Het Nationaal Cyber Security Centrum roept organisaties inmiddels op een digitaal noodpakket aan te leggen. Maar zijn langdurige stroomuitval, oorlog en overstromingen vooralsnog hypothetische risico’s, digitale verstoringen behoren tot de werkelijkheid van alledag: van uitval van de treinenloop dor computerstoring tot datalekken die de halve bevolking treffen.

Die bestuurlijke urgentie van het noodpakket contrasteert opvallend met de woordkeuze die organisaties zelf hanteren wanneer het misgaat. Steevast lezen we over een ‘incident’ of een ‘voorval’. Terminologie die suggereert dat het hier gaat om een ongeluk, met externe oorzaak. Het overkomt de directies, ze zijn niet primair verantwoordelijk.

Taal is nooit neutraal. Woorden kaderen werkelijkheid en sturen interpretatie. Een ‘incident’ is, per definitie, een afwijking. Een tijdelijke verstoring van een verder stabiel systeem. Wie een cyberaanval als incident benoemt, impliceert dat de onderliggende structuur in essentie op orde was.

Afstomping 

Zelfs binnen de wereld van crisiscommunicatie klinkt inmiddels een zekere berusting door. In Quote verwoordde Jordi Bouman het treffend:

“Datalekken zijn grote incidenten, maar gebeuren nu zo vaak dat er bij de nieuwsconsument een soort afstomping is opgetreden.”

Die observatie is ongemakkelijk precies. Niet alleen omdat zij de frequentie bevestigt, maar vooral omdat zij een cultureel effect blootlegt. Wat vaak voorkomt, verliest urgentie. Wat routine wordt, verdwijnt uit het domein van echte verontwaardiging.

Ook hier is de woordkeuze veelzeggend. ‘Datalek’. Een woord dat bijna fysiek klinkt, gegevens die uit een systeem sijpelen. Als een lekke fietsband, pech gehad, geen bestuurlijke tekortkoming. Het is semantische demping: taal die invloed verzacht nog voordat het gesprek over oorzaken begint.

Neem ransomware-aanval op het Veenkoloniaal Museum. Wie door de formuleringen heen leest, ziet geen abstract technisch probleem, maar een concreet menselijk risico. Fysieke en e-mailadressen, telefoonnummers en IBAN-nummers van crediteuren, debiteuren en donateurs kwamen in handen van criminelen. Dat zijn geen datasets. Dat zijn mensen. Leveranciers. Bezoekers. Donateurs. Relaties die hun vertrouwen – en hun gegevens – aan een instelling hebben toevertrouwd.

Ook de ransomware-aanval op RTV Noord werd teruggebracht tot een incident. De omroep beweert geen specifiek doelwit te zijn geweest. De aanval was willekeurig, zo luidt de boodschap. Alsof willekeur de gevolgen verzacht.

Liever Jutta en Xandra

En Odido, waar persoonsgegevens van miljoenen klanten gestolen zijn, hanteert vergelijkbare terminologie. Een cyberincident. Een datalek. Een verstoring veroorzaakt door externe actoren. Op een pagina weggestopt staat de info, want de voorpagina van de website dienen Jutta Leerdam en Xandra Velzeboer nog als schaamlappen, dure marketing gaat voor. “Zo maken we het leuker en makkelijker.”

Wie, zoals ik, klant is, merkt hoe een abstract ‘cyberincident’ zich vertaalt naar een concrete dagelijkse ervaring. Elk telefoontje, elk bericht, elke e-mail krijgt plots een andere lading. Wat voorheen routine was, wordt nu potentieel verdacht. Niet uit overdreven voorzichtigheid, maar het risico reëel is geworden.

In de communicatie richting klanten ontbreekt een expliciete reflectie op het eigen handelen. Geen zichtbare erkenning van tekortschietend management, geen tastbaar gebaar dat verantwoordelijkheid materialiseert. De nadruk ligt vrijwel volledig op het handelen van de klant: wees alert, wees voorzichtig, wees waakzaam.

De impliciete boodschap is helder. De organisatie maakt een fout; de klant beheert de gevolgen. Een aanbod om die lasten te verlichten – bijvoorbeeld in de vorm van aanvullende bescherming of een tijdelijke compensatie – blijft achterwege. Juridisch wellicht verdedigbaar uit de angst voor grote schadeclaims. Maar relationeel fout. Zolang de gebeurtenis semantisch wordt gereduceerd tot een ‘incident’, lijkt ook de verplichting tot herstel beperkt.

In al deze gevallen verschuift de nadruk subtiel maar consequent: van interne weerbaarheid naar externe dreiging, van bestuurlijke keuzes naar criminele energie, van verantwoordelijkheid naar slachtofferschap.

Verschuilen directie achter eufemismen

Cyberaanvallen zijn echter geen natuurrampen. Ze maken gebruik van bekende kwetsbaarheden, voorspelbare patronen en vaak langdurig bestaande tekortkomingen. Onvoldoende segmentatie. Verouderde systemen. Gebrekkige monitoring. Onoplettendheid

Getroffenen ervaren niet louter de aanval zelf, maar vooral de manier waarop organisaties ermee omgaan. Communicatie volgt vaak laat. Details blijven beperkt. De praktische lasten worden impliciet bij betrokkenen neergelegd. Wees alert op phishing. Wijzig uw wachtwoorden. Controleer uw bankrekening. Begrijpelijke adviezen, zonder twijfel. Maar ook een ongewenste verschuiving. De organisatie verliest data; de klant draagt de schade.

Woorden fungeren niet langer uitsluitend als communicatief instrument, maar als weerspiegeling van bestuurlijk bewustzijn. De keuze om structurele verstoringen consequent als incidenten te benoemen, draagt bij aan normalisering. Verstoring wordt routine. Kwetsbaarheid wordt achtergrondruis.

Dat mechanisme is niet triviaal. Perceptie beïnvloedt gedrag, en gedrag stuurt investeringen. Wanneer cyberaanvallen primair als externe gebeurtenissen worden geframed, verschuift de aandacht automatisch naar dreiging in plaats van weerbaarheid. Naar daders in plaats van structuren. Naar communicatie in plaats van governance.

De Nederlandse Cybersecurity Raad is duidelijker: “Bestuurders hebben een algemene wettelijke plicht om hun taak behoorlijk te vervullen. Daaronder valt het borgen dat hun organisatie beschikt over adequaat werkende risicobeheersings- en controlesystemen… Cyberbeveiligingsrisico’s zijn een strategisch risico. Niet kan worden volstaan met het delegeren van de verantwoordelijkheid aan de IT-afdeling of de functionaris voor informatiebeveiliging en het beperken tot het jaarlijks goedkeuren van budgetten.”

Het consequent verzachten van digitale ontwrichting tot ‘incidenten’ is uiteindelijk niet slechts een communicatiestrategie, maar een bestuurlijke keuze. En vertrouwen verdraagt veel – behalve structurele eufemismen.