Waarom je beste medewerker tóch op die verkeerde link klikt

    - / 23 februari 2026

    Het is maandagmiddag, 16:45 uur. De deadline voor een cruciale overname nadert en je mailbox stroomt sneller vol dan je kunt bijhouden. Terwijl je aan de telefoon zit met een veeleisende cliënt, zie je een notificatie binnenkomen: "Laatste wijzigingen in de koopovereenkomst, graag direct akkoord." Zonder er echt bij na te denken, klik je op de bijlage. Je bent een expert, je kent de risico’s van phishing en je hebt alle interne trainingen met een 10 afgerond. Toch wint de hectiek van het moment van je gezonde verstand. Waarom overkomt dit zelfs de allerbesten?

    De kwetsbaarheid van onze biologische hardware

    Mijn collega Laurens Rüpp legde in het vorige blog al een belangrijk fundament: we zijn geen "denkende machines die voelen", maar "voelende machines die denken". Natuurlijk vormt techniek de basis van een goede beveiliging. Met firewalls, sterke versleuteling en Multi-Factor Authentication (MFA) staan de digitale muren bij de meeste organisaties stevig overeind. Toch is techniek geen wondermiddel.

    Een systeem is namelijk zelden bestand tegen de onvoorspelbaarheid van menselijk gedrag. Uit internationaal onderzoek van Verizon¹ blijkt dat de menselijke factor nog steeds een rol speelt bij maar liefst 74% van alle datalekken. Onze biologische ‘hardware' heeft kwetsbaarheden die je simpelweg niet kunt verhelpen met een software-update. Je kunt het menselijk brein namelijk niet 'patchen'. De oplossing ligt daarom zelden in nóg een training, maar in het slimmer ontwerpen van systemen en werkprocessen.

    Zelfs de meest loyale en deskundige medewerker kan onbewust een risico vormen wanneer de werkomgeving niet meewerkt. Want hoe goed de regels ook zijn, op het moment suprême blijken ze vaak niet meer dan een papieren tijger. Dit heeft drie dieperliggende oorzaken die we vaak over het hoofd zien.

    1. De automatische piloot van het brein

    Onderzoek wijst uit dat we maar liefst 95% van ons dagelijks gedrag onbewust en automatisch uitvoeren. Ons brein is een prachtig instrument, maar het gaat extreem zuinig om met energie. Om de enorme stroom aan informatie te verwerken, maakt ons brein gebruik van mentale snelkoppelingen. We reageren reflexmatig op wat we kennen. Een binnenkomende mail van een ‘collega’ zorgt voor een directe actie, nog voordat het bewuste deel van ons brein de kans krijgt om de afzender kritisch te bekijken.

    De cijfers zijn hierin duidelijk. Volgens onderzoek van de Universiteit van Stanford² is 'denkkracht-belasting' een van de grootste voorspellers van fouten op de werkvloer. Wanneer we te veel tegelijk doen of onder hoge druk staan, zakt ons vermogen om risico's te zien weg. In die staat is onze automatische piloot de baas. We klikken niet omdat we de regels niet kennen, maar omdat ons brein de snelle route verkiest om energie te besparen.

    Denk bijvoorbeeld aan de beruchte kerstpakket-phishing. Tijdens de feestdagen zijn we met ons hoofd vaak niet helemaal bij het werk. We zijn druk met afronden, privé-verplichtingen en vakantieplannen. Op die momenten glippen mails over 'een verrassing van de zaak' of een 'te claimen Bol.com cadeaukaart' er gemakkelijk doorheen. Nederlandse organisaties zoals de Universiteit Maastricht en diverse gemeenten zijn in het verleden slachtoffer geworden van dergelijke acties op momenten dat de waakzaamheid lager was.

    De routine van 'even snel iets regelen' is op dat moment sterker dan de abstracte waarschuwing uit de security-training. We trainen mensen op bewuste keuzes, terwijl de fouten worden gemaakt wanneer we op de automatische piloot staan. Effectieve informatiebeveiliging begint dus niet bij strengere regels, maar bij het begrijpen hoe mensen onder druk daadwerkelijk beslissingen nemen.

    2. De kloof tussen beleid en praktijk

    "Wees alert op verdachte signalen." Het is een prachtig statement voor in een jaarverslag, maar op een drukke werkvloer is het nietszeggende ruis. Securitybeleid faalt wanneer regels niet werkbaar zijn binnen de dagelijkse praktijk. Bij ons geloven we in praktisch advies; regels moeten niet alleen kloppen, ze moeten vooral werkbaar zijn.

    Wanneer we regels als een 'moetje' van bovenaf opleggen, zonder dat de medewerker begrijpt hoe dit zijn of haar specifieke werk raakt, ontstaat er wrijving. De medewerker voelt zich dan niet geholpen, maar juist gehinderd door de beveiligingsmaatregelen. Mensen willen begrijpen waarom iets nodig is. Stel dat een jurist een beveiligde omgeving moet gebruiken die traag is of niet werkt op een mobiel. Onder druk van een cliënt zal die jurist de bijlage dan toch via de gewone mail sturen. Dat is geen opzet of sabotage; het is een professional die probeert zijn werk goed en snel te doen. Op dat moment wordt de regel een vijand van de productiviteit.

    Wij geloven in werkbaar beleid dat we opstellen met oog voor gebruiksvriendelijkheid. Zo zorgen we dat informatiebeveiliging geen onnodige belasting vormt, maar een logisch onderdeel wordt van de dagelijkse werkzaamheden. Daarom ontwerpen wij beleid niet alleen (juridisch) correct, maar testen we het ook in de praktijk. Als een veilige werkwijze niet de makkelijkste route is, is het geen duurzaam beleid.

    3. Werkdruk als ondermijner van veiligheid

    De allergrootste vijand van een veilige organisatie is een te hoge werkdruk. Wanneer we worden overspoeld met informatie, verliezen we het vermogen om goede afwegingen te maken. Onze mentale batterij loopt gedurende de dag langzaam leeg, waardoor er simpelweg geen ruimte meer is om risico's goed in te schatten. In een cultuur waar snelheid en resultaat de hoogste norm zijn, glipt de focus op veiligheid er onbewust bij in. Daarom is het cruciaal dat een bedrijfscultuur actief bijdraagt aan een omgeving waarin medewerkers de tijd en rust krijgen voor bewuste, weloverwogen keuzes.

    Informatiebeveiliging is pas echt effectief wanneer het een gedeelde verantwoordelijkheid is van de hele organisatie. Als we van medewerkers volledige focus op de inhoud vragen, maar de omgeving inrichten met constante afleiding en hoge druk, dan vragen we eigenlijk het onmogelijke. Je kunt pas scherp blijven als de context die scherpte ook toelaat.

    Een organisatie is daarom nooit 'klaar' met een firewall of een training; echte veiligheid ontstaat wanneer iedereen zijn steentje bijdraagt aan een vangnet dat fouten opvangt. Door de menselijke maat centraal te stellen en samen te werken aan een ondersteunende omgeving, bouwen we aan een praktijk die echt weerbaar is tegen de uitdagingen van alledag. Reflectie: durf je echt in de spiegel te kijken?

    Ik begrijp dat je als werkgever vertrouwt op de expertise en inzet van je team. Maar kennis alleen is nooit de volledige oplossing. Om echt weerbaar te worden, moeten we de focus verschuiven van de medewerker naar de context van de organisatie. Stel jezelf en je team de volgende kritische vragen:

    • Maakt ons proces het de medewerker makkelijk om veilig te werken? Hoe kunnen we de veilige route de makkelijkste maken? Als de onveilige route drie stappen korter is, zullen mensen die route uiteindelijk nemen.

    • Durven medewerkers bij ons aan de bel te trekken als de werkdruk hun zorgvuldigheid in gevaar brengt? Of heerst er een taboe op het aangeven van grenzen?

    • Zijn onze security-regels geschreven in de taal van de jurist, de consultant en de secretaresse? Of zijn het vinkjes die vooral bedoeld zijn voor de auditor?

    • Hoe reageren we als er bijna iets misgaat? Zoeken we direct een 'schuldige' om te corrigeren, of onderzoeken we welke factoren in de omgeving, zoals tijdsdruk of onduidelijke processen, de fout hebben uitgelokt?

    Informatiebeveiliging is een reis, geen bestemming

    Informatiebeveiliging is geen project met een begin en een eind. Het is geen jaarlijkse training die je afvinkt om vervolgens weer over te gaan tot de orde van de dag. Het is een proces dat constante aandacht vraagt voor de menselijke maat. Door te accepteren dat fouten menselijk zijn, en vaak zelfs logisch binnen de context waarin we werken, kun je beginnen met het ontwerpen van een omgeving die fouten opvangt in plaats van ze alleen maar af te straffen.

    Duurzame veiligheid ontstaat wanneer je mens, proces en techniek als één samenhangend systeem benadert. In het volgende blog zal mijn collega Kim Keenswijk daarom dieper ingaan op de cruciale rol van de organisatiecultuur. Want hoe zorg je ervoor dat een veilige cultuur echt verankerd zit in het DNA van je kantoor, zelfs als 'het leven' even heel hard om de hoek komt kijken?

    Heb je nog vragen over dit onderwerp? Neem gerust contact met ons op!

    Neem contact op

    ¹ Verizon Data Breach Investigations Report (DBIR) 2023.

    ² Stanford University, "Human Error in Information Security," 2020.
    Terug naar overzicht

    Hediye Kamalizade

    Information Security Consultant
    Lees meer
    CTA - Security compliance

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security compliance
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram