De hack bij Clinical Diagnostics heeft een pijnlijke zwakte blootgelegd. Bedrijven en instellingen blijken onvoldoende in staat om gevoelige informatie af te schermen tegen misbruik of criminele infiltratie. Er is na een groot incident een lange weg te gaan tot herstel van geschonden vertrouwen. De datalek bij Clinical Diagnostics heeft geleid tot aankondiging van nader onderzoek door onder meer de Inspectie Gezondheidszorg en Jeugd, de Autoriteit Persoonsgegevens en het Openbaar Ministerie. Advocaten bereiden intussen massaclaims voor.
Clinical Diagnostics hult zich nog in stilzwijgen over de exacte toedracht van de hack en wat is gedaan om herhaling te voorkomen. De maatschappelijke beroering is intussen enorm. Eén of de drie Nederlanders twijfelt over deelname aan nieuwe onderzoeken van Bevolkingsonderzoek Nederland bleek uit Hart van Nederland-panelonderzoek van 29 augustus 2025. Het is een nieuwe dreun boven op het beeld dat jaarlijks ruim twee miljoen Nederlanders getroffen worden door een vorm van online criminaliteit (bron: Cybercrimebeeld 2024 | KortOM | Opportuun). Naast de enorme financiële schade voor mensen en bedrijven wordt het vertrouwen in elkaar en in de digitale infrastructuur doorlopend op de proef gesteld.
Strak ingerichte controle frameworks kunnen het geschonden vertrouwen niet zomaar opvijzelen. Vooral is nodig dat een goede antenne wordt ontwikkeld om nieuwe dreigingen tijdig te signaleren en het hoofd te bieden. Bestuurders, betrokken experts en medewerkers op de werkvloer moeten ieder vanuit hun eigen rol een bijdrage leveren aan preventie. Zonder actuele kennis van de externe context (waaronder de risico’s van gebruik van AI, mogelijke de criminele modus operandi) is effectieve digitale weerbaarheid een illusie.
Preventie verlangt een omvattende, integrale aanpak met een belangrijke rol daarbij voor de private sector, aldus ook het genoemde rapport Cybercrimebeeld 2024. Illustratief hiervoor is de sterke prikkel tot preventie die in het Verenigd Koninkrijk in het strafrecht is ingebouwd. Per 1 september 2025 is de herziene Economic Crime and Corporate Transparency Act van kracht. Bedrijven die onvoldoende werk maken van preventie van fraude (waaronder corruptie, diefstal van data en andere vormen van financieel economische criminaliteit) lopen nu de kans op strafrechtelijke vervolging. De Home Office in het Verenigd Koninkrijk heeft daarbij de “Failure to Prevent Fraud Guidance” gepubliceerd, voorzien van voorbeelden en uitgewerkte principes die ook gelden voor digitale fraude. Hierin wordt het belang van aantoonbaar “top level commitment”, regelmatig uit te voeren compliance risico assessments, due diligence in de keten, communicatie en training onderstreept.
Er is echter meer nodig om niet in oude fouten te vervallen. Om de “corporate memory” bij grote organisaties op peil te houden volstaat een upgrade van processen, systemen en procedures niet. Risicobeheersing gedijt alleen in een cultuur waarin iedereen elkaar scherp houdt, iedereen elkaar vrijuit kan aanspreken en vanuit uiteenlopende disciplines ook goed wordt samengewerkt. Een goede graadmeter van succes is de mate waarin medewerkers zich betrokken voelen bij de realisatie van de gestelde doelen, voldoende op hun taken zijn toegerust en ook met plezier naar hun werk gaan. Preventie loont vooral direct bij de poort, zoals bestuurders in de financiële sector op voorhand worden getoetst op hun geschiktheid, óók in context van het op peil houden van digitale weerbaarheid.
Maar ook bij aanbesteding van grote projecten kan de overheid al direct passende voorwaarden stellen aan de preventie van fraude en (cyber) criminaliteit en versterking van een integere bedrijfscultuur van inschrijvende partijen. De overheid kan daarbij de door het Nationaal Cyber Security Centrum aanbevolen maatregelen ter naleving van de in de Europese NIS2 richtlijn verankerde zorgplicht toepassen bij aanbesteding van nieuwe projecten én ook langs die weg toezien op de naleving hiervan. Het ligt voor de hand dat de kosten daarvan ruimschoots opwegen tegen het belang van een betere beheersing van het risico van cybercriminaliteit.
