Waar binnen bedrijven ooit alleen ontwikkelteams de sleutel hadden tot nieuwe software, bouwen nu collega’s uit HR, verkoop en operations met visuele bouwblokken in een paar dagen volwaardige applicaties die processen versnellen en spreadsheets vervangen. Dus het werk verloopt merkbaar vlotter, maar precies in dat tempo is het veiligheidsrisico er omdat governance, toezicht en technische waarborgen niet in hetzelfde ritme meebewegen.
Organisaties investeren al jaren in security awareness, toch blijft de menselijke factor dominant bij datalekken. Uit recente analyses van de Data Breach Investigations Report blijkt dat in 2024 bij circa 68 procent van de beveiligingsincidenten een niet kwaadwillend menselijk element meespeelde, wat onderstreept dat training noodzakelijk is, maar zelden blijvende gedragsverandering garandeert en dus niet als enige verdedigingslinie kan volstaan, zeker niet nu iedereen met low code en no code bouwt.
De kloof wordt zichtbaarder zodra je naar de vaardigheden kijkt, want onderzoek uit de open source wereld laat zien dat een substantieel deel van professionele developers de basisprincipes van veilig ontwikkelen niet kent. En dat velen nooit scholing volgden, waardoor je mag aannemen dat citizen developers, die primair businessdoelen nastreven, nog minder bekend zijn met onderwerpen als dataclassificatie, autorisatie of het risico van externe connectors. Dat maakt het aanleveren van nieuwe apps binnen dagen weliswaar zakelijk aantrekkelijk, maar tegelijk kwetsbaar.
Daar komt bij dat traditionele applicatiebeveiliging niet altijd past op deze nieuwe bouwdozen, want statische en dynamische code-scans verwachten broncode en voorspelbare runtimes, terwijl low code en no code platformen vaak proprietary logica, gesloten uitvoeromgevingen en vooraf samengestelde componenten hanteren. Dit betekent dat voor de klassieke AppSec-tools weinig houvast is en beveiligingsteams zonder centrale inkijk moeilijk kunnen zien welke gevoelige gegevens stromen, welke integraties misgeconfigureerd zijn of waar een injectierisico opduikt. Dit is de rede waarom Avigdor bij haar trainingen de risico van low code en no code meenemen, met nadruk op datalekken, privilegekruip, zwakke authenticatie en onbedoelde blootstelling via deelbare assets.
Het gevolg is dat veel organisaties met goede bedoelingen blijven hangen in jaarrond e-learning en losse workshops, terwijl citizen developers wereldwijd in uiteenlopende talen, tijdzones en afdelingen werken en in hoog tempo apps live zetten, waardoor er een structurele vertraging ontstaat tussen les en praktijk. En juist in die tussentijd de risico’s ontstaan die je liever aan de poort had afgevangen.
De uitweg ligt in beveiliging die meebeweegt met de ontwikkelervaring, en dat begint met automatische beleidsbewaking binnen het platform, zodat kwetsbare instellingen, riskante datastromen en foutieve rechten tijdens het slepen en configureren worden gedetecteerd en geblokkeerd nog voor publicatie. Daarnaast werkt contextuele begeleiding beter dan jaarlijkse modules, want een melding die in het canvas uitlegt waarom een publieke link een dataset blootlegt en hoe je dat in twee klikken verhelpt, beklijft sneller en verkleint direct het aanvalsoppervlak; vervolgens hebben securityteams een uniform dashboard nodig waarin alle low code en no code activiteiten samenkomen zodat prioritering, naleving en incidentrespons niet versnipperen. En de beschermingsregels moeten continu worden geactualiseerd omdat zowel platformfunctionaliteit als aanvalstechnieken wekelijks verschuiven en stilstaande trainingscontent die dynamiek nooit kan bijbenen.
Intussen is het zaak de basis op orde te brengen met duidelijke spelregels over datatoegang, identiteit en integraties, en om de bekende valkuilen uit de low code en no code top tien leidend te maken bij reviews. Hierdoor kunnen citizen developers vrijuit innoveren, maar wel binnen afgebakende kaders die misbruik en misconfiguraties afvangen nog voor er schade ontstaat.
Wie dit dossier pragmatisch wil aanpakken, bouwt het trio mens proces techniek in dezelfde sprint, waarbij korte clinics de meest voorkomende fouten uit echte interne voorbeelden ontleden. Een lichtgewicht intake en publicatiecheck standaarden afdwingt zonder de vaart te breken en platform-native beveiligingsfuncties standaard zijn ingeschakeld, want alleen zo blijft de democratisering van software een zegen voor de organisatie in plaats van een stille bron van datarisico’s.
