Gehackt of niet gehackt? Hoe klantvertrouwen weglekt tijdens de digitale transitie

De lijst met recente incidenten is lang: Hallmark, Odido, Eurocamps, Booking, Basic-Fit en ChipSoft kwamen in het nieuws. En zeer recent: Bol.com (al het tweede datalek in 2026) en Rituals. De meest ingrijpende hack vond zelfs plaats bij een gemeente (Epe), waar alle inwonergegevens zijn buitgemaakt waarmee inwoners relatief eenvoudig kunnen worden misleid [1]. Daar gaan oplichters mogelijk nog jaren plezier van hebben.

Wat valt op aan veel van deze privacy-incidenten?

Een terugkerend patroon is dat de Autoriteit Persoonsgegevens (AP) door consumenten wordt gezien als weinig proactief in toezicht en handhaving [2]. Recent is er echter beweging: de AP kondigde aan ICT-leveranciers preventief te gaan controleren [3]. Dat werd tijd denk ik, want daar gaat ook veel fout bij de ICT-leveranciers. Tegelijkertijd is het te makkelijk om bij elk incident vooral naar de toezichthouder te wijzen—de primaire verantwoordelijkheid ligt toch echt bij de organisaties zelf. Daar worden ze naar mijn indruk te weinig op aangesproken.

Het echte probleem: crisiscommunicatie die vertrouwen afbreekt

Wat mij vooral opvalt, is het schijnbare gemak—een bijna ‘laissez-faire’ houding—waarmee verantwoordelijke bestuurders soms reageren wanneer het misgaat [4]. In de praktijk zie je de reactie vaak in drie herkenbare fasen verlopen:

[....]