Auteurs: Remco Pabst, Business Consultant, en Shannon Breuer, Chief Information & Security Officer (CISO), beiden werkzaam bij Pegamento.

Datum: mei 2026

Van compliance naar controle

1. Executive summary

Het cyberincident bij Odido in februari 2026 laat zien waarom security niet langer uitsluitend als IT-onderwerp kan worden behandeld. Odido meldde dat persoonsgegevens uit een gebruikt klantcontactsysteem waren geraakt, terwijl de operationele dienstverlening niet was verstoord en er op dat moment geen aanwijzingen waren dat wachtwoorden, belgegevens of factuurgegevens waren betrokken. Strategisch is dat relevant omdat een organisatie niet volledig stil hoeft te vallen om toch geconfronteerd te worden met zware vragen over toegangsbeheer, logging, bewaartermijnen, klantvertrouwen en bestuurlijke controle.

Vanuit Pegamento zien wij dat de centrale vraag in de markt verschuift. Niet langer staat alleen centraal of een organisatie beveiligingsmaatregelen heeft genomen, maar vooral of zij kan laten zien wie toegang had, welke handelingen zijn uitgevoerd, welke besluiten zijn genomen, welke maatregelen aantoonbaar werken en wie waarvoor verantwoordelijk is. Die verschuiving sluit aan op bredere ontwikkelingen in wet- en regelgeving. De AVG kent naast integriteit en vertrouwelijkheid ook het accountability-beginsel. Organisaties moeten dus niet alleen compliant handelen, maar dat ook overtuigend kunnen onderbouwen.

Diezelfde beweging is zichtbaar buiten het privacydomein. NIS2 plaatst cybersecurity nadrukkelijker in de bestuurskamer, met governance, risicobeheersing, meldverplichtingen, supply-chain security en managementverantwoordelijkheid als terugkerende thema’s. Voor de financiële sector geldt dat DORA sinds 17 januari 2025 van toepassing is en digitale operationele weerbaarheid concreet koppelt aan toezicht, testing, third-party risk en incidentbeheersing. In Nederland was de Cyberbeveiligingswet op 20 april 2026 nog niet in werking, maar de voorbereiding daarop is al wel een reëel organisatievraagstuk.

Organisaties die deze verschuiving serieus nemen, investeren niet alleen in tooling, maar in bestuurbare samenhang tussen identity, logging, off-boarding, awareness, contractafspraken, incidentrespons en managementverantwoordelijkheid. Dat verlaagt risico’s, vergroot auditability en versterkt het vertrouwen van klanten, partners, toezichthouders en bestuurders.

2. Inleiding: de verschuiving die iedereen voelt

Elke markt kent kantelpunten: momenten waarop een incident niet alleen technische of juridische consequenties heeft, maar een bredere managementvraag oproept. Het incident bij Odido is zo’n moment. Niet omdat één casus de hele markt zou verklaren, maar omdat dit soort gebeurtenissen zichtbaar maken hoe securityvraagstukken ontstaan in klantcontactomgevingen, procesketens, ondersteunende systemen en governancekeuzes – en dus niet alleen in firewalls, netwerken of endpoints.

Voor veel organisaties voelt deze verschuiving intuïtief al herkenbaar. Klanten stellen andere due-diligencevragen. Inkoop- en legalteams willen meer onderbouwing. Auditors vragen niet alleen om beleidsdocumenten, maar om bewijs. Toezichthouders kijken niet uitsluitend naar de vraag of maatregelen bestaan, maar ook of een organisatie haar keuzes, risicoafwegingen en handelingen kan reconstrueren.

Dit whitepaper is geschreven vanuit die realiteit. Niet als productbrochure, en ook niet als incidentanalyse van één merk, maar als strategische duiding van een bredere ontwikkeling die Pegamento in de praktijk terugziet: organisaties raken kwetsbaar wanneer IT, Legal en Operations security elk deels benaderen, maar niemand het geheel bestuurt.

3. Waarom dit onderwerp nu relevant is

Er zijn drie redenen waarom dit onderwerp juist nu urgent is. De eerste reden is het veranderde dreigingsbeeld. Cyberincidenten raken niet alleen de technische omgeving, maar vaak direct klantprocessen, gegevensstromen en ketenafhankelijkheden. Goede loginformatie en een geoefende incidentrespons zijn daardoor niet langer een luxe, maar randvoorwaardelijk voor bestuurlijke grip.

De tweede reden is de oplopende impact van incidenten. Het IBM Cost of a Data Breach Report 2024 rapporteerde een wereldwijde gemiddelde datalekschade van USD 4,88 miljoen. Daarnaast gaf 70 procent van de onderzochte organisaties aan dat hun operatie significant of in ieder geval merkbaar werd verstoord. Dat onderstreept dat cyberincidenten niet alleen securityproblemen zijn, maar bedrijfsvoeringsproblemen.

De derde reden is de bestuurlijke en juridische verzwaring van het onderwerp. NIS2 vergroot de Europese lat voor cybersecurity in kritieke en belangrijke sectoren en maakt duidelijk dat bestuurders en hoger management niet op afstand kunnen blijven staan. Voor de financiële sector geldt die realiteit al concreet via DORA. De consequentie is helder: security wordt steeds meer beoordeeld op aantoonbare beheersing, niet alleen op technische intentie.

4. Achtergrond en marktcontext

Security werd jarenlang primair vertaald naar technologie. Firewalls, endpoint protection, SIEM, IAM, segmentatie, monitoring, patching en cloud hardening zijn allemaal noodzakelijk, maar zelden voldoende. Die technische focus was verklaarbaar in een periode waarin de dominante vraag luidde: kunnen we aanvallen voorkomen of sneller detecteren?

Vandaag ligt de lat hoger. De vraag is niet meer alleen of een organisatie maatregelen heeft, maar of zij de werking ervan kan aantonen in samenhang met processen, verantwoordelijkheden en besluitvorming. Accountability is daarmee geen semantische toevoeging, maar een fundamentele wijziging in de manier waarop organisaties beoordeeld worden.

Daarbij komt dat digitale ketens complexer zijn geworden. Identiteiten lopen via centrale identity providers en via lokale uitzonderingen. Applicaties ontsluiten data via API’s. Medewerkers werken hybride. Leveranciers beheren delen van de stack. Klantcontactplatformen zijn verbonden met CRM, ticketing, analytics en kennisbanken. Daardoor ontstaat risico niet alleen in ‘de infrastructuur’, maar juist in de overgang tussen systemen, rollen, rechten, beheerprocessen en contractuele verantwoordelijkheden.

5. Wat organisaties vaak denken dat security is en waarom dat niet meer genoeg is

Veel organisaties denken bij security nog steeds primair aan techniek, tooling, certificering en afvinkcompliance. Dat leidt gemakkelijk tot een schijn van volwassenheid. Er is een IAM-oplossing, dus toegang is geregeld. Er is logging, dus reconstructie is mogelijk. Er is een awareness-training, dus de mensfactor is afgedekt. Er is beleid, dus governance bestaat.

De praktijk laat een ander beeld zien. Een centrale identity-oplossing kan prima bestaan naast lokale uitzonderingsaccounts in applicaties. Op papier is least privilege ingericht, maar in de praktijk blijft toegang bestaan na rolwisselingen of vertrek. Of er is logging op meerdere lagen, maar de events zijn niet gecorreleerd, tijdstempels zijn niet geharmoniseerd en eigenaarschap voor analyse ontbreekt. Dan is er wel data, maar nog geen bewijs.

Het verschil tussen ‘maatregelen hebben’ en ‘controle hebben’ zit bijna altijd in samenhang. Security faalt vaak niet door het ontbreken van een tool, maar door het ontbreken van eigenaarschap, lifecyclebeheer, toetsing en uitlegbaarheid.

6. Wat klanten, toezichthouders en stakeholders tegenwoordig echt willen weten

De vragen die Pegamento in klanttrajecten, audits en due-diligenceprocessen ziet, zijn zelden nog puur technisch geformuleerd. Ze draaien doorgaans om controle, aantoonbaarheid en verantwoordelijkheid.

• Wie heeft toegang tot welke data, op welke grond en via welk mechanisme?
• Kunnen jullie reconstrueren welke gebruiker welke handeling heeft verricht, op welk moment en in welk systeem?
• Hoe zijn onboarding, functiewijziging en off-boarding ingericht, en welke controles vinden daarop plaats?
• Wie is eigenaar van proces, systeem, risicoafweging en uitzondering?
• Hoe borgt de organisatie veilig gedrag, meldcultuur en escalatievermogen?

Deze vragen zijn strategisch relevant omdat zij allemaal hetzelfde testen: niet of een organisatie theoretisch beveiligd is, maar of zij haar beveiliging bestuurlijk en operationeel kan uitleggen. Dat is het echte verschil tussen een technische security-aanpak en een volwassen organisatieaanpak.

7. Waar het in de praktijk misgaat

7.1 Logging zonder context

Logging is essentieel, maar logging zonder context biedt een vals gevoel van zekerheid. In veel organisaties bestaat logdata wel, maar ontbreekt de samenhang tussen applicatie, API, platform en identity. Dan ontstaan fragmenten van waarheid in plaats van één bestuurbaar feitenbeeld.

Een bruikbare logstrategie begint daarom niet bij ‘meer loggen’, maar bij drie ontwerpvragen: welke beslissingen of handelingen moeten wij later kunnen reconstrueren, welke bronnen zijn daarvoor nodig, en wie is verantwoordelijk voor kwaliteit, correlatie, retentie en interpretatie?

7.2 Off-boarding als zwakke schakel

Off-boarding wordt nog te vaak gezien als HR-nasleep in plaats van als securitymoment. Dat is riskant. De zwakke plek zit zelden alleen in het primaire account, maar juist in lokale applicaties, groepslidmaatschappen, tokens, beheerdersrollen, API-sleutels, mobiele toegang en uitzonderingsrechten.

Organisaties die off-boarding volwassen aanpakken, maken van vertrek geen losse checklist aan het einde van een proces, maar een gecontroleerde keten met trigger, uitvoering, verificatie en aantoonbare afsluiting.

7.3 Versnipperde verantwoordelijkheid

In veel organisaties is expertise aanwezig, maar ontbreekt end-to-end eigenaarschap. IT beheert systemen. Legal stelt eisen. Operations beheert processen. HR verwerkt personeelswijzigingen. Security bewaakt kaders. Maar wie is verantwoordelijk voor de aantoonbare werking van het geheel?

Precies in die tussenruimte ontstaan de vragen waarop audits, incidenten en klantonderzoeken vastlopen: wie besloot dat een uitzondering acceptabel was, wie controleerde of een account daadwerkelijk was afgesloten en wie bewaakt de relatie tussen contractafspraken, logging, bewaartermijnen en toegang?

7.4 Awareness als eenmalige actie

Bewustwording is nodig, maar een jaarlijkse training maakt een organisatie nog niet weerbaar. Medewerkers moeten niet alleen risico’s herkennen, maar ook weten wat zij in twijfelgevallen moeten doen. Awareness werkt pas echt wanneer die onderdeel wordt van procesontwerp: duidelijke verificatiestappen, herkenbare communicatie, eenvoudige meldroutes, beperkte bevoegdheden en consequent leiderschap.

8. Het legal perspectief: van compliance naar accountability

Vanuit legal perspectief is de belangrijkste verschuiving dat compliant zijn op papier niet meer volstaat. Organisaties moeten kunnen laten zien waarom hun inrichting passend is, hoe maatregelen zijn gekozen, hoe uitzonderingen worden beheerst en hoe de feitelijke werking aansluit op wat in beleid, contracten en procedures staat beschreven.

Dat maakt accountability tot een praktisch organisatieprincipe. Het gaat niet alleen over privacydocumentatie, maar direct over architectuur, toegangsbeheer, logging, bewaartermijnen, incidentregistratie, leverancierssturing en besluitvorming. De juridische risico’s van zwakke aantoonbaarheid zijn breder dan boetes alleen. Ze raken ook reputatie, contractuele verhoudingen, bewijspositie en bestuurlijke geloofwaardigheid.

Juist daarom verschuift de focus van ‘compliant zijn’ naar ‘aantoonbaar compliant zijn’. Organisaties moeten niet alleen veilig zijn, maar kunnen uitleggen en bewijzen dat hun maatregelen passend, actueel en bestuurbaar zijn.

9. Het praktijkperspectief: hoe security er echt uitziet in systemen, processen en ketens

In theorie klinkt security overzichtelijk. In de praktijk is zij gelaagd. Een gebruikersactie raakt zelden één systeem. Een medewerker logt in via een identity provider, gebruikt een klantcontactapplicatie, raadpleegt data via een API en laat sporen achter in monitoring, ticketing en beheeromgevingen. Als die bronnen niet logisch samenkomen, ontstaat een reconstructieprobleem.

Hetzelfde geldt voor toegangsbeheer. De hoofdidentiteit zit misschien centraal, maar rechten leven ook in groepen, applicatierollen, lokale uitzonderingen, leveranciersaccounts, service-identiteiten en noodtoegangen. Daardoor is ‘we hebben SSO’ geen bewijs van grip; het is hooguit een onderdeel ervan.

Procesmatig is de werkelijkheid al even weerbarstig. Een rolwijziging in HR betekent niet automatisch dat rechten in alle ketens zijn aangepast. Een leverancier kan beheer uitvoeren terwijl de opdrachtgever juridisch verantwoordelijk blijft. Een tijdelijke uitzondering kan structureel worden. Een project kan om snelheid vragen waardoor governance als sluitpost wordt behandeld. Thought leadership begint daarom niet met het ontkennen van trade-offs, maar met het bestuurbaar maken ervan.

10. Analyse: risico’s, knelpunten en misverstanden

Het grootste misverstand in de markt is dat security vooral faalt door te weinig techniek. Veel vaker faalt security door gebrekkige samenhang. Logging wordt verward met bewijs. Compliance wordt verward met documentatie. Awareness wordt verward met borging. Governance wordt verward met het aanwijzen van één verantwoordelijke functie zonder mandaat over het geheel.

Een tweede misverstand is dat bestaande systemen vanzelfsprekend buiten scope vallen omdat zij legacy zijn. In werkelijkheid vergroten legacy-omgevingen vaak juist de spanning tussen snelheid, risico en aantoonbaarheid. Oude systemen vragen niet om gedogen, maar om een expliciete bestuurlijke afweging: mitigeren, isoleren, vervangen of uitfaseren.

Een derde misverstand is dat security ownership in de praktijk volledig bij IT kan worden neergelegd. Wetgeving, klantvragen en toezichthouderseisen laten zien dat dit niet houdbaar is. Cyberweerbaarheid raakt bestuur, compliance, operations, procurement en leveranciersmanagement evenzeer.

11. Analyse: kansen, strategische opties en organisatiewaarde

De positieve keerzijde is dat dezelfde ontwikkeling ook kansen biedt. Organisaties die security aantoonbaar kunnen maken, versterken niet alleen hun weerbaarheid, maar ook hun marktpositie. Klanten, partners en auditors ervaren aantoonbare beheersing als teken van volwassenheid en betrouwbaarheid.

Daarnaast kan een volwassen security-aanpak operationele wendbaarheid vergroten. Wanneer identity lifecycle, logging, uitzonderingsbeheer en governance goed zijn ingericht, kunnen wijzigingen sneller en veiliger plaatsvinden. Security wordt dan geen rem op innovatie, maar een voorwaarde voor gecontroleerde versnelling.

Ten slotte stijgt de kwaliteit van besluitvorming. Wie zicht heeft op toegang, ketens, kritieke processen en afhankelijkheden van derde partijen, maakt betere keuzes over sourcing, platformselectie, retentie, monitoring, contractering en crisisrespons. Dat is precies waarom moderne regelgeving zoveel nadruk legt op weerbaarheid en bestuurlijke grip.

12. Praktische toepassingen en use cases

Use case 1 – klantcontactplatform onder due diligence

Een organisatie gebruikt meerdere systemen voor klantcontact, CRM en kennisbeheer. Na een marktincident stelt een grote klant aanvullende vragen. Niet naar firewalls of certificaten, maar naar toegang, logging, leveranciersrollen, verwerkersafspraken en off-boarding.

De organisatie met een volwassen model kan binnen korte tijd laten zien welke rollen bestaan, hoe toegang wordt verleend, welke beheerdershandelingen worden gelogd, welke uitzonderingen bestaan, hoe lang logdata beschikbaar blijft en welke governance geldt bij rolwijzigingen of vertrek. De organisatie zonder samenhang blijft steken in losse exports, beleidsdocumenten en aannames.

Use case 2 – medewerker vertrekt met brede operationele toegang

Bij onverwacht vertrek is een volwassen organisatie niet alleen bezig met het uitschakelen van het primaire account, maar met de volledige identity lifecycle: SSO, lokale applicaties, beheerdersrollen, groepslidmaatschappen, tokens, gedeelde credentials, mobiele toegang en fysieke toegang. Het verschil zit in procesdiscipline, automatisering en verificatie.

Use case 3 – incidentanalyse zonder bestuurlijke verwarring

Wanneer verdachte toegang tot gevoelige data wordt ontdekt, maakt gelaagde logging in combinatie met duidelijke teamrollen het mogelijk om snel vast te stellen welke accounts betrokken waren, welke systemen geraakt zijn, welke meldroutes geactiveerd moeten worden en welke communicatie feitelijk verantwoord is. Zonder die voorbereiding ontstaat precies het omgekeerde: technische teams onderzoeken, legal wacht op zekerheid, operations wil door en management wil antwoorden zonder gedeeld feitenbeeld.

13. Pegamento-visie: wat organisaties nu moeten begrijpen en doen

De visie van Pegamento is dat organisaties security opnieuw moeten definiëren. Niet als verzameling tools, maar als bestuurbare samenhang tussen identiteiten, rechten, processen, logging, besluitvorming en ketenverantwoordelijkheid.

• Verschuif van perimeterdenken naar identiteitsdenken. Wie toegang beheerst, beheerst risico – mits uitzonderingen en lifecycleprocessen in scope zijn.
• Verschuif van logging als techniek naar logging als bewijs. Log alleen wat later ook te duiden, te correleren en te gebruiken is.
• Verschuif van compliance op papier naar accountability in de praktijk. Documentatie is alleen geloofwaardig wanneer zij overeenkomt met feitelijk systeemgedrag en procesuitvoering.
• Verschuif van awareness als campagne naar awareness als ontwerpprincipe. Bouw verificatie, meldcultuur en veilige defaults in processen in.
• Verschuif van impliciete samenwerking naar expliciet eigenaarschap. IT, Legal en Operations moeten samenwerken, maar wel met duidelijk mandaat en bestuurlijke verankering.
• Verschuif van projectmatige verbeteringen naar structurele governance. Weerbaarheid is geen tijdelijk programma, maar een blijvende bestuursopgave.

Voor organisaties die nu willen handelen, is de belangrijkste praktische vraag niet welke tool als eerste moet worden aangeschaft, maar welk bewijs morgen nodig is om richting klant, auditor, toezichthouder of bestuur uit te leggen hoe de organisatie controle houdt.

14. Conclusie

De les ‘na Odido’ is niet dat organisaties vooral meer losse securitymaatregelen nodig hebben. De echte les is dat moderne security valt of staat met controleerbare samenhang.

Organisaties lopen vast wanneer IT systemen beveiligt, Legal kaders opstelt en Operations processen uitvoert, maar niemand integraal verantwoordelijk is voor aantoonbare werking. Dan ontstaan de bekende hiaten: logging zonder bruikbaarheid, rechten zonder lifecycle, awareness zonder gedrag, beleid zonder bewijs en governance zonder eigenaarschap.

15. Bronnen en feitelijke onderbouwing

Incidentcontext en actualiteit

Odido – Informatiepagina cyberincident (2026). Gebruikt voor feitelijke informatie over het cyberincident, de verwijzing naar een klantcontactsysteem en de publieke duiding dat de operationele dienstverlening niet was geraakt.

Odido Newsroom – Odido informeert klanten over cyberaanval (12 februari 2026). Gebruikt als primaire bron voor de eerste publieke duiding van het incident.

Privacy, accountability en aantoonbaarheid

Europese Commissie – Data protection explained. Gebruikt voor de AVG-beginselen, waaronder integriteit, vertrouwelijkheid en accountability.

European Data Protection Board – Accountability Tools. Gebruikt voor de uitleg dat organisaties passende technische en organisatorische maatregelen moeten nemen en moeten kunnen aantonen dat verwerking compliant is.

European Data Protection Board – Data protection by design & by default: When to act and what to do (februari 2026). Gebruikt voor de continue plicht tot passende maatregelen en de aandacht voor bestaande of verouderde systemen.

Cyberregelgeving, governance en bestuur

Europese Commissie – NIS2 Directive: securing network and information systems (20 januari 2026). Gebruikt voor scope, governance en managementverantwoordelijkheid.

Digitale Overheid – Cyberbeveiligingswet (5 maart 2026) en Tweede Kamer stemt in met Cbw en Wwke (15 april 2026). Gebruikt voor de Nederlandse status en verwachte invoering van de Cyberbeveiligingswet.

De Nederlandsche Bank – DORA. Gebruikt voor toepassingsdatum, inhoud en toezichtsdimensie van DORA.

Logging, incidentrespons en operationele beheersing

NCSC – De waarde van loginformatie. Gebruikt voor de noodzaak van loginformatie om gebeurtenissen en gebruikersacties te reconstrueren.

NCSC – Incidentresponsplan, Incidentrespons: waar begin ik? en Houd grip op een cyberincident: gebruik het Cyber Incident Logboek. Gebruikt voor teamrollen, voorbereiding en gestructureerde incidentvastlegging.

NIST – SP 800-92 Guide to Computer Security Log Management. Gebruikt als gezaghebbende bron voor logmanagement als enterprise-brede discipline.

Identity, awareness en operationele discipline

idmanagement.gov – Identity Lifecycle Management Playbook. Gebruikt voor provisioning, wijzigingsbeheer en directe intrekking van toegang bij vertrek.

NIST – SP 800-53 Revision 5.1, AC-2 Account Management. Gebruikt voor accountbeheer in relatie tot personeelsbeëindiging, inactiviteit en auditing.

NCSC – Security awareness en verwante phishing/social-engineeringpagina’s. Gebruikt voor de menselijke factor, meldgedrag en borging van cyberbewustzijn.

Impact en bedrijfsvoering

IBM / Ponemon Institute – Cost of a Data Breach Report 2024 en IBM-samenvatting. Gebruikt voor de gemiddelde wereldwijde schade van een datalek en de gemelde operationele verstoring.

16. Aannames, beperkingen en aandachtspunten

De inhoud van dit whitepaper is tijdsgevoelig waar het gaat om de status van het Odido-incident, de publieke informatie daarover en de voortgang van eventueel vervolgonderzoek. Nieuwe feiten of technische bevindingen kunnen de duiding veranderen.

Ook de status van de Nederlandse Cyberbeveiligingswet is tijdsgevoelig. Per 20 april 2026 was de wet nog niet in werking. Definitieve verplichtingen, nadere uitwerking en invoeringsdata kunnen wijzigen door parlementaire behandeling en lagere regelgeving.

Een deel van de conclusies in dit whitepaper hangt af van context, sector en architectuur. Organisaties in de financiële sector hebben al met DORA te maken; andere organisaties zullen sterker worden beoordeeld op AVG, contractuele eisen, NIS2/Cyberbeveiligingswet of sectorspecifieke normen.

Tot slot is dit document een strategisch en redactioneel whitepaper, geen individueel juridisch advies of technische security-audit. Waar sectorspecifieke interpretatie of concrete compliance-toetsing nodig is, blijft nadere beoordeling per organisatie noodzakelijk.