Ik maak me oprecht zorgen over ons vak en onze maatschappij, omdat we vanuit de tweede lijn (compliance, risk, privacy, vertrouwenspersonen) en vanuit de regelgevers en toezichthouders steeds meer regels opstellen, uitleggen en vervolgens toezien op de naleving, maar desondanks echte verbeteringen lijken uit te blijven, gezien alle incidenten (denk aan de recente datalekken), misstanden, grensoverschrijdend gedrag en andere signalen. Als ik dan lees over een behoefte aan nog meer regels of nog meer controle, dan gaat het jeuken en wil ik de alarmklokken luiden. Wachten we af tot iemand ons vertelt dat we moeten beginnen? Of blijven we lanterfanten om na een tijdje te ontdekken dat we te laat waren?
Toen Al Gore in 2006 de documentaire An Inconvenient Truth uitbracht, zette hij klimaatverandering definitief op de kaart voor het grote publiek. De opwarming van de aarde was de kernboodschap en de basis voor zijn voorspellingen. Critici spraken over overdreven claims, gebrek aan wetenschappelijke onderbouwing en te veel dramatiek.
Twintig jaar later weten we beter. Global warming is een feit. Onmiskenbaar, impactvol en nog altijd onderschat. Precies die gedachte kwam bij mij op toen ik recent een artikel las op accountant.nl met de titel ‘Datalekken veroorzaakt door te weinig controle’. Bits of Freedom stelde daarin dat organisaties hun gegevens beter moeten beschermen en dat toezicht moet worden opgevoerd. In diezelfde week eerder kondigde de Autoriteit Persoonsgegevens aan preventief te gaan controleren bij grote ICT‑bedrijven. En dat alles tegen de achtergrond van nieuwe wetgeving als DORA. En sinds ik begon met dit te schrijven alweer twee grote datalekken.
De signalen zijn helder. De vraag is niet óf er iets speelt, maar waarom we nog steeds verrast lijken. En niet alleen over datalekken en beveiliging, maar ook over fraudes, over grensoverschrijdende gedragingen. Over afwijkingen van moreel besef, van moreel leiderschap. Waarom is beveiliging niet gewoon ‘gewoon’?
Als ik, zonder toegang tot bestuurskamers en strategische afwegingen, probeer te duiden wat hier onderhuids gebeurt, kom ik uit op een aantal structurele verklaringen. Op het gevaar af – net als Gore destijds – te worden weggezet wegens overdrijving, leg ik ze hier toch neer. Want wegkijken is geen optie meer.
Echte informatiebeveiliging is duur, complex en structureel. Ze vraagt investeringen in mensen, processen en technologie, terwijl de opbrengst bestaat uit iets dat níét gebeurt. Geen incident. Geen datalek. Geen headline.
Dat botst met hoe organisaties worden aangestuurd.
Zolang:
is onder‑investeren rationeel gedrag. Beveiliging wordt een kostenpost die je optimaliseert, geen kernwaarde die je ontwikkelt. Je doet net genoeg om risico’s beheersbaar te houden. En investeren in AI is leuker en biedt meer kansen.
Dat verklaart waarom organisaties vaak pas bewegen:
Maar dat is geen regeren. Dat is reageren.
Vanuit governance‑perspectief zien we een bekend patroon. Verantwoordelijkheden zijn verdeeld, maar eigenaarschap ontbreekt:
Maar niemand overziet het geheel. Zeker in uitbestede en cloud‑gedreven omgevingen wordt beveiliging een keten van juristerij: leveranciers zijn gecertificeerd, contracten zijn afgesloten, assurance‑rapporten zijn ontvangen. Dus zal het wel goed zitten.
Tot het misgaat…
Dit many hands-probleem is een van de grootste risico’s van dit moment. Niet omdat er geen toezicht is, maar omdat verantwoordelijkheid zo ver is versnipperd dat niemand zich écht aangesproken voelt. Of echte zorgen maakt. Of écht verbeteringen wil bereiken.
AVG, NIS2, DORA, AI Act. De lijst groeit sneller dan organisaties kunnen bijhouden. Voldoen aan één wet is al ingewikkeld; voldoen aan allemaal vergt structurele keuzes in governance en IT‑architectuur.
Rapportageverplichtingen nemen toe. Toezichthouders vragen om inzicht, bewijs en verantwoording. Dat kost tijd en capaciteit, waardoor minder ruimte overblijft voor het echte werk: het daadwerkelijk verbeteren van weerbaarheid.
Daar komt bij dat wetgeving niet altijd naadloos aansluit. Definities verschillen. Eisen overlappen of spreken elkaar tegen. En ondertussen worstelen organisaties met legacy‑systemen die integratie met moderne beveiligingsmaatregelen bemoeilijken.
De toenemende afhankelijkheid van Big Tech en internationale cloud‑leveranciers maakt het niet eenvoudiger. Nationale wetgeving laat zich niet altijd snel of netjes inpassen in wereldwijde oplossingen.
DORA raakt een gevoelige snaar, omdat het niet draait om nóg meer regels, maar om iets fundamentelers: het aantoonbaar beheersen van digitale weerbaarheid, end‑to‑end. Met expliciete bestuursverantwoordelijkheid voor IT‑risico’s. Met continue monitoring. Met testen in plaats van vertrouwen.
Dat is confronterend. Niet omdat organisaties niet wíllen, maar omdat zichtbaar wordt hoeveel technische afhankelijkheid, organisatorische fragmentatie en bestuurlijke afstand is ontstaan.
En ja: DORA geldt nu vooral voor de financiële sector en haar ICT‑leveranciers. Maar wie denkt dat dit vraagstuk zich daar beperkt, vergist zich. Ziekenhuizen, reisorganisaties, Belastingdienst, onderwijsinstellingen, allemaal sectoren waarin enorme hoeveelheden persoonsgegevens omgaan en net zo goed worden geraakt. De voorbeelden stapelen zich op. En daar is geen DORA-blik op de weerbaarheid van de hele keten.
In mijn opleiding leerde ik nog het begrip ‘goed huisvaderschap’. Organisaties zorgden voor hun klanten, medewerkers en andere belanghebbenden. Die ouderwetse visie is niet meer de realiteit van vandaag. Moderne organisaties zijn complexe belangenstructuren, gestuurd door financiële targets, marktdruk en financiële prikkels.
Zonder harde externe prikkels lijkt moreel appél onvoldoende. Dat is geen cynisme, maar realisme.
Bij dit onderwerp hoor ik steeds weer Time van Pink Floyd. Een klassieker, maar nog steeds actueel. Niet toevallig. Dat nummer begint voor mij met ogenschijnlijk onschuldig tikken. Alsof de tijd nog rustig voortkabbelt, beheersbaar, bijna abstract. Tot ineens alle klokken tegelijk slaan. Hard. Onontkoombaar. Je schrikt op.
Die plotselinge overgang van wachten naar besef voelt als een perfecte metafoor voor waar we nu staan met digitale weerbaarheid. Jarenlang hebben we geweten dat afhankelijkheid van IT toeneemt, dat ketens kwetsbaar zijn, dat governance achterblijft. We hebben erover gesproken. We hebben beleid geschreven. We hebben verantwoord.
En ondertussen tikte de klok door.
Wat Time voor mij zo ongemakkelijk relevant maakt, is niet de dramatiek, maar de spiegel. Het nummer gaat niet over een catastrofe van buitenaf, maar over wat er gebeurt als je te lang denkt dat er nog tijd genoeg is. Als je wacht tot iemand anders je vertelt wanneer je moet beginnen.
Ik herken dat ongemak. Ook bij mezelf. Ook in mijn vak.
De incidenten van nu zijn geen plotselinge verrassing. Ze zijn het resultaat van jarenlang uitstel, van compromissen, van het idee dat het wel “acceptabel beheersbaar” was. Tot het moment komt waarop je beseft dat het startschot al lang is gevallen – en niemand dat expliciet heeft aangekondigd. En je nu al achterligt.
Dan gaan de alarmbellen af.
Ik kan niet in de schaduw van Al Gore staan. Maar net als hij voel ik de noodzaak om te spreken. De signalen zijn te duidelijk geworden om te blijven negeren. De reeks incidenten, de roep om toezicht, de nieuwe wetgeving – ze wijzen allemaal in dezelfde richting.
Dit opiniestuk is geen aanklacht, maar een appél. Aan bestuurders, vooral aan bestuurders. Aan toezichthouders. Aan compliance‑ en privacy professionals. Als we digitale weerbaarheid serieus nemen, moeten we stoppen met doen alsof het vooral een IT‑probleem is en dit in de bestuurskamer als vast agendapunt bespreken en ook blijven bespreken.
De tijd van afwachten is voorbij.
De klok tikt. En we kunnen niet zeggen dat niemand ons heeft gewaarschuwd.
