Juristen van Universiteit Leiden stellen dat strengere regels hacks niet stoppen. Zij zien in Nederland en de EU juist meer effect van massaclaims tegen bedrijven die data slecht beveiligen. Dat is actueel nu NIS2 in Europa geldt en nationale regels worden aangescherpt. De kern: financiële druk via rechtszaken kan sneller gedrag veranderen dan extra compliance-eisen.
Regels remmen hacks niet
Nieuwe regels leggen hogere eisen op, maar criminelen passen zich vaak sneller aan. Organisaties kruisen soms vooral vakjes af, zonder hun kwetsbaarheden echt te verminderen. Denk aan oude systemen of zwakke wachtwoorden die blijven bestaan. Daardoor blijven incidenten komen, ondanks boetes en audits.
Toezichthouders kunnen niet elk bedrijf intensief controleren. De Autoriteit Persoonsgegevens (AP) grijpt vooral achteraf in, na een datalek. Boetes volgen vaak jaren later. Voor slachtoffers voelt dat te laat en zonder herstel.
NIS2 vraagt om maatregelen zoals multi-factorauthenticatie en versleuteling. Versleuteling is het onleesbaar maken van data voor onbevoegden. Toch helpen basismaatregelen niet bij alle risico’s, zoals toeleveranciers die worden gehackt. Leveranciersketens blijven een zwakke plek.
Massaclaims verhogen prikkel
Collectieve acties vergroten de druk om te investeren in veiligheid. In Nederland maakt de Wet afwikkeling massaschade in collectieve actie (WAMCA) dit sinds 2020 mogelijk. De AVG (GDPR) biedt daarnaast schadevergoedingen aan betrokkenen via artikel 82. Samen geeft dit burgers en stichtingen een sterkere positie.
Belangenorganisaties kunnen namens grote groepen optreden bij datalekken of misbruik van persoonsgegevens. Zij eisen vaak zowel geld als structurele verbeteringen in beveiliging en governance. Verzekeraars en raden van bestuur voelen zo direct financieel risico. Dat versnelt beslissingen over patching, segmentatie en monitoring.
Schikkingen leggen soms concrete maatregelen vast, met termijnen en externe controle. Dat is voor slachtoffers tastbaarder dan een algemene boete. Ook reputatieschade werkt door, zeker bij consumentenmerken en zorginstellingen. Bestuurders gaan daardoor eerder bovenwettelijk investeren.
Een massaclaim is een collectieve rechtszaak namens een grote groep slachtoffers. In Nederland kan dit sinds 2020 onder de WAMCA, vaak op basis van schade door een datalek of onrechtmatige gegevensverwerking.
NIS2 en AVG blijven cruciaal
Wettelijke normen blijven de basis. De Europese NIS2-richtlijn legt risicobeheer, incidentmelding en ketenbeveiliging op aan veel sectoren. Lidstaten zetten dit om in nationale wetgeving en toezicht. In Nederland zijn onder meer het Nationaal Cyber Security Centrum (NCSC) en sectorale toezichthouders betrokken.
De AVG verplicht organisaties tot dataminimalisatie en tijdige melding van datalekken (binnen 72 uur). Dataminimalisatie is alleen de strikt nodige data opslaan. Voor veel publieke diensten en zorgaanbieders is dit extra belangrijk. Zij verwerken grootschalig gevoelige gegevens.
Regels en handhaving vormen samen de ondergrens. Massaclaims maken naleving economisch aantrekkelijker. Die combinatie – norm, toezicht en civiele druk – vergroot de kans op echte verbeteringen. Zo ontstaat minder focus op vinkjes en meer op risico’s.
AI vergroot de schade
Kunstmatige intelligentie versterkt de impact van datalekken. Phishing en social engineering worden geloofwaardiger met generatieve systemen zoals grote taalmodellen. Dat verhoogt het aantal succesvolle aanvallen. Ook geautomatiseerde scans vinden sneller zwakke plekken.
Datasets die voor AI worden gebruikt, bevatten vaak persoonsgegevens. Misbruik kan leiden tot identiteitsfraude of chantage. Onder de AVG gelden daarom strenge eisen aan doelbinding en beveiliging. Voor hoge-risico AI-systemen verplicht de Europese AI-verordening bovendien robuuste logging en risicobeheer.
Overheden en bedrijven moeten nu al rekening houden met “Europese AI-verordening gevolgen overheid”. Denk aan inkoopvoorwaarden, audittrail en transparantie richting burgers. Collectieve acties kunnen hier extra druk op zetten. Dat helpt bij snellere invoering van veilige standaarden.
Wat organisaties nu moeten doen
Zet basismaatregelen op orde en bewijs dat met feiten. Denk aan versleuteling, segmentatie van netwerken en multi-factorauthenticatie. Test back-ups en herstel regelmatig. Leg processen vast en log acties zodat u kunt aantonen wat is gedaan.
Beperk data en bewaartermijnen om schade te verkleinen bij een lek. Evalueer leveranciers strenger en leg beveiligingsplichten contractueel vast. Voer impactanalyses (DPIA’s) uit bij nieuwe AI-toepassingen. Train medewerkers continu tegen phishing en deepfakes.
Bereid u voor op claims en toezicht tegelijk. Stel een incidentplan op met meldplichten voor AP en sectorale loketten. Communiceer tijdig en eerlijk met betrokkenen. Dat verlaagt juridische risico’s en herstelt vertrouwen sneller.
