Before you continue

To give you the best possible experience please select your preference.

Continue
Enreach
Enreach
2008-03-0-artboard-2-20200818.jpg

De Cyberbeveiligingswet is aangenomen. Weet jij waar je gespreksdata staat?

Terug naar overzicht 17.04.2026 | Topic: Advies

De wet spreekt over "netwerk- en informatiesystemen". Dat is breder dan de meeste bedrijven denken.

In het kort

De Tweede Kamer nam op 15 april 2026 de Cyberbeveiligingswet aan. Circa 8.000 Nederlandse organisaties krijgen straks een zorgplicht, meldplicht en registratieplicht, en bestuurders kunnen persoonlijk aansprakelijk worden gesteld. Bij compliance denken ondernemers aan firewalls en wachtwoorden. Maar voicemails, gespreksopnames en AI-transcripties vallen er net zo goed onder.

De Tweede Kamer nam de Cbw op 15 april aan. Het is de Nederlandse uitwerking van de Europese NIS2-richtlijn, die de huidige Wet beveiliging netwerk- en informatiesystemen vervangt. De Eerste Kamer behandelt de procedure op 21 april. Inwerkingtreding volgt daarna in het tweede kwartaal van 2026.

Voor de meeste bestuurders leest dat als een technische aankondiging. Dat is het echter niet. Het is een bestuursvraag, en straks ook een aansprakelijkheidsvraag.

Wie onder de wet valt, en waarom het onoverzichtelijk is

Onder de nieuwe wet telt het NCSC straks circa 8.000 organisaties onder toezicht. Dat is daarmee een veelvoud van het huidige aantal. De wet raakt 18 sectoren, van energie en zorg tot digitale aanbieders, transport en chemie. Heb je meer dan 50 medewerkers of meer dan 10 miljoen euro omzet? Of lever je aan een organisatie die onder de wet valt? Dan is de kans groot dat jij er ook onder valt.

Wie daar niet zeker van is, staat niet alleen. Organisaties moeten zichzelf toetsen. Geen brief, geen aanwijzing. Gewoon eigen verantwoordelijkheid, vanaf de eerste dag.

De gevolgen zijn daarbij concreet. Zorgplicht, meldplicht, registratieplicht. En voor bestuurders persoonlijke aansprakelijkheid als die plichten niet worden ingevuld.

Waarom telefonie en AI-tools ineens meetellen

De wet spreekt over "netwerk- en informatiesystemen". Dat klinkt als IT, maar is het niet. Elk systeem dat bedrijfsgegevens verwerkt, valt eronder. Een voicemail-inbox met klantgegevens. Een AI-tool die vergaderingen samenvat. Ook een transcriptiedienst die data naar een Amerikaanse cloud stuurt.

Wij schreven deze week al over Copilot en flex routing. Vanaf vandaag kan Microsoft Copilot data tijdens piekuren buiten de EU verwerken, tenzij je die instelling actief uitzet. Voor een bedrijf dat onder de Cbw valt, is dat geen instelling. Het is een risico dat op papier moet komen in een risicoanalyse.

Hetzelfde geldt voor ChatGPT dat meeleest in vergaderingen, voor Gemini dat klantberichten opstelt, voor elke chatbot die gesprekken ergens logt. De IT-afdeling kent de serverruimte. Maar kent ze ook de tools die de sales-afdeling stilletjes is gaan gebruiken?

Communicatie hoort bij de risicoanalyse

Een gehackte voicemail-inbox is geen kleine schade. Daarin staat vaak de gevoeligste klantinformatie. Medische afspraken, financiële vragen, contractdetails die mensen liever mondeling delen dan op de mail zetten.

Een AI-dienst die transcripties doorsluist naar een derde land, raakt een ander artikel. Die dienst wordt onderdeel van je leveranciersketen, en die keten valt binnen de zorgplicht.

De wet verplicht bedrijven om drie dingen te weten. Waar de data staat, hoe lang die bewaard blijft en wie er toegang toe heeft. Voor mailservers en databases hebben organisaties dat in kaart. Voor communicatie zelden.

Wat Enreach vastlegt, zwart op wit

Enreach is daarentegen een Europees bedrijf met eigen infrastructuur binnen Europa. De persoonlijke assistent Shomi binnen Enreach Contact verwerkt gespreksdata altijd binnen de EU. Opnames blijven 30 dagen bewaard en worden niet gebruikt om AI-modellen te trainen.

Dat zijn geen verkooppunten. Het zijn feiten die een bedrijf kan kopiëren in zijn risicoanalyse. En die een bestuurder straks kan overleggen aan een toezichthouder. Wie liever in Microsoft Teams blijft werken, koppelt Enreach Contact aan de Teams-omgeving zonder de Microsoft-licentie op te zeggen. De telefonie zit dan in een Europese omgeving, ook als de rest van het kantoor dat niet doet.

Beginnen voor de wet begint

De Rijksinspectie Digitale Infrastructuur biedt een NIS2-quickscan aan. Drie vragen geven het eerste beeld. Welke systemen verwerken klantdata? Waar staan die systemen? En wie heeft er toegang?

Laat bij die inventarisatie geen kanaal weg. Niet de telefoon, niet de voicemail, niet de chatbot op de contactpagina. En zeker niet de AI-tool die de verkoopafdeling vorige maand is gaan gebruiken zonder de IT-afdeling te informeren. Het zijn precies die systemen die nu buiten de radar staan, en straks binnen de zorgplicht vallen.

Wil je weten wat dit voor jouw communicatie betekent? Neem contact op met Enreach.

Een firewall beschermt je netwerk. Maar de telefoon is ook een deur.​

Neem contact met ons op
Gerelateerde blog berichten
De CPO van Logius slaat alarm. De vraag die hij stelt, geldt ook voor jouw bedrijf.
De CPO van Logius slaat alarm. De vraag die hij stelt, geldt ook voor jouw bedrijf. Lees verder Lees verder
Microsoft wordt per 1 juli duurder. Wat betaal je dan precies?
Microsoft wordt per 1 juli duurder. Wat betaal je dan precies? Lees verder Lees verder
Microsoft verplaatst jouw Copilot-data buiten de EU. Deadline is donderdag.
Microsoft verplaatst jouw Copilot-data buiten de EU. Deadline is donderdag. Lees verder Lees verder
Bekijk alle blog berichten