Van kennis naar gedrag: cybersecurity begint met het begrijpen en ondersteunen van mensen

Geert Vroom 27 nov. 2025 Awareness & Gedrag

Cyberdreigingen worden steeds complexer, maar één ding blijft onveranderd: mensen spelen een cruciale rol in de cyberveiligheid van elke organisatie. Dat betekent niet dat medewerkers de oorzaak zijn van alles wat er misgaat. Als organisatie zijn wij verantwoordelijk voor het creëren van een omgeving waarin medewerkers kunnen handelen zoals we graag zouden willen. Cyberveilig gedrag ontstaat alleen wanneer mensen de tools, processen, heldere richtlijnen, en ondersteuning krijgen die het makkelijk maken om het juiste te doen.

In deze blog vertellen wij waarom het belangrijk is om eerst te bepalen welk gedrag we willen zien, hoe we dat op een positieve en realistische manier kunnen beïnvloeden, en beginnen met het creëren van een organisatie die veilig gedrag mogelijk maakt.

Het draait om gewenst gedrag

Veel cyberincidenten hebben een menselijke component, zoals het klikken op een phishinglink of het gebruik van een zwak wachtwoord. Maar dat betekent niet dat medewerkers ‘het probleem’ zijn.

Menselijk gedrag ontstaat altijd in een context van processen, werklast, systemen, cultuur en duidelijke (of onduidelijke) verwachtingen. Als die context niet ondersteunend is, kunnen we niet verwachten dat medewerkers consistent cyberveilig handelen.

Gedragswetenschappers benadrukken dat weten niet hetzelfde is als doen, en doen lukt alleen wanneer de omgeving veilig gedrag mogelijk maakt. Dat betekent:

  • duidelijke procedures die uitvoerbaar zijn
  • technische maatregelen die veilig gedrag ondersteunen (in plaats van frustreren)
  • communicatie die positief en realistisch is
  • en een cultuur waarin fouten melden normaal en veilig is

Medewerkers zijn niet de zwakke schakel. Ze zijn een essentieel onderdeel van de oplossing, mits we ze goed ondersteunen.

cyberveilig gedrag

Wat kunnen organisaties doen

Stap 1: Definieer het gewenste gedrag

Voordat we trainingen geven of campagnes starten, moeten we scherp hebben: wat willen we dat medewerkers wél doen? En dat moet concreet zijn. Niet “we willen minder incidenten”, maar bijvoorbeeld:

  • “Medewerkers melden verdachte e-mails binnen enkele minuten via kanaal X.”
  • “Leidinggevenden bespreken digitale veiligheid in elk teamoverleg.”
  • “Ontwikkelaars volgen het beleid voor veilige coding bij elke release.”

Verschillende doelgroepen hebben verschillend gedrag nodig en dus verschillende ondersteuning.

Stap 2: Analyseer wat veilig gedrag in de weg staat (zonder naar medewerkers te wijzen)

Gedrag wordt bepaald door een combinatie van individuele en systematische factoren. Training en learning richten zich graag op het individu, maar gaan grotendeels voorbij aan de omgeving. Het is daarom belangrijk om breder te kijken en te zorgen dat je de mens in de omgeving begrijpt.

Belangrijke vragen in deze fase zijn:

  • Is het proces misschien te ingewikkeld?
  • Is het systeem gebruiksvriendelijk genoeg?
  • Hebben medewerkers genoeg tijd en ruimte?
  • Begrijpen ze wat er van hen verwacht wordt?
  • Is de norm binnen het team positief of juist riskant?

Bij geen enkele van deze antwoorden is “de medewerker is de zwakste schakel” een juiste conclusie.

Gedragsproblemen zijn organisatieproblemen.

Stap 3: Ontwerp interventies die mensen helpen succesvol te zijn

Pas wanneer je weet welk gedrag je wilt bevorderen, en wat het belemmert, kun je maatregelen kiezen die werken. Cyberveilig gedrag vraagt om:

  1. Technische ondersteuning
  • automatische updates
  • makkelijke phishingrapportageknoppen (niet in de e-mail)
  • wachtwoordkluizen voor medewerkers
  • veilige standaardinstellingen en autorisatiemethoden
  1. Duidelijke, haalbare procedures
  • beleid dat aansluit op de praktijk
  • toegankelijk taalgebruik
  • workflows die veilig gedrag vanzelfsprekend maken
  1. Kennis en vaardigheden
  • Relevante trainingen voor alle medewerkers
  • scenario-oefeningen
  • toegankelijke uitleg
  1. Positieve cultuur
  • fouten mogen gemaakt worden, zolang ze gemeld worden
  • veilige meldkanalen
  • leiders die het goede voorbeeld geven
  • collega’s die elkaar helpen
Stap 4: Meet, leer en verbeter

Gedragsverandering is geen project met een einddatum. Gedrag verandert door een mix van interventies, niet door het aanbieden van een eenmalige training. Een awareness Jaarplan zorgt ervoor dat cyberveilig werken on top of mind blijft.

  • start met een nulmeting
  • bepaal KPI’s op basis van het gewenste gedrag
  • meet regelmatig
  • stuur bij waar nodig
  • vier verbeteringen

Waarom werkt deze aanpak?

Deze manier van werken haalt de emotie en schuld uit het cyberveiligheidsdomein. Het geeft verantwoordelijkheid terug aan waar die hoort: bij de organisatie, niet bij individuele medewerkers. Het werkt omdat:

  • gewenst gedrag concreet is
  • medewerkers ondersteund worden met techniek, processen en cultuur
  • interventies gebaseerd zijn op gedragsonderzoek
  • metingen laten zien wat echt effect heeft
  • de organisatie verantwoordelijkheid neemt om veilig gedrag mogelijk te maken

Zo ontstaat een omgeving waarin medewerkers niet worden gezien als risico maar als een krachtige, betrouwbare, positieve factor in de cybersecurity van de organisatie.

Angst verkoopt kranten, vertrouwen bouwt cyberveilig gedrag.

Bron

https://www.surf.nl/themas/cybersecurity

Terug naar blogoverzicht Lees meer over awareness & gedrag