Eén datalek, vier meldplichten en jij moet ze allemaal kennen
Veel organisaties denken dat ze voldoen aan de regelgeving rond technologie, data en cybersecurity. Een DPO en een CISO aangesteld, een GDPR-beleid op papier, en klaar. Maar in orde zijn met GDPR betekent niet dat je klaar bent voor het volledige regelgevend landschap met onder meer NIS2, de AI Act of de Cyber Resilience Act. En al zeker niet dat je bestuurders beschermd zijn wanneer het fout loopt.
In deze aflevering van de Cyfora Podcast gaat Raf van der Veken, Managing Partner bij Cyfora, in gesprek met Maxime Verstrepen, Partner bij Four & Five. Een advocatenkantoor gespecialiseerd in ondernemingsrecht, technologie en data. Samen ontleden ze de regelgevingsgolf rond technologie, cybersecurity, data & AI. Ze vertalen juridische verplichtingen naar concrete bedrijfsrisico's. Beluister het volledige gesprek hieronder.
De wetgevingsgolf is geen toeval. Het is één verhaal
GDPR was het startschot. Maar de afgelopen jaren is daar een compleet ecosysteem van regelgeving bijgekomen: NIS2, de AI Act, de Data Act, de Data Governance Act, de Cyber Resilience Act, DORA. Voor veel bestuurders voelt dat als een onontwarbare kluwen.
Maxime nuanceert dat beeld: "Het zijn geen willekeurige regels. Er is wel degelijk een rode draad: bedrijven bewust maken van risico's, die risico's aanpakken, en daar transparant over zijn."
Elke wet heeft een ander vertrekpunt (persoonsgegevens, cybersecurity, AI-systemen, digitale producten), maar de basisprincipes zijn identiek. Wie dat inziet, hoeft niet elke wet als een apart project te benaderen.
NIS2 maakt cybersecurity een bestuurszaak
NIS2 is één van de gamechangers. NIS2 geldt voor veel meer bedrijven dan haar voorganger en legt voor het eerst expliciete aansprakelijkheid bij het bestuur zelf.
Maxime bevestigt en verduidelijkt: "Er worden specifieke aansprakelijkheidsgronden voorzien voor het bestuur. Bestuurders moeten niet alleen strategisch, maar ook operationeel begrijpen waar cybersecurity over gaat."
Concreet betekent dat:
Bestuurders moeten risicobeheersmaatregelen formeel goedkeuren.
Ze moeten toezicht houden op de implementatie.
Bestuurders kunnen aansprakelijk gehouden worden bij inbreuken.
En dat gaat verder dan je eigen muren. NIS2 dwingt organisaties om hun volledige supply chain in kaart te brengen.
Maxime vat het samen: "Je bent maar zo sterk als je zwakste leverancier."
Eén incident, vier klokken die tikken
Stel: er doet zich een ernstig datalek voor in je organisatie. Persoonsgegevens zijn getroffen, maar ook andere bedrijfskritische data. Wat nu?
Als je onder meerdere regelgevingen valt (en dat is steeds vaker het geval) betekent dit dat er niet één meldprocedure, maar meerdere tegelijk van toepassing kunnen zijn, elk met eigen termijnen, eigen instanties, eigen formats.
Concreet kan dat, afhankelijk van het type incident en de context, onder meer het volgende betekenen:
GDPR: melding aan de Gegevensbeschermingsautoriteit binnen 72 uur en/of melding aan de betrokkenen.
NIS2: een vroegtijdige waarschuwing aan het CCB binnen 24 uur, gevolgd door een volledige melding binnen 72 uur, en een eindverslag binnen één maand.
DORA (financiële sector): eerste kennisgeving binnen 4 uur na classificatie als ernstig incident, tussentijds verslag binnen 72 uur, en een eindverslag binnen één maand.
Cyber Resilience Act: early warning binnen 24 uur, volledige melding binnen 72 uur, plus een eindverslag binnen 14 dagen of één maand (afhankelijk van de situatie).
Dat klinkt als een bureaucratische nachtmerrie. Maar Maxime draait het om: "Met één geïntegreerd incident-responseproces kun je die complexiteit perfect kanaliseren. Organisaties die dat op orde hebben, raken niet in paniek. Die zetten hun workflow in gang."
De echte kost van non-compliance zit niet in de boete
Ja, de boetes zijn fors. En ja, ze cumuleren wanneer meerdere wetten tegelijk van toepassing zijn. Maar wie alleen naar boetes kijkt, mist het grotere plaatje.
Maxime beschrijft het als volgt: "De operationele risico's worden onderschat. Als een datalek in de media verschijnt voordat jij het zelf hebt ontdekt, is dat gewoon pijnlijk."
De werkelijke impact zit in:
Reputatieschade. Klanten die afhaken, salestrajecten die vertragen.
Contractuele gevolgen. Klanten die zelf compliant moeten zijn en een niet-compliant leverancier niet kunnen veroorloven.
Operationele stilstand. Systemen die offline moeten, projecten die stilvallen, SLA's die worden gemist.
En dan is er nog de toezichthouder, die naast boetes ook waarschuwingen, bevelen en zelfs opschorting van activiteiten kan opleggen.
Policies in de kast beschermen je niet
Veel organisaties hebben ergens wel een map met policies en procedures. Maar als die documenten niet leven in de organisatie, zijn het net lege dozen.
Maxime onderschrijft dat: "Alleen documentatie is niet voldoende. Toezichthouders verwachten dat je kunt aantonen dat regels worden nageleefd. Niet dat ze ergens op papier staan."
Dat betekent: regelmatige trainingen, duidelijke verantwoordelijkheden, processen die effectief worden gevolgd. En vooral: awareness bij élke medewerker. Want veel incidenten beginnen bij een verkeerde klik, een phishingmail, of het onbedoeld delen van gevoelige informatie. De mens blijft de eerste verdedigingslinie, maar vaak ook de initiële oorzaak.
Compliance is geen taak voor IT of legal alleen
Een veelgemaakte fout: compliance delegeren aan de DPO en CISO, de IT-afdeling, of het juridische team. Maar regelgeving rond data, AI en cybersecurity raakt de hele organisatie, van sales en marketing tot HR en het bestuur.
Maxime ziet dat ook in de praktijk: "Ik geloof niet dat één persoon alles onder controle kan houden. Legal kan de verplichtingen identificeren, IT kan technische maatregelen implementeren. Maar de business moet het dragen."
De sleutel tot succes? Management dat het verhaal vertaalt naar impact in plaats van naar wetsartikelen. Korte, gerichte trainingen in plaats van abstracte sessies. Een vast aanspreekpunt per afdeling dat compliance uitdraagt in de dagelijkse werking.
Wie compliant is, wint sneller vertrouwen
Compliance wordt vaak gezien als een kostenpost. Maar het kan net zo goed een concurrentieel wapen zijn.
Maxime merkt dat ook: "Als ik kijk naar hoe een salesproces of een due diligence de afgelopen tien jaar is veranderd: er wordt veel meer proactief gevraagd naar hoe je met data en wetgeving omgaat. Wie daar vlot op kan antwoorden, staat meteen een stap voor."
Klanten, investeerders en partners willen weten: waar staat je data? Wie heeft toegang? Welke leveranciers gebruik je? Hoe reageer je op een incident? Organisaties die daar helder en onderbouwd op kunnen antwoorden, winnen vertrouwen. En deals.
Data-soevereiniteit: weet wat je hebt, waar het staat, en wie erbij kan
Controle over je data is niet langer een nice-to-have. Het is een voorwaarde om snel en correct te kunnen handelen bij een inspectie, een due diligence, of een incident.
Maxime vat het kernachtig samen: "Het gaat om autonomie. Weten waar je data zich bevindt, onder welke wetgeving het valt, en of je er op elk moment gebruik van kunt maken."
Organisaties die dat proactief in kaart brengen, reageren sneller, consistenter, en met minder frictie wanneer het erop aankomt.
Regulering gaat niet weg, maar kan wel slimmer
De regelgevingsgolf is nog niet voorbij. Maar Maxime pleit voor pragmatisme: "Ik hoop dat wetgeving minder als een struikelblok wordt gezien en meer als iets dat innovatie mogelijk maakt. Op een verantwoorde en betrouwbare manier."
Haar boodschap aan bestuurders is helder: "Wie vandaag structureel investeert in vertrouwen, wint morgen aan snelheid, en bespaart extra werk, kosten en zorgen achteraf."
Van juridisch risico naar bestuurlijke controle
De regelgeving rond cybersecurity, data en AI wordt complexer. Maar de kern blijft eenvoudig: weet welke risico's je loopt, neem verantwoordelijkheid, en zorg dat je het kunt aantonen.
Cyfora helpt organisaties precies die vertaalslag te maken. Van juridische en technische vereisten naar een pragmatisch, aantoonbaar en bestuurlijk gedragen securitybeleid. Geen papieren oefening, maar een werkend systeem dat je beschermt wanneer het erop aankomt.
Wil je weten waar jouw organisatie staat? Plan een vrijblijvend gesprek via info@cyfora.be.
