oefent u wat u nog zelf kunt doen. En het afdelingsscenario begint bij één team, maar dreigt snel groter te worden.

Op verzoek nemen we ook een verstoring in de samenleving mee of spitsen we de oefening helemaal daarop toe (eventueel in samenwerking met uw veiligheidsregio).

Op maat voor uw organisatie

Voorafgaand aan de oefening vindt een intake plaats met de gemeente, de CISO en/of IT en bedrijfsvoering. Op basis daarvan worden de scenario’s herkenbaar gemaakt voor uw eigen context met uw systemen, uw leveranciers en uw organisatiestructuur.

De oefening duurt gemiddeld 2,5 uur en kan worden ingekort of uitgebreid, bijvoorbeeld met een bestuurlijke dilemmasessie voor het college of de gemeenteraad.

Geschikt voor elk vertrekpunt

Of uw gemeente al een uitgewerkte crisisstructuur heeft of nog aan het begin staat, de oefening sluit bij beide aan. Wel raden we aan dat er al nagedacht is over rollen, taken en bevoegdheden rondom digitale incidenten. Heeft u dat nog niet gedaan, dan is ons gratis format incidentrespons en crisisplan een goed startpunt.​

Na de oefening

Na afloop ontvangt uw gemeente een evaluatierapport met concrete aandachtspunten en aanbeveling en inzichten die direct toepasbaar zijn op uw situatie.

Wilt u weten welke variant het beste past bij uw gemeente? Neem contact op voor een vrijblijvend gesprek.