1. [Home](/) /
2. [Blog](/blogs) /
3. Waarom een Drupal-onderhoudscontract geen luxe is: de les van 20 mei 2026
 
  Compliance · Drupal · Privacy · 22 May 2026 

# Waarom een Drupal-onderhoudscontract geen luxe is: de les van 20 mei 2026

Een highly-critical Drupal-lek dichten binnen uren? Dat lukt alleen met structureel onderhoud. Waarom een onderhoudscontract geen kostenpost is, maar een verzekering.

 

 **Een Drupal-onderhoudscontract is geen kostenpost — het is een verzekering.** Dat werd op 20 mei 2026 pijnlijk duidelijk, toen [Drupal](/waarom-drupal "Waarom Drupal?") een [highly-critical beveiligingslek](https://www.drupal.org/psa-2026-05-18) aankondigde dat aanvallers binnen enkele uren konden misbruiken. De enige vraag die er die avond toe deed: *kon jouw website binnen het patch-venster worden bijgewerkt?*

**Wat is een Drupal-onderhoudscontract?** Een doorlopende afspraak waarbij een specialist de security-updates, core- en module-updates, back-ups en monitoring van een Drupal-website verzorgt — doorgaans tegen een vast maandbedrag. Het doel: je site veilig, actueel en bereikbaar houden zonder dat je er zelf dagelijks naar hoeft om te kijken.



 

 

 

 

 





 ## Wat er op 20 mei 2026 gebeurde

 

Drupal kondigde via beveiligingsadvies [PSA-2026-05-18](https://www.drupal.org/psa-2026-05-18) een core-update aan met de hoogste urgentie: een severity-score van **20 op 25**. Het lek was triviaal te misbruiken, vereiste geen enkel toegangsniveau, en gaf een aanvaller toegang tot álle niet-publieke data op een getroffen site — met de mogelijkheid die te wijzigen of te verwijderen.

De patch verscheen op 20 mei 2026 tussen 17:00 en 21:00 UTC, voor alle ondersteunde branches (11.3, 11.2, 10.6 en 10.5). Het [Drupal-securityteam](https://www.drupal.org/security) waarschuwde expliciet: reserveer tijd, want exploits kunnen binnen uren ontstaan.

Dit is geen uitzondering. Het is het normale ritme van een actief, veilig CMS — en precies daarom is *wie* jouw site bijwerkt, en *hoe snel*, een strategische keuze.



 

 



 

 

 

 

 

 





 ## Wat het kost als je niet op tijd patcht

 

Stel: een organisatie werkt het patch-venster niet bij. Drie dagen later blijkt een klantportaal uitgelezen. Wat dan?

- **Datalek en AVG.** Niet-publieke data toegankelijk betekent een meldplicht bij de [Autoriteit Persoonsgegevens](https://autoriteitpersoonsgegevens.nl/) — en mogelijk een boete die vele malen hoger ligt dan jaren onderhoud.
- **Downtime en reputatieschade.** Een gehackte of platgelegde site kost direct omzet en vertrouwen. Dat laatste herstelt niet met een patch.
- **Herstel- versus preventiekosten.** Een incident afhandelen — forensisch onderzoek, herstel, communicatie — kost een veelvoud van wat structureel onderhoud per jaar kost. Je betaalt vooraf, of achteraf met rente.



 

 



 

 

 

 

 

 





 ## Wat structureel Drupal-onderhoud inhoudt

 

Goed onderhoud is meer dan af en toe een update draaien. Het rust op drie pijlers:



 

 



 

 

 

 

 

 





 

 

### Security & directe patching

Beveiligingsadviezen worden gevolgd en kritieke updates binnen het afgesproken venster doorgevoerd — ook 's avonds, zoals op 20 mei.

 

  

 

 

### Core- en module-updates

Drupal 10 bereikt dit jaar end-of-life. Tijdig opwaarderen naar Drupal 11 hoort bij de planning, niet bij de paniek.

 

  

 

 

### Back-ups, monitoring & compliance

Dagelijkse back-ups, actieve monitoring en het borgen van wettelijke eisen zodat je altijd kunt terugvallen en aantoonbaar in control bent.

 

  

 

 

 





 ## Zelf doen of uitbesteden?

 

Zelf beheren kán — mits je 24/7 de beveiligingsadviezen volgt en binnen uren kunt patchen. Voor de meeste organisaties is uitbesteden goedkoper én veiliger:

 Intern beheerOnderhoudscontractReactietijd bij een kritiek lekafhankelijk van beschikbaarheidbinnen afgesproken SLA-vensterKennis van Drupal-security-adviezenwisselendgegarandeerd actueelPatchen buiten kantooruren (zoals 20 mei)lastig te organiserenstandaardAansprakelijkheid bij incidentvolledig interncontractueel gedekt

 

 



 

 

 

 

 

 





 ## Zo pakt VDMi het aan

 

VDMi beheert Drupal-websites met een vast onderhoudsproces: actieve monitoring, security-updates binnen het afgesproken venster, en heldere rapportage van wat er is gebeurd. Geen verrassingen — wel de zekerheid dat een avond als 20 mei je niet wakker houdt. Bekijk onze [diensten](/diensten) of [neem contact op](/contact) voor een vrijblijvend gesprek.



 

 



 

 

 

 

 

 





 

 Gratis onderhouds-scan## Twijfel je of jouw Drupal-site veilig is?

 

Vraag een gratis onderhouds-scan aan — dan weet je precies waar je staat en of je op 20 mei binnen het venster gepatcht was geweest.

 [ Neem contact op     ](/contact) 

 

 

 

 

 

 





 ## Veelgestelde vragen

    Wat kost een Drupal-onderhoudscontract?         Dat hangt af van de omvang van je site en het gewenste serviceniveau, maar het is doorgaans een vast maandbedrag dat ruim onder de kosten van één beveiligingsincident ligt.

 

 



   Hoe snel worden kritieke Drupal-lekken gepatcht?         Bij een highly-critical advies (zoals PSA-2026-05-18 op 20 mei 2026) binnen het door Drupal aangekondigde patch-venster — vaak nog dezelfde avond.

 

 



   Mijn site draait nog op Drupal 10 — is dat een probleem?         Drupal 10 bereikt in 2026 end-of-life. Tijdig opwaarderen naar Drupal 11 is onderdeel van goed onderhoud en voorkomt dat je straks zonder beveiligingsupdates zit.

 

 



   Kan ik Drupal-onderhoud niet gewoon zelf doen?         Dat kan, mits je continu de beveiligingsadviezen volgt en binnen uren kunt patchen. Voor de meeste organisaties is uitbesteden goedkoper en veiliger.

 

 



   Wat valt er allemaal onder Drupal-onderhoud?         Security-updates, core- en module-updates, back-ups, monitoring, performance-bewaking en het borgen van compliance.

 

 



 

  

 

 

 





## Lees meer

 

  [ ![AI Act 2026: wat de wet betekent voor je website en CMS](/sites/default/files/2026-05/ChatGPT%20Image%2015%20mei%202026%2C%2013_18_02.png) A.I. Compliance MCP / AI-integraties 

 

### AI Act 2026: wat de wet betekent voor je website en CMS

Heb je een chatbot op je site of publiceer je content met AI-hulp? Dan krijg je met de AI-verordening (AI Act) te maken. De transparantieregels gelden vanaf augustus 2026; hoog-risico AI kreeg na de Digital Omnibus-deal uitstel tot 2027.

  Lees meer     

 ](https://vdmi.nl/blog/ai-act-2026-wat-wet-betekent-je-website-en-cms)  [ ![Waarom we bij VDMi voor open source kiezen — en waarom dat nu Europees relevant is](/sites/default/files/2026-05/ChatGPT%20Image%208%20mei%202026%2C%2013_18_11.png) Compliance Drupal Privacy 

 

### Waarom we bij VDMi voor open source kiezen — en waarom dat nu Europees relevant is

Europa geeft jaarlijks 265 miljard euro uit aan Amerikaanse cloud- en softwarediensten. Dat is geen abstract probleem — dat is jouw budget, jouw klantdata en jouw vrijheid om morgen iets anders te kiezen. Wij bouwen al jaren op Linux, Drupal en open-source-stacks. Hier leggen we uit waarom dat geen technische bijzaak is, maar een strategische keuze die nu Europees urgent is geworden.

  Lees meer     

 ](https://vdmi.nl/blog/waarom-we-bij-vdmi-open-source-kiezen-en-waarom-dat-nu-europees-relevant)  [ ![Vastgeklonken aan je leverancier? 7 signalen van vendor lock-in](/sites/default/files/2026-05/ChatGPT%20Image%208%20mei%202026%2C%2010_38_41.png) Drupal 

 

### Vastgeklonken aan je leverancier? 7 signalen van vendor lock-in

In 2024 verhoogde Citrix de prijs voor bepaalde maandelijkse partnerlicenties fors. VMware-klanten zagen na de Broadcom-overname forse bundling- en prijswijzigingen. Voor organisaties die afhankelijk zijn van zo'n platform voelt dat als een fuik. In deze blog: zo herken je vendor lock-in en zo krijg je grip terug.

  Lees meer     

 ](https://vdmi.nl/blog/vastgeklonken-je-leverancier-7-signalen-vendor-lock)