Stel je voor: een spaarproduct waar mensen al jaren maandelijks geld op storten. Een hypotheek waarmee ze een huis hebben gekocht. Een beleggingsrekening met de toekomst van hun kinderen. Allemaal afgeschermd achter één inlogpagina. En dan komt de wet- en regelgeving met een terechte eis: twee-staps-verificatie verplicht.
Dat dit niet zomaar een papieren regel is, zie je elke week wel weer in het nieuws. Datalekken, gehackte ketens, miljoenen gegevens die op straat liggen. Niet ergens ver weg, maar bij namen die we allemaal kennen.
Vier datalekken uit ongeveer een half jaar tijd — de noodzaak van extra beveiliging is geen theorie.
Het probleem is dat deze eis in de praktijk vaak op gespannen voet staat met wat de klant fijn vindt. Hoe meer drempels je opwerpt, hoe veiliger het wordt — maar ook hoe groter de kans dat klanten afhaken, fouten maken of je platform de rug toekeren. Voor Centraal Beheer kwam de centrale vraag op tafel: hoe maken we 2FA niet alleen veilig, maar ook prettig?
De spanning
Aan het ene uiteinde van de schaal: gemak. Klanten willen snel inloggen, hun zaken regelen en weer verder met hun dag. Drempels zijn frustrerend, hoe goed bedoeld ook.
Aan het andere uiteinde: veiligheid. Spaargeld, hypotheken, beleggingen — dat zijn geen producten waar je risico op fraude wilt nemen. Multi-factor authenticatie is dus geen "nice to have", maar een must.
De zoektocht: hoe zorg je ervoor dat veiligheid niet aan gemak wordt opgeofferd, maar ook andersom niet? Voor Centraal Beheer kozen we voor inloggen met je bankrekening via iDIN — een methode die mensen al kennen en vertrouwen vanuit hun bank. Geen apart wachtwoord, geen extra app. Op papier: ideaal.
De realiteit was hardnekkiger dan de slide. 31% van de klanten kwam er niet doorheen.
Een duidelijk signaal
De data loog er niet om. Bestaande klanten moesten iDIN eerst activeren in hun persoonlijke omgeving voordat ze er mee konden inloggen. In de praktijk gebeurde wat we hadden moeten verwachten: mensen lezen geen handleidingen. Ze probeerden direct in te loggen, kregen een foutmelding, en gingen op zoek naar een uitweg.
De activatie-pijn in één beeld — 70.000 bezoeken, en slechts een derde komt erdoor.
Drie cijfers waren het kompas:
- De meeste klanten sloegen de activatie over en gingen direct de loginflow in
- 15% probeerde het opnieuw na een fout, in de veronderstelling dat het hun schuld was
- Slechts 33% logde succesvol in
Wat ze precies zagen
Voordat ik bij de oplossingen kom, eerst even de schermen waar het om draaide. Pas als je ziet wat de klant zag, snap je waar het misging.
Links: de inlogpagina zoals klanten die als eerste tegenkwamen. Rechts: de foutpagina als je iDIN nog niet had geactiveerd.
Het onderzoek
We pakten dit niet aan met onderbuikgevoel. Met een combinatie van Contentsquare (visueel inzicht in navigatiepaden), Google Analytics (harde data over tijd op pagina, flow en device) en TheyDo (kwalitatieve UX-research over de hele klantreis) plotten we precies waar mensen vastliepen, en — belangrijker — waarom.
De mobiele flow zoals de gebruiker hem doorloopt — elk scherm een mogelijk afhaakmoment.
De inzichten waren glashelder. Drie disciplines, drie ingrijpingspunten:
1. Navigatie — slimme routing terug naar activatie
Mensen die op de "iDIN niet geactiveerd"-foutpagina belandden, hadden geen duidelijke weg terug naar waar ze wel naartoe moesten. Ze raakten verdwaald in een doodlopende straat.
2. UX/UI — de loginpagina opnieuw ontwerpen
De visuele hiërarchie van de pagina stuurde mensen niet naar de juiste actie. Té veel signalen, te weinig duidelijkheid wat nu belangrijk was.
3. Copy — heldere, actiegerichte teksten
De microcopy benoemde wel wat iDIN was, maar niet waarom je 'm zou willen activeren. Een kans om verwachtingen helder te maken én de drempel te verlagen.
Drie experimenten
In plaats van alles tegelijk te veranderen — en achteraf niet te weten wat het verschil maakte — kozen we voor drie gerichte experimenten. Elk gericht op een ander stuk van de klantreis, elk met een aparte hypothese, elk meetbaar.
Experiment 1: De URL-fix (navigatie)
De eerste interventie was bijna pijnlijk simpel: we pasten de URL aan op de "iDIN niet geactiveerd"-pagina, zodat mensen vanuit die foutsituatie terechtkwamen op de juiste activatieflow. Geen redesign, geen nieuwe pagina — een routering die werkte zoals klanten 'm verwachtten.
Het resultaat was alleen al om die reden bijzonder:
- +55,9% doorstroom naar activatie
- +47,0% succesvolle activaties
Niet via een briljant idee, maar door een fout uit de eerste versie te herstellen die we pas zagen toen we écht naar de data keken. Een 0-1 analyse — niet sexy, wel goud.
Experiment 2: Login-pagina redesign (UX/UI)
Vervolgens een echte A/B/C-test: de oorspronkelijke pagina (control) tegen twee nieuwe varianten met een aangescherpte visuele hiërarchie.
Drie varianten naast elkaar getest. Variant 2 (rechts) bleek de winnaar — meer focus, duidelijker onderscheid tussen activatie en login.
De flow naar de foutpagina daalde met −32,5% ten opzichte van het origineel. Met andere woorden: een derde minder klanten kwam in de foutsituatie terecht. Niet omdat we het probleem oplosten, maar omdat we het voorkwamen.
Experiment 3: Microcopy (tekst)
Ten slotte: een A/B-test op één regel tekst. Eén regel. Helderder geformuleerd, met de duidelijke uitleg waarom iDIN-activatie iets goeds is voor de klant in plaats van iets dat moet.
- +19,0% succesvolle activaties
- −5,8% flow naar de foutpagina
Drie woorden zien er in de productbacklog uit als een no-brainer ticket. Maar het effect was groter dan menige groot redesign. Microcopy mag dan bescheiden zijn — het werkt onevenredig hard.
De cijfers per variant — kleine veranderingen, meetbare verschillen.
Onze grootste winst
Optellen is een truc, maar de volledige winst van deze drie experimenten was groter dan de som der delen. Op de "niet geactiveerd"-pagina — de plek waar klanten oorspronkelijk vastliepen — zagen we een conversiestijging die we vooraf niet voor mogelijk hadden gehouden. Klanten die eerder hun zoektocht opgaven, vonden nu hun weg.
Het percentage klanten dat in de foutsituatie belandt, daalde maand na maand — van 25,3% naar 12,95%.
Belangrijker dan de cijfers: we hadden niets aan de veiligheid hoeven inleveren. Geen versimpelde 2FA. Geen omzeil-route voor "lastige" klanten. De wet werd nog steeds gevolgd, het beleid bleef intact. Alleen de ervaring werd menselijker.
Veiligheid en gemak hoeven geen vijanden te zijn. Maar je moet ze allebei serieus nemen — en bereid zijn om voor elke micro-stap te experimenteren in plaats van te aannemen.
Outside in × Discovery
Wat deze case voor mij persoonlijk zo bijzonder maakt, is de combinatie van methoden. We begonnen outside in — door écht naar het klantgedrag te kijken via Contentsquare, in plaats van naar de PowerPoints van het projectteam. We voegden er discovery aan toe — door bewust ruimte te nemen voor onderzoek en hypotheses, in plaats van direct op een oplossing te springen. Pas toen die twee samenkwamen, kwamen de juiste experimenten boven drijven.
Dat is ook precies waarom we deze case bij de DDMA Experimentation Heroes 2025 hebben ingediend. Niet omdat de uitvoering bijzonder spectaculair was. Maar omdat de aanpak laat zien dat experimentation cultuur meer is dan A/B-tests draaien. Het is een manier van denken waarbij je als organisatie systematisch klantgedrag observeert, hypotheses formuleert, gericht ingrijpt en meet wat werkt.
Wat ik anderen mee zou willen geven
Drie dingen die we hebben geleerd, en die ik graag deel:
- Begin bij de data, niet bij het idee. De grootste winst van dit project zat in een URL-fix die we hadden kunnen missen als we hadden vertrouwd op stakeholderintuïtie.
- Verdeel grote vraagstukken in kleine experimenten. "Maak 2FA gebruiksvriendelijker" is geen project — het is een proces. Drie experimenten met heldere hypotheses leren je honderd keer meer dan één grote release.
- Microcopy is geen detail. Drie woorden veranderen kan een grotere impact hebben dan een redesign. Behandel tekst als ontwerp, niet als finishing touch.
De uitslag van de DDMA Experimentation Heroes komt later dit jaar. Maar voor mij was de échte winst dat we — samen met Michiel en het hele team — hebben laten zien dat compliance-projecten geen klantfrustratie hoeven op te leveren. Ze kunnen juist een springplank zijn voor scherpere ervaringen. Mits je bereid bent kleine, gerichte stappen te zetten en daadwerkelijk te luisteren naar wat de data je vertelt.
Werk je zelf aan een vergelijkbare uitdaging waarbij compliance, veiligheid en klantbeleving op elkaar botsen? Ik denk graag mee — stuur een berichtje.