De rvc als firewall

5 maart 2026
Governance Radar

Het datalek bij telecombedrijf Odido is een wake-up call voor de raden van de commissarissen van álle Nederlandse bedrijven: hoe kunnen we een hack voorkomen en wat doen we er als er toch een aanval plaatsvindt? Maar hebben toezichthouders wel voldoende kennis van cybersecurity en de digitale transformatie om het bestuur de juiste vragen te stellen? 

Precies 25 jaar geleden werd Marike van Lier Lels bij haar eerste commissariaat meteen in het diepe gegooid. In 2001 trad ze toe tot de raad van commissarissen van KPN, vlak voordat het telecombedrijf dreigde te bezwijken onder de schuldenlast door de UMTS-licentie en topman Paul Smits moest vertrekken. ‘De eerste vergadering liep meteen al enorm uit’, herinnerde Van Lier Lels zich. ‘“Schrik niet”, zei de toenmalige president-commissaris nog tegen me, “dit gebeurt nooit”. Maar datzelfde jaar kwamen we in totaal 26 keer bij elkaar.’ 

Met de neus in de boter

Een kwart eeuw later is er opnieuw een telecombedrijf in crisis: Odido. Al verschilt de aanleiding: een datalek, waarbij de gegevens van 6,5 miljoen klanten en 600 bedrijven zijn buitgemaakt door hackersgroep Shinyhunters. Nadat de telecomprovider besloot geen losgeld te betalen, belandden de weggesluisde data op het dark web. Ook bij Odido zijn er twee net benoemde commissarissen die zich waarschijnlijk even achter de oren krabben omdat ze met hun neus in de boter vallen: Thomas Crewe (directeur binnen het technologieteam van Apax Partners in Londen, per 23 januari 2026 toegetreden als commissaris) en Hans Ploos van Amstel (momenteel Executive Chairman of the Board of Directors bij textielonderneming Recover en eerder cfo bij Partners, Adecco en COFRA en wereldwijd cfo van Levi Strauss & Co). Ploos van Amstel werd in de Odido-rvc benoemd per 1 februari 2026, slechts een week voor het datalek. 

Ook commissarissen van andere bedrijven ineens wakker

Welke vragen stel je als (nieuwe) commissaris in zo’n geval? Uit de losse pols: Hoe heeft dit kunnen gebeuren, hoe communiceren we dit naar onze klanten, gaan we losgeld betalen of niet, hoe gaan we om met claims en hoe voorkomen we dit in de toekomst? En dat zijn niet alleen vragen die gesteld moeten worden bij een bedrijf dat al met een datalek wordt geconfronteerd, maar vooral bij organisaties waarbij dat nog níet het geval is. Voorkomen is immers beter dan genezen. In die zin is de Odido-casus een goede wake-up call voor de rest van toezichthoudend Nederland.

Code over cybersecurity

Ook de Nederlandse Corporate Governance Code noemt cybersecurity als een verantwoordelijkheid in bestuur en toezicht. Zo lezen we in de toelichting op principe 1.1 (Duurzame lange termijn waardecreatie):

‘Eveneens verlangt duurzame lange termijn waardecreatie bewustzijn van en anticiperen op ontwikkelingen in nieuwe technologieën en veranderingen in business modellen en daaraan verbonden risico’s waaronder cybersecurity, leveranciers- en ketenafhankelijkheden, data protectie en ethisch verantwoorde toepassing van nieuwe technologieën (bijvoorbeeld ‘Responsible AI’).’

Ook in de toelichting op bepaling 1.2.1 (Risicobeoordeling), wordt cybersecurity genoemd, in het kader van het inventariseren en analyseren van de risico’s die zijn verbonden aan de strategie en de activiteiten van de onderneming door het bestuur en het vaststellen van de risicobereidheid. Uit de toelichting:

‘Voorbeelden van strategische, operationele, compliance en verslaggevingsrisico’s zijn risico’s als klimaatverandering, sociale ongelijkheid, fiscale risico’s, frauderisico’s, witwasrisico’s en risico’s van informatie- en communicatietechnologie (waaronder op het gebied van cybersecurity, leveranciers- en ketenafhankelijkheden, data protectie en risico’s verbonden aan nieuwe technologieën en veranderende businessmodellen, zoals op het gebied van ethisch verantwoorde toepassing van nieuwe technologieën (bijvoorbeeld Responsible AI))’

Eerst schandaal nodig

Maar wéten commissarissen wel welke vragen ze moeten stellen over cybersecurity? De ontwikkelingen op het gebied van digitalisering gaan razendsnel: vaak een stuk sneller dan commissarissen kunnen bijbenen. Dat bleek bijvoorbeeld eerder uit de nulmeting en 1-meting Digitale transformatie in boardrooms (respectievelijk 2018 en 2021). Een veelzeggende quote van een van de deelnemende commissarissen in de 1-meting: ‘Ik ben bang dat er eerst een schandaal rond digitale technologie nodig is, voordat wordt ingezien hoe cruciaal kennis op dit gebied is.’ 

Privacy en data klanten beschermen

Dat schandaal is er nu, want het Odido-datalek betreft maar liefst een derde van alle Nederlanders, waarbij zeer gevoelige informatie op straat is komen te liggen, met mogelijk grote persoonlijke consequenties. Bijvoorbeeld door publicatie van gegevens van ministers en mensen die beveiligd worden, of mensen die een betalingsachterstand blijken te hebben. Commissarissen worden geacht de belangen van alle stakeholders te behartigen, dus ook de privacy en data van klanten. Als toezichthouders moeten ze ook de continuïteit van het bedrijf bewaken en die kan door cybercriminaliteit ernstig bedreigd worden. Goed toezicht op cybersecurity is dus een must. 

Op de agenda

De raad van commissarissen of raad van toezicht kan zich daarbij onder meer op de volgende zaken richten: 

  • de effectiviteit van de cybersecurity-systemen die het bedrijf moeten beschermen en het signaleren en verstevigen van de zwakke plekken;
  • de benodigde investeringen (zowel financieel als in capaciteit en operatie) om systemen state-of-the-art en up-to-date (via het tijdig doorvoeren van patches) te houden in de snelle ontwikkelingen van AI en datamanagement;
  • nauwgezette en proactieve monitoring op basis van concrete kpi’s en managementrapportages (aantal incidenten, hoe snel en afdoende deze werden opgelost, hoeveelheid afgeweerde aanvallen);
  • de aanwezigheid van een back-up, zodat het bedrijf de operatie kan continueren of snel weer kan opstarten na bijvoorbeeld een ransomware-aanval;
  • de toeleveringsketen: welke externe partijen hebben toegang tot gevoelige data – of slaan deze al of niet geoorloofd op en voor hoe lang – en hoe wordt de beveiliging daarvan geregeld, geborgd en gecontroleerd?;
  • de cultuur op het gebied van cybersecurity in het bedrijf. De mens blijkt vaak de zwakste schakel bij hacks: zijn medewerkers zich bewust van de gevaren of zijn ze naïef voor bijvoorbeeld phishing naar inloggegevens en daardoor kwetsbaar? Houden ze zich strikt aan de procedures (bijvoorbeeld two-factor authentication), of vinden ze deze lastig, ingewikkeld en overbodig en passen ze de regels niet of slechts deels toe?
  • de aanwezigheid van een plan voor als er toch een cyberaanval plaatsvindt: ligt er een actueel draaiboek voor crisismanagement, interne en externe communicatie en reputatiebeheer? 

Onderzoek naar digitale weerbaarheid 

Het onderzoek Digitale transformatie in boardrooms wordt nu herhaald: u kunt als lid van een rvc of rvt (maar ook als bestuurder/directielid of cio) deelnemen aan de 2-meting (tot en met 15 april). Doe vooral mee: hoe meer kennis in de Nederlandse bestuurskamers van de kansen, maar ook en vooral van de bedreigingen en gevaren van digitalisering (waaronder cybercriminaliteit), hoe beter. Digitale weerbaarheid vraagt om een raad van commissarissen of raad van toezicht die kan fungeren als een sterke firewall. 

Auteurs
Marike van Zanten
Sector
Bedrijfsleven
Semipubliek
Thema
cyber security
Kennispartner
NR Governance

Verder in deze Governance Update

‘Geen sirene maar signaal’
Vier stappen voor RvT om crisis te managen
De portefeuille van... Els Nieveen van Dijkum
Havenbedrijf Rotterdam wint Driehoek 3D Trofee
Hoe houd je toezicht op weerbaarheid in geopolitieke volatiliteit?
AI als ‘virtual boardmember’
Waarderend toezien
(De)polarisatie
On board
‘Er zat veel energie in strategiesessie’
Interim-directeur: geen noodverband, maar injectie voor gezonde groei