De menselijke factor in informatiebeveiliging: waarom awareness alleen niet genoeg is

    - / 27 January 2026

    Informatiebeveiliging is vaak een technische aangelegenheid: patchmanagement, firewalls, logging, MFA, allemaal noodzakelijk. Maar de realiteit is dat de meeste incidenten uiteindelijk terug te leiden zijn naar één zwakke schakel: menselijk gedrag. Niet omdat medewerkers ‘dom’ of ‘onverschillig’ zijn, maar omdat gedrag onder druk, in routine en binnen context tot stand komt. De bekende Portugese neuroloog António Damásio, bekend van zijn baanbrekende onderzoek naar de relatie tussen emotie, bewustzijn en besluitvorming, vatte dit mooi samen: “We are not thinking machines that feel, but feeling machines that think.” Met andere woorden: gedrag is niet puur rationeel. Het wordt gestuurd door emoties, gewoontes, sociale normen en context.

    Als je de menselijke factor in informatiebeveiliging echt wilt aanpakken, is alleen awareness (bewustwording) onvoldoende. Een awareness training kan kennis vergroten, maar gedragsverandering vraagt om een bredere, systemische aanpak. Om tot deze systematische aanpak te komen, kun je gebruikmaken van vijf gedragslenzen. Dit praktische gedragsmodel helpt je menselijk gedrag beter te begrijpen en effectief te beïnvloeden.

    In de komende security blogs sta ik, samen met mijn collega’s Hediye Kamalizade en Kim Keenswijk, stil bij de menselijke factor binnen informatiebeveiliging. Deze blog vormt het eerste deel van een driedelige serie, waarin we laten zien waarom informatiebeveiliging in de praktijk zelden faalt door technologie, maar des te vaker door menselijk gedrag. Ook het spanningsveld tussen beleid en praktijk komt aan bod. We laten zien hoe gedrag tot stand komt, waarom awareness of beleid alleen onvoldoende is en hoe organisaties met gerichte gedragsinterventies daadwerkelijk grip krijgen op informatieveilig gedrag.

    Gedrag is logisch (als je de context begrijpt)

    We beoordelen gedrag in informatiebeveiliging vaak op de uitkomst. Iemand klikte op een phishinglink, iemand gebruikte hetzelfde wachtwoord of iemand meldde het incident niet. Achter deze uitkomsten zitten lagen, zoals motivatie, gewoonten, emoties, sociale druk en omgeving. Gedrag is zichtbaar, maar ontstaat vanuit interne drijfveren en externe factoren. Gedrag is dus altijd logisch, als je de context van het gedrag begrijpt.

    Daarom mislukt gedragsverandering vaak als we het benaderen als een “informatieprobleem”. Kennis is hier zelden het knelpunt. De belangrijkste voorwaarden om gedragsverandering te kunnen bewerkstelligen zijn:

    1. Mensen moeten het willen

    2. De omgeving moet het mogelijk maken

    3. De context moet het gedrag ondersteunen

    Precies daarom zijn kleine interventies, zoals nudges (een subtiele sturing, zonder dwang), herinneringen, feedback en sociale normen, soms nog effectiever dan nog een awareness e-learning.

    Van “menselijke zwakte” naar “menselijk ontwerp”

    Mensen zijn geen onvoorspelbare risicofactoren: hun gedrag is grotendeels verklaarbaar en beïnvloedbaar. De vraag is daarom niet of mensen fouten maken, maar hoe de organisatie is ingericht op dat menselijk gedrag. Door de menselijke factor te benaderen als een ontwerpopgave, verschuift de focus. In plaats van medewerkers te corrigeren, ga je kijken naar de omgeving waarin zij werken. Welke keuzes worden gefaciliteerd? Welke routines worden beloond? Waar wordt veilig gedrag onnodig ingewikkeld gemaakt?

    Het gebruik van gedragslenzen kan bijdragen om die omgeving systematisch te analyseren. Ze maken inzichtelijk hoe gewoontes, kennis, awareness, motivatie en herhaling samenkomen in dagelijks werkgedrag. Daarmee vormen ze een brug tussen beleid en praktijk en tussen technische maatregelen en menselijk handelen.

    Van awareness naar gedragsontwerp: de 5 gedragslenzen

    De vraag is natuurlijk: hoe kan je menselijk gedrag ontwerpen? Tijdens een grootschalig project over het ontstaan en in stand houden van de problemen op het gebied van gezondheid en energie en milieu, is er op de Hogeschool Utrecht een praktisch, theoretisch gedragsmodel ontwikkeld: het Persuasive by Design model. Het model vertaalt wetenschappelijke gedragsprincipes naar vijf praktische, niet-overlappende invalshoeken om gedrag te analyseren en te beïnvloeden. Deze lenzen zijn bijzonder toepasbaar in informatiebeveiliging, omdat informatieveilig gedrag vaak een mix is van automatisme, kennis, motivatie en context. Hieronder worden de lenzen omgezet naar concrete informatiebeveiligingstoepassingen.

    Lens 1: Gewoontes en impulsen

    “Klikken gebeurt vaak op de automatische piloot.”

    Veel beveiligingsgedrag is routine. Mensen reageren reflexmatig op notificaties, pop-ups en e-mails. Dat is vergelijkbaar met de bekende Stroop-test: ons brein kiest automatisch de “snelle route” en dat kost moeite om te doorbreken. Hoe vaker iemand in dezelfde situatie dezelfde handeling uitvoert, hoe groter de kans dat die handeling een gewoonte wordt. Dat geldt ook voor impulsen: snelle, vaak emotioneel gedreven reacties die optreden vóórdat iemand bewust nadenkt. Het probleem is vaak dat informatiebeveiligingsincidenten zich vaak richten op bewuste keuzes, terwijl dit type gedrag juist onbewust plaatsvindt.

    Veel informatiebeveiligingsincidenten ontstaan in precies dit automatische domein:

    • Even “snel” een link openen;

    • Uit gewoonte een wachtwoord hergebruiken;

    • Een document delen zonder na te denken;

    • Dat melden doen we later wel.

    Hoe doorbreek je dit?

    • Herken vaste triggers (bijv. “factuurmail + haast”)

    • Doorbreek routines (bijv. extra stap bij externe afzenders)

    • Geef een alternatief (bied een “report phishing” knop aan)

    • Nudges en reminders

    • Herhalen en belonen

    Kort gezegd: zorg dat veilig gedrag makkelijker en automatischer wordt dan onveilig gedrag.

    Lens 2: Weten en vinden

    “Weten wat je moet doen is niet hetzelfde als het ook doen.”

    Deze lens draait om kennis, overtuigingen en misverstanden. Vaak is er sprake van een mix van feiten en aannames die het gedrag beïnvloeden. Mensen kunnen best weten dat phishing gevaarlijk is, maar snappen niet waarom een bepaald gedrag relevant is, of weerstand ervaren.

    Veilig gedrag wordt vaak belemmerd doordat mensen:

    • Niet begrijpen waarom iets belangrijk is (“wat maakt dit uit?”);

    • Verkeerde aannames hebben (“dit overkomt ons toch niet”);

    • Weerstand voelen (“het kost mij alleen maar tijd”).

    Hier speelt awareness een rol. Zonder inzicht in waarom en hoe, is verandering lastig. Hoe kan je dit doorbreken:

    • Zorg dat het aansluit op de doelgroep (taalgebruik, voorbeelden, functie)

    • Communiceer voordelen en gevolgen concreet (verhoog de betrokkenheid)

    • Maak misverstanden expliciet

    • Gebruik educatie als startpunt en niet als eindpunt

    Het “weten-willen-kunnen”-model wordt hier feitelijk benoemd. Mensen willen eerst begrijpen (weten) voordat ze bereid zijn te veranderen (willen) en in staat zijn om te handelen (kunnen).

    Lens 3: Zien en beseffen

    “Mensen overschatten zichzelf, tot je het zichtbaar maakt.”

    Een grote valkuil in informatiebeveiliging is de optimism bias: medewerkers denken dat zij minder vatbaar zijn voor fouten dan anderen. Vaak merken mensen hun gedrag nauwelijks op omdat het vanzelfsprekend is. Volgens deze lens doorbreek je dat door feedback te geven op basis van meetbare data, zodat mensen hun eigen gedrag gaan herkennen.

    Veel organisaties investeren in awareness, maar vergeten de feedback hierop. Daardoor blijft informatiebeveiliging iets abstracts: iets dat van IT of Compliance is. Wanneer je gedrag zichtbaar maakt, wordt het persoonlijker en ontstaat urgentie.

    Hoe doorbreek je dit?

    • Feedbacksystemen (apps, dagboeken, directe terugkoppeling)

    • Zorgen voor zichtbaarheid van patronen/triggers

    • Ruimte maken voor reflectie

    Het kan dus helpen om teams of afdelingen te laten zien hoe vaak phishing wordt gemeld vs. geopend. Geef persoonlijke feedback na simulaties of creëer incentives voor de teams of afdelingen op het gebied van informatiebeveiliging.

    Lens 4: Willen en kunnen

    “Motivatie en vaardigheden moeten kloppen.”

    Deze lens focust op de combinatie van motivatie en vaardigheden die nodig zijn om gewenst gedrag uit te voeren. Motivatie kan intrinsiek of extrinsiek zijn. Intrinsieke motivatie is vaak duurzamer, maar zonder voldoende motivatie blijft gedragsverandering uit.

    Zelfs als mensen gemotiveerd zijn, kunnen ze het gedrag nog steeds niet uitvoeren. Denk aan medewerkers die wel willen melden, maar niet weten hoe. Of onzekere medewerkers die angstig worden van de meldprocedure. Daarom is het belangrijk om te onderzoeken waarom gewenst gedrag niet wordt nageleefd: dan zie je waar vaardigheden of omstandigheden tekortschieten.

    Beleid faalt vaak doordat organisaties aannemen dat medewerkers “niet willen”, terwijl het probleem vaak is dat ze:

    • Niet weten hoe iets moet (vaardigheid);

    • Het proces te complex is (omgeving);

    • Bang zijn voor schuld (psychologische drempel);

    • Geen tijd of tools hebben om veilig te handelen.

    Wat werkt?

    • Barrières in kaart brengen

    • Vaardigheden trainen

    • Veiligheid creëren (psychologische drempels verlagen)

    • Omgeving laten ondersteunen in plaats van frustreren

    Als het melden van een incident ingewikkeld is, of medewerkers niet weten wat “verdacht” is, dan is motivatie niet genoeg. Je moet vaardigheden trainen en de drempels voor hun wegnemen.

    Lens 5: Doen en blijven doen

    “Intentie zonder herhaling is lucht.”

    Gedragsverandering is pas duurzaam als het ingebed raakt in dagelijkse routines en omgeving. Dat vraagt herhaling, oefenen, en ondersteuning vanuit collega’s en leidinggevenden. Het is geen eenmalige interactie maar een routine. Als de dagelijkse omgeving het oude gedrag blijft belonen, vallen mensen terug. Gedragsverandering is geen lineair proces en vraagt herhaling, feedback en tijd.

    Wat werkt?

    • Regelmatige oefening (in micro-interventies)

    • Sociale steun en normering (“zo doen wij dit hier”)

    • Plan voor terugval

    • Successen vieren

    Werk bijvoorbeeld met security rolmodellen (voorbeeldfuncties), maak informatiebeveiliging een vast agendapunt in team overleggen en ontwerp processen zo dat veilig werken geen extra inspanning kost.

    Informatieveilig gedrag is zelden een ‘motivatieprobleem’

    Wanneer beveiligingsmaatregelen niet worden nageleefd, is de eerste reflex vaak: “medewerkers zijn zich niet bewust genoeg” of “ze nemen security niet serieus”. In de praktijk blijkt informatieveilig gedrag echter zelden een puur motivatieprobleem. De meeste medewerkers willen hun werk goed doen en begrijpen het belang van informatiebeveiliging.

    Wat vaak ontbreekt, is niet de wil, maar de juiste context. Gedrag wordt beïnvloed door werkdruk, routines, onduidelijke processen, sociale normen en de inrichting van systemen. Als veilig gedrag meer tijd kost, extra stappen vereist of onzekerheid oproept, is het logisch dat mensen terugvallen op bekende patronen. Niet uit onwil, maar omdat ons brein kiest voor de route met de minste weerstand.

    Door informatieveilig gedrag uitsluitend te benaderen als een awareness- of motivatievraagstuk, blijven organisaties investeren in oplossingen die slechts beperkt effect hebben. Gedragsverandering vraagt om een bredere benadering: inzicht in waar het gedrag vastloopt en waardoor dat gebeurt. De gedragslenzen bieden precies dat perspectief. Je moet kijken door meerdere lenzen en interventies ontwerpen die passen bij de leefwereld van medewerkers.

    Wat kun je vandaag al doen?

    Gedragsverandering hoeft geen groots of complex traject te zijn. Sterker nog: kleine, goed gekozen interventies zijn vaak effectiever dan omvangrijke programma’s. Een goede eerste stap is om binnen je organisatie één concreet securitygedrag te selecteren dat in de praktijk regelmatig misgaat.

    Analyseer dit gedrag met behulp van de gedragslenzen en bepaal per lens één verbeteractie. Dat kan variëren van het vereenvoudigen van een meldproces tot het zichtbaar maken van feedback of het doorbreken van bestaande routines. Belangrijk is om het effect te monitoren en interventies waar nodig bij te stellen.

    Door structureel te werken met de gedragslenzen ontstaat stap voor stap een realistischer en effectiever informatiebeveiligingsbeleid. Niet door meer regels of trainingen, maar door informatieveilig gedrag logisch, haalbaar en vanzelfsprekender te maken in het dagelijks werk.

    Concreet kan dit zijn:

    1. Analyseer één risicogedrag met de vijf lenzen

    - Bijvoorbeeld: waarom worden incidenten niet gemeld?

    2. Kies één kleine interventie per lens

    - Een nudge, een feedbackmoment, een vereenvoudiging van het proces.

    3. Meet, herhaal en normaliseer

    - Gedragsverandering is geen eenmalig project; het is een constant verbeterproces.

    In het volgende deel van deze blogserie bouwt Hediye Kamalizade voort op de menselijke factor binnen informatiebeveiliging. Zij gaat in op de vraag waarom alleen regels en beleid niet het gewenste effect hebben en wat dat betekent voor de manier waarop organisaties invloed op medewerkers uitoefenen. Een verdiepend perspectief om informatieveilig gedrag in de praktijk toe te kunnen passen en effectiever te beïnvloeden.

    Wil je meer lezen over security? Bekijk dan onze security compliance blogs.

    Security blogs
    Terug naar overzicht

    Laurens Rüpp

    Compliance Consultant
    Lees meer
    CTA - Security compliance

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security compliance
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram