De brief die je wist dat zou komen lag deze week ook bij mij op de mat
De recente hack bij een laboratorium en de daaropvolgende datalek-brief hebben veel onrust veroorzaakt. Niet alleen omdat gevoelige medische gegevens op straat liggen, maar ook door de manier waarop hierover is gecommuniceerd. Burgers kregen een vage brief zonder antwoorden op essentiële vragen: welke gegevens zijn van míj gestolen, waar zijn die nu, loop ik nog risico?
Die brief lag deze week ook bij mij op de mat. Niet zomaar een brief, maar dé brief: de bevestiging dat mijn persoonlijke gegevens, van naam en adres tot medische testuitslagen en zelfs de naam van mijn arts, nu in handen zijn van criminelen. Dat nieuws had ik al op televisie gezien, maar het voelt heel anders als je je eigen naam zwart-op-wit ziet staan. Je beseft opeens: als burger heb je hier nul grip op. Je vertrouwt de overheid en de zorg en gaat ervan uit dat je gegevens veilig zijn. Totdat blijkt dat dat vertrouwen in één klap weg kan zijn.
Dit is systeemfalen
Datalekken worden vaak afgedaan als incidenten die “nu eenmaal gebeuren”. Pech, een crimineel die slimmer was dan verwacht, of een menselijke fout. Maar de schaal van dit lek, bijna een half miljoen gestolen identiteiten en medische dossiers, laat zien dat dit geen incident meer is. Dit is systeemfalen.
Digitale veiligheid is geen IT-dossier dat je kunt afschuiven naar de CISO of de ICT-afdeling. Het hoort in de bestuurskamer. Net zo vanzelfsprekend als financiën of arbeidsveiligheid. De Europese NIS2-richtlijn onderstreept dat: bestuurders en toezichthouders worden zélf verantwoordelijk gehouden voor passende maatregelen. Geen vinkjes meer, maar structureel beleid, toezicht en budget.
Op nationaal niveau zien we hetzelfde patroon. We hebben een minister van Volksgezondheid die brieven schrijft over dit datalek. Een minister van Justitie die gaat over cybercrime. Een staatssecretaris die zich soms met digitalisering bemoeit. Maar wat we níet hebben, is iemand die integraal verantwoordelijk is voor onze digitale veiligheid. En dat terwijl dit soort kwesties meerdere domeinen tegelijk raken: gezondheid, omdat het om medische gegevens gaat. Justitie, omdat er criminelen achter zitten. Economie, omdat losgeldbetalingen en herstel miljoenen kosten. Privacy en vertrouwen in de overheid, omdat burgers verwachten dat de staat hun gegevens beschermt.
En precies daarom schiet het huidige versnipperde stelsel tekort. Niemand voelt zich eindverantwoordelijk. We hollen van datalek naar datalek, terwijl de fundamentele vraag onbeantwoord blijft: wie borgt de digitale veiligheid van burgers op nationaal niveau?
Een Minister van Digitale Zaken moet die verantwoordelijkheid nemen. Niet om ieder datalek persoonlijk te voorkomen, dat is onmogelijk, maar om regie te voeren. Dat betekent: strengere eisen en toezicht voor organisaties die met gevoelige data werken, sancties en verplicht herstel bij nalatigheid, snelle en empathische communicatie richting burgers, coördinatie tussen zorg, justitie, toezichthouders en bedrijfsleven, en een langetermijnvisie op weerbaarheid waarin privacy en vertrouwen leidend zijn.
Wake-up call
Maar wachten op Den Haag is geen optie. Ook bestuurders kunnen vandaag al stappen zetten. Claim eigenaarschap: digitale veiligheid is een strategische kernverantwoordelijkheid. Stel kritische vragen: wordt er getest, is er toezicht, weten burgers tijdig waar ze aan toe zijn? Zet middelen vrij: zie digitale veiligheid niet als kostenpost maar als investering in vertrouwen. En werk samen: steun maatschappelijke initiatieven die in de praktijk het verschil maken.
Voor mij persoonlijk was deze brief een schok. Voor honderdduizenden anderen ook. Maar collectief is het vooral een wake-up call. Digitale veiligheid hoort in de bestuurskamer én in het kabinet. Zolang dat niet gebeurt, blijft de brief die je wist dat zou komen telkens opnieuw op de mat vallen.
