Home Magazine

Gehackt of niet gehackt? Hoe klantvertrouwen weglekt tijdens de digitale transitie

07 mei, 2026
Auteur: Jean-Jacques Bistervels

De afgelopen maanden was het opnieuw raak: bekende merken en publieke organisaties werden getroffen door hacks en datalekken. Wat me daarbij steeds vaker opvalt, is niet alleen dat het gebeurt, maar vooral hoe organisaties reageren—en wat dat doet met het vertrouwen van klanten in digitale dienstverlening.

De lijst met recente incidenten is lang: Hallmark, Odido, Eurocamps, Booking, Basic-Fit en ChipSoft kwamen in het nieuws. En zeer recent: Bol.com (al het tweede datalek in 2026) en Rituals. De meest ingrijpende hack vond zelfs plaats bij een gemeente (Epe), waar alle inwonergegevens zijn buitgemaakt waarmee inwoners relatief eenvoudig kunnen worden misleid [1]. Daar gaan oplichters mogelijk nog jaren plezier van hebben.
Wat valt op aan veel van deze privacy-incidenten?
Een terugkerend patroon is dat de Autoriteit Persoonsgegevens (AP) door consumenten wordt gezien als weinig proactief in toezicht en handhaving [2]. Recent is er echter beweging: de AP kondigde aan ICT-leveranciers preventief te gaan controleren [3]. Dat werd tijd denk ik, want daar gaat ook veel fout bij de ICT-leveranciers. Tegelijkertijd is het te makkelijk om bij elk incident vooral naar de toezichthouder te wijzen—de primaire verantwoordelijkheid ligt toch echt bij de organisaties zelf. Daar worden ze naar mijn indruk te weinig op aangesproken.
Het echte probleem: crisiscommunicatie die vertrouwen afbreekt
Wat mij vooral opvalt, is het schijnbare gemak—een bijna ‘laissez-faire’ houding—waarmee verantwoordelijke bestuurders soms reageren wanneer het misgaat [4]. In de praktijk zie je de reactie vaak in drie herkenbare fasen verlopen:
  1. Stilte of ontkenning. In eerste aanleg is er weinig tot geen communicatie richting klanten—de echte slachtoffers. Soms zelfs een (impliciete) ontkenning dat er überhaupt iets aan de hand is.
  2. Het ‘sorry, jammer maar helaas’-frame. Als er wel wordt gereageerd, klinkt het vaak als: “We onderzoeken nog of het om echte klantgegevens gaat.”
  3. Erkenning zonder hulp. Uiteindelijk volgt de bevestiging: “Ja, toch gehackt.” Maar vaak zonder concrete ondersteuning, aanvullende maatregelen of compensatie. De boodschap voelt dan al snel als: “U redt zich maar. Sterkte. En bel vooral niet.”
De stille schade: verlies van klantvertrouwen
Over integriteit, juridische aansprakelijkheid en ‘wie er gelijk heeft’ valt veel te zeggen. Maar één consequentie zie ik steeds terug: het vertrouwen verdwijnt. Consumenten worden er horendol van als hun gegevens telkens weer op straat belanden. Of op zijn minst (beste?) wordt men onverschillig omdat er nog steeds enig gemak van uitgaat, totdat het voor hen persoonlijk fout gaat en men geen handelingsperspectief weet. 

Mijn indruk is dat stapje voor stapje het vertrouwen in digitale dienstverlening verdwijnt — en daarmee komt ook de digitale transitie onder druk te staan [5],[6]. Want waarom zou je als klant nog meewerken aan “alles digitaal”, als je ervaart dat je data niet veilig zijn en je er vervolgens alleen voor staat? En waarom nog een klantaccount aanmaken als binnenkort toch alle (persoons- en betaal-)gegevens weer worden gestolen? Klanten zullen naar mijn indruk steeds terughoudender worden om iets met bedrijven en organisaties te gaan delen.
En wij dan? De rol van (IT-)auditors in het terugwinnen van vertrouwen
Uiteindelijk zijn het organisaties zelf die de afweging maken om persoonsgegevens wel of niet afdoende te beschermen. Tegelijkertijd ligt hier wél een duidelijke rol voor (IT-)auditors en IT-risk specialisten: helpen om beveiliging en weerbaarheid van ‘papieren verplichting’ naar aantoonbare praktijk te brengen. Voor een deel van de organisaties is de AVG (denk aan artikel 32 over passende technische en organisatorische maatregelen) nog te vaak een juridisch mantra, zonder stevige uitvoering. Inmiddels zijn er bovendien aanvullende kaders die digitale weerbaarheid expliciet adresseren (zoals NIS2 en DORA). 

Maar dan benaderen we beveiliging en privacy weer als een losstaand thema. En bedrijven en hun bestuurders hebben behoefte aan een goede balans in de belangenafweging. Toch blijkt governance hier regelmatig een zwakke plek: in een recente training die ik volgde werden cijfers gedeeld waaruit naar voren komt dat digitaliseringskennis bij RvC’s en RvT’s vaak een achilleshiel blijft [7]. Dat geeft geen vertrouwen dat bedrijven die afweging ook kundig zelf kunnen maken, en dat dan toch de portemonnee van degenen die met je data willen verdienen primair regeert. 
Van controle naar versnellen: audit als motor van digitale transitie
Wat ik signaleer: we lopen als beroepsgroep het risico om achter te blijven als we ons beperken tot ‘traditionele’ compliance- en securitykaders. Vertrouwen vergroten vraagt juist dat we die kaders hand-in-hand laten gaan met het beoordelen, adviseren over en begeleiden van de bredere digitale transitie—strategie, governance, datamanagement, ketenafhankelijkheden en (verantwoordelijke) inzet van AI. Mijn oproep aan vakgenoten: maak dit onderwerp expliciet, zet het op de agenda bij bestuur en toezicht, en help organisaties aantoonbaar beter te worden in plaats van alleen achteraf te constateren dat het misging. 

Wat kan onze beroepsgroep daarbij helpen? Het in 2025 via het IIA, ondersteund door NOREA, gelanceerde digitaliseringsframework [8] kan daarbij dienen als een goed, concreet en integraal startpunt voor de interne organisatie. En qua (extern) verantwoordingsproduct heeft NOREA zelf haar verslaggevingsstandaard ontwikkeld [9]. Ik roep u dan ook op hier eens naar te gaan kijken!
Bronnen
  1. Gegevens van bijna alle inwoners Epe gestolen bij datalek
  2. https://www.bnr.nl/nieuws/tech-innovatie/10598359/datalekken-veroorzaakt-door-te-weinig-controles-schrikeffect-is-er-wel-af
  3. https://www.bnr.nl/nieuws/tech-innovatie/10598784/ap-grijpt-in-na-reeks-datalekken-extra-toezicht-op-ict-leveranciers
  4. https://www.businesswise.nl/leiderschap/odido-hack-ransomware-crisiscommunicatie~1f57bf2?referrer=https%3A%2F%2Fwww.google.com%2F
  5. Dutch IT Leaders - Digitaal vertrouwen neemt af, bedrijven moeten in actie komen
  6. Onderzoek: mensen twijfelen aan digitale veiligheid van bedrijven | PlusOnline
  7. https://www.grantthornton.nl/globalassets/1.-member-firms/netherlands/documenten/pdf/commissarissenonderzoek/2024-2025-deel-1-ziet-commissaris-door-lage-zon-de-horizon-nog-wel.pdf
  8. https://www.iia.nl/publicaties/practice-guide-de-weg-naar-succesvolle-digitalisering-de-rol-van-internal-audit
  9. https://www.norea.nl/uploads/bfile/7a925eb7-10be-4ddd-b86b-6af0ed7e682f

Jean-Jacques Bistervels
Jean-Jacques Bistervels is hoofdredacteur van NOREA-magazine. Na zijn studie Technische Bedrijfskunde aan de TUE is hij zijn carrière bij Ernst & Young gestart als IT-auditor. Hij heeft daarna ruim zeven jaar gewerkt binnen de farmaceutische sector, gevolgd door om en nabij vijftien jaar in de financiële sector bij met name banken en verzekeraars. En kort nog even in de wereld van gemeenten en media & educatieve bedrijven vertoefd. Hij is momenteel werkzaam als hoofd Interne Audit bij Bovemij.