Hoe verbetert Doccle de beveiliging van uw toeleveringsketen?

De wet verplicht u om de risico’s bij uw partners en leveranciers te beheersen. Doccle vervangt onveilige e-mailuitwisseling door een volledig versleutelde omgeving voor het delen van dossiers. U sluit hiermee kwetsbare gaten in de communicatieketen en borgt de integriteit van informatie buiten de muren van uw eigen kantoor.

Hoe versnelt Doccle uw NIS2-compliance?

Doccle versleutelt al uw documenten en gegevensstromen automatisch volgens de strengste Europese normen. Het platform genereert direct de onveranderbare audit trails die nodig zijn voor inspecties door de overheid. Hiermee voldoet u aan de technische eisen voor gegevensbescherming zonder zelf complexe systemen te hoeven bouwen.

Welke sancties dreigen er bij onvoldoende digitale beveiliging?

Toezichthouders kunnen zware maatregelen nemen, waaronder boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Daarnaast draagt de directie voortaan een expliciete zorgplicht; u moet onomstotelijk kunnen aantonen dat u actief toeziet op de implementatie van alle vereiste beveiligingsmaatregelen.

Wat zijn de verplichte meldingstermijnen bij digitale incidenten?

Bij een aanzienlijk incident geldt een strikt tijdspad om de schade te beperken: binnen 24 uur moet een eerste waarschuwing (early warning) naar de toezichthouder, gevolgd door een volledige rapportage met impactanalyse binnen 72 uur. Een definitief eindrapport dient binnen één maand ingediend te zijn.

Valt mijn verzekeringskantoor onder de NIS2-wetgeving?

De wet geldt in principe voor bijna alle verzekeraars met meer dan 50 medewerkers of een jaaromzet boven de 10 miljoen euro. Let echter goed op de ketenverantwoordelijkheid: ook kleinere kantoren kunnen onder de regels vallen als zij een cruciale rol spelen in de financiële keten of als toeleverancier van een grotere partij optreden.

26/05/2026

Hoe voorkom je een datalek als verzekeraar? Wat Odido ons leert over veilige klantcommunicatie

Door Otto Lagemaat, oprichter van Doccle Nederland

Op 5 februari 2024 werden de gegevens van 6,39 miljoen Nederlanders gedownload uit de systemen van Odido. Niemand bij Odido wist het. Twee dagen later pas, op 7 februari, hoorde het bedrijf wat er was gebeurd. Niet van de eigen beveiligingssoftware. Van de hackers zelf.

De aanval verliep via phishing. Iemand klikte op iets wat betrouwbaar leek. Dat was genoeg.

Ik vertel dit niet om Odido aan de schandpaal te nagelen. Ik vertel het omdat dit patroon herkenbaar is voor elke organisatie die klantcommunicatie via losse digitale kanalen verstuurt. En dat zijn er veel meer dan je denkt.

Het probleem zit niet in de intentie, maar in de infrastructuur

Vrijwel elke organisatie in Nederland heeft de afgelopen tien jaar fors geïnvesteerd in digitalisering. Klantcommunicatie gaat nu via e-mail, portalen, PDF-bijlagen en printstraten. Medewerkers wisselen documenten uit via Outlook, WeTransfer of een gedeelde map. Klanten ontvangen berichten via meerdere kanalen tegelijk. Elk van die kanalen is een aanvalsoppervlak.

De Autoriteit Persoonsgegevens ontving in 2024 bijna 38.000 meldingen van datalekken in Nederland. Een groot deel daarvan ontstond niet door geraffineerde hacks, maar door iets simpels: een document of bericht dat via het verkeerde kanaal de verkeerde kant op ging. Phishing werkt zo goed omdat het inspeelt op systemen die al versnipperd zijn. Als jouw klant gewend is e-mails te ontvangen van meerdere afzenders namens jouw organisatie, heeft een cybercrimineel al het halve werk gedaan.

Voor verzekeraars en pensioenfondsen is dit bijzonder urgent. Polissen, schadedossiers, medische gegevens en betalingsinformatie behoren tot de meest gevoelige categorieën persoonsdata. Het Verbond van Verzekeraars constateerde in 2024 een zichtbare toename van AI-gedreven fraude specifiek gericht op digitale communicatieprocessen.

Wat een incident kost

In 2025 lekte bij het Nederlandse bevolkingsonderzoek de data van bijna een half miljoen mensen. Oorzaak: een hack bij een leverancier in de communicatieketen.

Dat soort incidenten heeft een prijskaartje. Volgens het IBM Cost of a Data Breach Report 2025 bedragen de gemiddelde kosten van een datalek in de Benelux 6 miljoen euro. Daarin zitten forensisch onderzoek, herstelkosten, meldingsplicht aan betrokkenen en regulatoire boetes. De basisboete van de Autoriteit Persoonsgegevens voor het niet tijdig melden begint al bij 525.000 euro.

Daarbovenop: DORA verplicht verzekeraars en financiële instellingen met meer dan 50 medewerkers sinds 17 januari 2025 tot een initiële melding bij de toezichthouder binnen 24 uur na een significant incident. Wie dat niet haalt, loopt risico op sancties bovenop de AVG-boetes.

Het verschil tussen een beveiligd systeem en een veilige infrastructuur

Veel organisaties denken aan cyberveiligheid als iets wat je aan de poort regelt: een firewall, een antivirussysteem, medewerkers die phishing-trainingen volgen. Dat is noodzakelijk, maar niet voldoende.

Odido had beveiligingssystemen. De aanval slaagde toch, omdat de aanvaller via een e-mail de organisatie binnenkwam en twee dagen onopgemerkt bleef.

Wat ontbreekt bij de meeste organisaties is controle over de communicatielaag zelf. Welk bericht is verstuurd, via welk kanaal, aan wie precies, en is het aantoonbaar bij de juiste persoon aangekomen? Zolang die vraag niet te beantwoorden is, is veiligheid een aanname.

Wat ik in de praktijk zie werken: organisaties die klantcommunicatie centraliseren in een infrastructuur waar identiteiten geverifieerd zijn, afleveringen traceerbaar zijn en eindgebruikers precies weten dat een bericht authentiek is. Niet omdat dat goedkoper is, maar omdat het het aanvalsoppervlak radicaal verkleint.

De vraag die ik organisaties stel

Kun jij vandaag aantonen dat elk bericht dat jullie het afgelopen jaar naar klanten hebben gestuurd, bij de juiste persoon is aangekomen en niet onderschept of vervalst is? Voor de meeste organisaties is het antwoord nee. Dat is het startpunt voor Doccle.

Plan een demo

Veelgestelde vragen over datalekken voor verzekeraars

De wet verplicht u om de risico’s bij uw partners en leveranciers te beheersen. Doccle vervangt onveilige e-mailuitwisseling door een volledig versleutelde omgeving voor het delen van dossiers. U sluit hiermee kwetsbare gaten in de communicatieketen en borgt de integriteit van informatie buiten de muren van uw eigen kantoor.
Doccle versleutelt al uw documenten en gegevensstromen automatisch volgens de strengste Europese normen. Het platform genereert direct de onveranderbare audit trails die nodig zijn voor inspecties door de overheid. Hiermee voldoet u aan de technische eisen voor gegevensbescherming zonder zelf complexe systemen te hoeven bouwen.
Toezichthouders kunnen zware maatregelen nemen, waaronder boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Daarnaast draagt de directie voortaan een expliciete zorgplicht; u moet onomstotelijk kunnen aantonen dat u actief toeziet op de implementatie van alle vereiste beveiligingsmaatregelen.
Bij een aanzienlijk incident geldt een strikt tijdspad om de schade te beperken: binnen 24 uur moet een eerste waarschuwing (early warning) naar de toezichthouder, gevolgd door een volledige rapportage met impactanalyse binnen 72 uur. Een definitief eindrapport dient binnen één maand ingediend te zijn.
De wet geldt in principe voor bijna alle verzekeraars met meer dan 50 medewerkers of een jaaromzet boven de 10 miljoen euro. Let echter goed op de ketenverantwoordelijkheid: ook kleinere kantoren kunnen onder de regels vallen als zij een cruciale rol spelen in de financiële keten of als toeleverancier van een grotere partij optreden.