Consumenten en bedrijven hechten steeds meer waarde aan transparantie. Op dit moment ligt de focus vaak op duurzaamheid. Matthijs van der Wel-ter Weel, Strategic Advisor bij Orange Cyberdefense, verwacht dat cybersecurity in de nabije toekomst even belangrijk wordt. “Net zoals klanten willen weten hoe duurzaam een product is, willen ze ook inzicht in de bescherming van hun gegevens.”
Van der Wel-ter Weel roept bedrijven op om proactief te zijn in het transparant rapporteren over hun cybersecuritystrategieën. Regelmatige updates over beveiligingsmaatregelen, risicobeoordelingen en incident-response vergroten het vertrouwen van klanten. Het toevoegen van relevante certificeringen versterkt dat vertrouwen nog verder.
“Bedrijven worden nu al beoordeeld op hun ecologische voetafdruk”, legt hij uit. “Organisaties die binnenkort niet transparant zijn over hun cybersecurity, lopen het risico om zowel klantvertrouwen als marktaandeel te verliezen.”
Zelfregulering schiet tekort
Volgens Van der Wel-ter Weel moet cybersecurity een belangrijk gespreksonderwerp zijn in de communicatie met klanten. Dit betekent duidelijk maken hoe de organisatie bedreigingen monitort, langetermijngevolgen beoordeelt en beveiligingsmaatregelen implementeert in haar producten en diensten. Dit helpt bij het opbouwen van een transparante relatie en toont dat het bedrijf actief werkt aan de veiligheid van de klant.
Hoewel de Nederlandse overheid richtlijnen biedt om bedrijven te helpen effectief te communiceren over hun cybersecuritypraktijken, maken veel bedrijven hier nog te weinig gebruik van. In sterk gereguleerde sectoren worden de richtlijnen nauwgezet gevolgd vanwege het risico op boetes en reputatieschade, maar in minder gereguleerde sectoren varieert de naleving. “Zelfregulering werkt het beste wanneer er sterke prikkels zijn, zoals klantvertrouwen of concurrentievoordeel”, benadrukt Van der Wel-ter Weel. “Maar in dit geval is het duidelijk ineffectief zonder handhaving of duidelijke verplichtingen.”
Europese regelgeving op komst
Van der Wel-ter Weel waarschuwt dat de Europese Unie binnenkort strengere eisen kan stellen aan transparantie in cybersecuritypraktijken. Zo dwingt de nieuwe NIS2-richtlijn al tot meer transparantie door de verplichting om significante incidenten binnen 24 uur te melden. “Net zoals de AVG de standaard werd voor privacybescherming, zal regelgeving zoals NIS2 de norm worden voor cybersecuritytransparantie. Bedrijven die nu niet anticiperen, kunnen later voor onaangename verrassingen komen te staan.”
Een effectieve rapportage biedt inzicht in beveiligingsstrategieën zonder gevoelige details prijs te geven die hackers kunnen misbruiken. Dit omvat informatie over de algemene aanpak, gebruikte technologieën en protocollen zonder specifieke technische details. Deze balans biedt transparantie zonder extra risico’s te creëren. Bedrijven die begrijpelijke rapportages opstellen, laten zien dat cybersecurity een strategisch instrument is dat niet alleen de bedrijfsdoelen ondersteunt maar ook het klantvertrouwen versterkt.
Lessen uit het verleden
Eerdere datalekken onderstrepen het belang van transparante communicatie over cybersecurity. Een voorbeeld daarvan is het datalek bij Ashley Madison in 2015. Achteraf bleek dat het lek het gevolg was van een ondermaatse beveiliging. De overspelsite verzuimde bovendien om helder over het datalek en over de gevolgen te communiceren. Dit had niet alleen ernstige reputatieschade tot gevolg, maar verwoestte ook het leven van talloze klanten.
Als consumenten van tevoren hadden geweten dat er onvoldoende beveiliging was, zouden ze zich niet hebben aangemeld. Dit illustreert dat bedrijven niet alleen effectief moeten zijn in hun cybersecurity, maar hierover ook actief moeten communiceren. Transparantie over beveiligingsmaatregelen kan bedrijven helpen voorkomen dat ze vergelijkbare risico’s lopen en tegelijkertijd het vertrouwen van hun klanten versterken.