• CorporatieGids
• Nieuws

De medewerker schuldig? Of begint cybersecurity met risicogestuurd werken?

Geplaatst door CorporatieMedia op Tuesday 2 December 2025

Je hoort het vaak: “De eindgebruiker is de zwakste schakel in informatiebeveiliging.” Maar is dat wel een eerlijk oordeel? Vaak ligt de kern van het probleem niet bij eindgebruikers, maar bij de afwezigheid van helder beleid, bij systemen die zonder kritische vragen zijn ingericht of bij onvoldoende toezicht op toegangsrechten. Veiligheid is geen kwestie van ‘iemand die fouten maakt’, maar van wat je als organisatie structureel vooraf regelt om de impact van een ongewenste handeling te beperken. En dáár gaat het vaak mis.

Recent voorgevallen in Nederland
Bij de Nationale Politie¹ werd in september 2024 de werkgerelateerde contactlijst (namen, e-mailadressen, telefoonnummers) van medewerkers buitgemaakt door hackersgroep Laundry Bear. Ook bij Clinical Diagnostics², een extern laboratorium, zijn gegevens van ruim 485.000 deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker gelekt. Later bleek het aantal betrokkenen op te lopen tot zo’n 850.000 personen. Daarnaast zijn de Citrix-systemen³ van vitale Nederlandse organisaties gehackt, waardoor organisaties al sinds mei 2025 kwetsbaar zijn.

Deze drie voorbeelden laten zien dat een ongeluk in een klein hoekje zit, maar vooral ook dat elke organisatie moet nadenken over hoe zij de impact van een cyberaanval zo klein mogelijk kan houden. Het diepere probleem zit niet bij de eindgebruiker, maar in systeemontwerp, toegangscontrole en duidelijke verantwoordelijkheden. Hoe je dergelijke risico’s kunt beperken? Lees vooral verder.

Het gaat niet over de schuldvraag, maar over structuur
Voor veel bedrijven is informatiebeveiliging een lastig onderwerp. Je hoort termen zoals ‘risicogestuurd werken’ of ‘cyberweerbaar zijn’, maar die blijven vaak in de lucht hangen zonder concrete invulling. Terwijl juist dát het verschil maakt tussen beleid dat op papier staat en beleid dat echt werkt.

Risicogestuurd werken: vijf praktische stappen
Wat kun je doen om cyberincidenten te voorkomen en ervoor te zorgen dat de impact van een incident beperkt blijft? Deze vijf stappen helpen je op weg:

Stap 1: breng de risico’s in kaart – kijk wat je hebt en wat je kunt verliezen
Wat gebeurt er als persoonlijke gegevens van klanten of bedrijfsinformatie openbaar worden? Welke systemen zijn kwetsbaar? Hoe zijn rollen en rechten ingedeeld? En op wie binnen de organisatie zouden cybercriminelen het gemunt kunnen hebben? Begin met een grondige inventarisatie van assets, processen en afhankelijkheden. Zonder overzicht is elk plan een gok.

Stap 2: prioriteer op basis van impact en waarschijnlijkheid
Niet elk risico weegt even zwaar. Welk scenario doet er echt toe: reputatieschade, wettelijke boetes, verlies van vertrouwen, stilstand in productie of dienstverlening? En hoe waarschijnlijk is het dat het gebeurt? Prioriteer dus op basis waarvan je vermoedt dat deze informatie van waarde is voor een cybercrimineel óf voor jezelf.

Stap 3: kies maatregelen die passen bij de risico’s
De maatregelen die je neemt moeten aansluiten bij je organisatie en de risico’s die daar spelen. Daarbij gaat het niet (alleen) over het afvinken van lijstjes, maar vooral om te kijken naar technische, organisatorische en menselijke aspecten:

• Technisch: houd systemen up-to-date, implementeer een goede ICT-basishygiëne en zorg voor goede back-up.
• Organisatorisch: bepaal wie wat mag en mag inzien, leg procedures vast voor goedkeuring van gevoelige acties en vergeet niet om periodieke audits uit te voeren.
• Menselijk: zorg dat medewerkers begrijpen waarom beleid bestaat, welk beleid binnen jullie organisatie geldt en wat hun eigen rol daarin is. Training werkt pas als mensen de context kennen, de voordelen van hun eigen veiligheid inzien en de juiste cultuur aanwezig is.

Stap 4: monitor en leer voortdurend
Cyberdreigingen veranderen dagelijks en aanvallen worden steeds geavanceerder. Stilstand is dus geen optie. Beleid werkt alleen als het leeft: door simulaties, audits en incidentanalyses ontdek je of maatregelen effectief zijn of dat er ergens nog risico’s ontstaan. Zo blijft informatiebeveiliging een continu leerproces, in plaats van een jaarlijkse checklist.

Stap 5: zorg voor duidelijke verantwoordelijkheden en governance
Wie houdt toezicht? Wie rapporteert aan het bestuur? En wie is écht eigenaar van risico’s? Wanneer verantwoordelijkheden helder zijn belegd, werken teams met meer focus, vertrouwen en voorspelbaarheid aan informatiebeveiliging. Duidelijke governance brengt rust, overzicht en eigenaarschap.

Onze conclusie: zie de medewerker als laatste verdedigingslinie
Draai het eens om. Dat is in feite onze boodschap. Als alle lagen op orde zijn, beleid, techniek en organisatiecultuur, dan ontstaat een situatie waarin medewerkers niet verantwoordelijk worden gehouden voor elke misstap, maar wél een actieve schakel zijn in de beveiligingsketen. Het zijn medewerkers die op tijd signaleren, vragen stellen en voor hén bekende procedures volgen.

Samen werken aan weerbaarheid
Bij OneXillium begeleiden we organisaties in die route: samen brengen we risico’s in kaart met een stappenplan op maat, maken we beleid praktisch, zorgen we dat technologie meewerkt en dat medewerkers weten wat ze kunnen doen. Echte veiligheid begint met inzicht, structuur en samenwerking.

Bron: OneXillium, Foto: OneXillium