Ga direct naar de inhoud

Reputatieschade: de best verborgen gevolgschade van cybercrime

In een datacenter kijken twee mensen op hun laptop. Op de achtergrond staan grote serverracks.
· 9 minuten lezen

Steeds vaker zijn mkb-bedrijven slachtoffer van cyberincidenten. De directe schade zoals het niet meer verder kunnen werken door versleutelde bestanden, verlies van klantgegevens of platleggen van de infrastructuur is meestal zeer ingrijpend. Maar de gevolgschades blijken een bedrijf het meest te ontwrichten. De meest onderschatte gevolgschade is de reputatieschade. In dit artikel vertelt Marc van Vliet - cybersecurityexpert bij Perfect Day - hoe je door goed voorbereid te zijn de impact van reputatieschade kunt verkleinen.

Wat is gevolgschade?

Gevolgschade is de schade die ontstaat na een cyberincident. Het wordt daarom gezien als indirecte schade. Denk hierbij aan bijvoorbeeld:

  • Juridische gevolgen: aansprakelijkheid en boetes bij een datalek.
  • Productieverlies: doordat het systeem eruit ligt kunnen orders niet uitgeleverd worden en staan machines vaak stil.
  • Financiële schade: gemiste omzet, herstelkosten, doorbetalen van personeel en claims van klanten.
  • Reputatieschade: afnemers en potentiële klanten verliezen het vertrouwen in je bedrijf.

 

Reputatieschade in praktijk

Hoewel je reputatieschade moeilijk objectief kunt meten en deze niet direct zichtbaar is, kan de impact groot en langdurig zijn. Als een (potentiële) afnemer zich niet zeker voelt bij jouw bedrijf, wordt de volgende keer voor een concurrent gekozen. Daarnaast kunnen leveranciers terughoudend worden of aanvullende voorwaarden gaan stellen. Medewerkers voelen zich minder veilig bij een bedrijf dat hun persoonsgegevens lekt. Enkele veel voorkomende gevolgen van reputatieschade zijn:

Verlies van klanten en omzet

  • Minder herhaalbestellingen
  • Omzetverlies
  • Minder groei door mond-op-mondreclame

Kosten voor herstel van de reputatie

  • PR-specialisten / marketing inhuren
  • Marketingcampagnes voor herstel van de reputatie
  • Aanpassen van de processen, dienstverlening en systemen om te bewijzen dat je maatregelen genomen hebt

Moeilijker onderhandelingspositie

  • Andere (strengere) eisen van leveranciers, verzekeraars, enzovoort.
  • Andere eisen vanuit klanten
  • Korting geven om toch maar omzet te behalen

Verlies van toekomstige groei

  • Minder kredietmogelijkheden (door minder vertrouwen investeerders)
  • Meer moeite met het vinden van samenwerkingspartners
  • Moeilijker om een nieuwe markt te betreden

Personeel

  • Grotere kans op meer verloop van personeel
  • Minder aantrekkelijk voor nieuw personeel
  • Verlies van productiviteit door minder vertrouwen of motivatie

De exacte gevolgen van reputatieschade zijn per bedrijf verschillend. Dit ligt onder andere aan de klantrelatie, zichtbaarheid in de markt en concurrentiepositie.  Voor een bedrijf met een hechte klantrelatie en grote lokale of regionale zichtbaarheid kan beschadiging van de reputatie fataal zijn. Grote bedrijven hebben vaak een PR- of communicatieafdeling om de gevolgen enigszins te managen. Bij mkb’ers gaat dat meestal niet op. 

"Je doet er jaren over om een goede naam op te bouwen, maar blijkbaar is één klik genoeg om deze weer kwijt te raken."

Voorbeelden van reputatieschade

Recente voorbeelden uit de praktijk tonen aan dat élk bedrijf gevoelig is voor reputatieschade door een cyberincident. 

Casus 1: bouwbedrijf

Zo kreeg in april een middelgroot bouwbedrijf te maken met een cyberaanval die startte met een phishingmail bij de financiële administratie. De criminelen kregen toegang tot alle projectinformatie, personeelsgegevens én offertes die nog niet naar buiten mochten worden gebracht. Ook werd een deel van de bouwtekeningen ontoegankelijk doordat een deel van de gegevens op de server werd versleuteld. 

Het bedrijf kon binnen een paar dagen alweer verder werken. Helaas kreeg een lokale krant wind van het cyberincident. In hun artikel werd gesuggereerd dat het bedrijf de beveiliging niet op orde had. Met alle gevolgen van dien:

  • een gemeente sloot het bouwbedrijf uit van een aanbesteding wegens ‘veiligheidszorgen rondom gegevensbescherming’
  • leveranciers gingen veel hogere aanbetalingen eisen
  • vaste partners vroegen om aanvullende zekerheden, zoals een verzekering tegen cyberincidenten
  • medewerkers waren bezorgd over hun gegevens en salaris
  • het werk liep vertraging op met boetes als gevolg.

Casus 2: webshop met sportartikelen

In januari werd een bedrijf in sportartikelen geraakt. Naast een fysieke winkel heeft dit bedrijf een webshop; deze werd binnengedrongen via een beveiligingslek in het CMS (een programma om een eenvoudige manier websites te maken en beheren). Het beveiligingslek was al een tijd bekend, maar het bedrijf had de update om het lek te dichten nog niet uitgevoerd. 

Tijdens de aanval werden duizenden klant- en bestelgegevens en zelfs enkele creditcardgegevens buitgemaakt. Het incident werd pas na een paar dagen ontdekt, en pas na ruim een week publiekelijk gecommuniceerd. De reden dat er zo laat werd gecommuniceerd was de angst voor paniek onder klanten. 

Maar dat pakte niet goed uit: een paar uur nadat de mail eruit was gegaan stonden social media en reviewsites vol met negatieve recensies en opmerkingen. De klachten gingen niet alleen om het onzorgvuldig omgaan met gegevens, maar vooral om de slechte communicatie. De online verkoop daalde binnen een paar weken na het incident met 60%. Uit angst voor reputatieschade stopte een lokale sportschool met de samenwerking. En natuurlijk sprong de media er bovenop met koppen als ‘Klantgegevens op straat’. Er loopt momenteel nog een onderzoek van de Autoriteit Persoonsgegevens naar de afhandeling en het niet tijdig melden van het lek.

 

Beperken van gevolgschade

Vooropgesteld: je kunt een cyberincident niet altijd voorkomen. Je kunt wél veel doen om de schade en gevolgen te beperken. Zorg dat je maatregelen hebt getroffen vóórdat het te laat is.

1. Zorg dat je bent voorbereid

Neem het hele bedrijf mee in het verhogen van de cyberweerbaarheid. Dit gaat veel verder dan alleen zorgen voor technische maatregelen.

  • Laat je adviseren over de risico’s die je loopt en tref maatregelen
  • Zorg dat de basisbeveiliging zoals virusscanner, wachtwoordgebruik, 2FA en updaten van apparaten en applicaties op orde is
  • Inventariseer wat je ‘kroonjuwelen’ zijn, denk aan klantgegevens, intellectueel eigendom en financiële informatie
  • Inventariseer wat je Single Points Of Failure (SPOF’s) zijn: dit zijn onderdelen van het bedrijf die kunnen leiden tot het stilvallen van een groter deel van de organisatie, zoals de elektriciteitsvoorziening, een router, een switch of een medewerker die als enige bepaalde kennis over een product heeft
  • Weet waar je data staat
  • Weet wat de afspraken met externe partijen zoals IT, de accountant, webdeveloper en Cloudaanbieders zijn
  • Train je personeel; zorg voor een basiskennis op het gebied van cyberveiligheid en voer regelmatig een phishingtest uit om bewustzijn te creëren en hen scherp te houden

2. Zorg voor een noodprocedure 

Een goed plan zorgt dat iedereen snel kan handelen bij een incident. Dit wordt ook wel een Business Continuity Plan of incident response plan genoemd. Stel jezelf vragen, zoals:

  • Hoe zorg je dat iedereen een incident herkent? 
  • Weet iedereen waar ze een incident moeten melden?
  • Wie doet wat bij een incident?
  • Welke externen kun je inschakelen, en zijn met hen duidelijke afspraken over verantwoordelijkheid vastgelegd? (IT-partij, jurist, verzekeraar)
  • Is er een communicatieplan: hoe informeer je afnemers, leveranciers, ketenpartners, media ende Autoriteit Persoonsgegevens?
  • Wie houdt de regie zodat er zo min mogelijk speculaties de ronde gaan doen?

3. Communiceer snel, helder en eerlijk

Het is essentieel om transparant te zijn. Je hebt misschien de neiging om een incident te verzwijgen of te ontkennen, maar dit werkt altijd averechts. Door snel en duidelijk te communiceren, kun je ervoor zorgen dat het vertrouwen minder wordt beschadigd. Je laat namelijk zien dat je serieus met de situatie bezig bent en dat je probeert de zaak op te lossen. Ook verminder je zo de onzekerheid van klanten en personeel over de gevolgen die het cyberincident voor hen heeft.

 

Neem maatregelen

Het risico op cyberincidenten voor het mkb in Nederland is groot, heel groot. Ter vergelijking: De kans op brand is voor bedrijven 1:8.000, de kans op een inbraak is 1:250 en de kans op een cyberaanval is 1:5. Daarnaast blijft de gemiddelde schade per incident stijgen: de kosten bedragen nu gemiddeld meer dan € 270.000 (ESET: rapport Mkb Digital Security Sentiment Report 2022). Recenter onderzoek van Mastercard laat zien dat in Nederland zelfs 28% van de mkb-bedrijven slachtoffer is geweest van cyberaanvallen. Daarnaast is 16% daadwerkelijk geld verloren aan cybercriminaliteit (Bron: banken.nl). Uit het Cybertrends Rapport van ABN AMRO uit mei 2025 blijkt dat 5% van het MKB relatieschade (verlies van klanten of partners) heeft geleden, en 5% melding maakt van negatieve publiciteit door cyberincidenten. Ondanks deze cijfers heeft volgens Accountancy van Morgen maar 30% van de mkb’ers de laatste 5 jaar advies gevraagd aan een specialist.

Met de juiste voorbereiding beperk je altijd de schade. En een goede voorbereiding begint met een pragmatische audit waarbij niet alleen naar techniek wordt gekeken, maar ook naar gedrag, weerbaarheid en inzicht.

Geschreven door

Meer voor

Ook interessant