Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Cyberschaamte

Concepten

Cyberwoord van 2022. Het lijkt logisch dat je een incident meteen meldt en hulp zoekt, maar dat blijkt in de praktijk vaak niet het geval. Vaak schamen mensen zich voor hun fout en dan maakt het niet uit of ze werken in de boardroom of in de kantine, of het politici zijn of ambtenaren. Iedereen kan slachtoffer worden van een cybersecurity incident. Daarover hoef je je dus niet te schamen! Niet omdat je niet oplette, bang bent voor imagoschade of gewoonweg de kennis niet had.

Cyberschaamte is het gevoel van schaamte, schuld of onzekerheid dat ontstaat na een digitale fout, zoals het klikken op een phishing-link, het delen van een wachtwoord met een onbevoegde of het veroorzaken van een datalek. Het begrip werd in 2022 uitgeroepen tot Cyberwoord van het Jaar en raakt aan een fundamenteel probleem in cybersecurity: medewerkers die fouten verzwijgen uit angst voor consequenties, waardoor incidenten niet of te laat worden gemeld en de schade onnodig oploopt. Volgens het NCSC vormt cyberschaamte een serieuze bedreiging voor de digitale weerbaarheid van Nederlandse organisaties.

Het probleem gaat verder dan individueel ongemak of een vervelend gevoel na een fout. Wanneer een medewerker een verdachte e-mail opent maar dit niet meldt uit schaamte, krijgt het incident de kans om zich te verspreiden door het netwerk. Een ransomware-infectie die binnen minuten wordt gemeld, kan vaak worden ingedamd tot het getroffen werkstation. Dezelfde infectie die uren of dagen verborgen blijft omdat de medewerker zich schaamt of bang is voor consequenties, kan een heel netwerk versleutelen en de bedrijfsvoering volledig stilleggen. Cyberschaamte vertraagt dus de incidentrespons en vergroot de schade exponentieel, precies het tegenovergestelde van wat een effectief beveiligingsbeleid beoogt te bereiken.

Waarom is cyberschaamte belangrijk?

Cyberschaamte is belangrijk omdat het een direct en meetbaar effect heeft op de cyberweerbaarheid van je organisatie. In een cultuur waar fouten worden bestraft, bekritiseerd of belachelijk gemaakt, leren medewerkers om incidenten te verbergen in plaats van te melden. Dit creert blinde vlekken in je beveiligingsmonitoring: je SOC kan alleen reageren op incidenten die worden gemeld of automatisch gedetecteerd, en menselijke meldingen zijn vaak de snelste en meest betrouwbare signalen bij gerichte aanvallen zoals spearphishing die geautomatiseerde detectie kunnen omzeilen.

Het probleem is wijdverbreid en treft organisaties van elke omvang en sector. Onderzoek toont aan dat een significant deel van de medewerkers wel eens een beveiligingsincident heeft verzwegen uit schaamte of angst voor repercussies. Dit geldt niet alleen voor minder technisch onderlegde medewerkers. Ook IT-professionals en security-specialisten ervaren cyberschaamte, bijvoorbeeld wanneer ze een misconfiguratie maken, een belangrijke alert over het hoofd zien of per ongeluk gevoelige data blootstellen. De angst om als onbekwaam te worden beschouwd of professioneel afgerekend te worden is universeel en niet gebonden aan functieniveau, afdeling of technische kennis.

De impact reikt verder dan individuele incidenten. Organisaties waar cyberschaamte heerst, missen waardevolle informatie over hun dreigingslandschap. Elke gemelde fout is een datapunt dat helpt om patronen te herkennen, trainingen te verbeteren en beveiligingsmaatregelen aan te scherpen. Wanneer deze datapunten uitblijven door een cultuur van stilzwijgen en angst, opereert de organisatie met een onvolledig en vertekend beeld van haar werkelijke beveiligingssituatie.

Hoe pas je kennis over cyberschaamte toe?

De belangrijkste stap is het creeren van een 'blame-free' of 'just culture' rondom cybersecurity-incidenten in je hele organisatie. Dit betekent dat je formeel vastlegt in beleid en procedures dat medewerkers niet worden bestraft voor het eerlijk melden van beveiligingsfouten. De focus verschuift van 'wie heeft dit gedaan?' naar 'hoe voorkomen we dit in de toekomst?' en 'wat kunnen we hiervan leren als organisatie?'. Leidinggevenden spelen hierin een cruciale rol door zelf het goede voorbeeld te geven en open te zijn over eigen digitale fouten of bijna-incidenten die ze hebben meegemaakt.

Concrete maatregelen die cyberschaamte verminderen zijn: een laagdrempelig meldpunt voor beveiligingsincidenten dat via meerdere kanalen bereikbaar is, regelmatige security awareness trainingen die normaliseren dat iedereen doelwit is en dat fouten maken menselijk is, positieve bekrachtiging en erkenning wanneer medewerkers incidenten melden ongeacht de ernst, en het intern delen van geanonimiseerde voorbeelden van gemelde incidenten en hoe die succesvol zijn afgehandeld. Sommige organisaties belonen het melden van verdachte situaties actief, ongeacht of het daadwerkelijk een dreiging betrof, om de melddrempel zo laag mogelijk te houden en een positieve feedbackloop te creeren.

Op evenementen zoals Weerbare Digitale Overheid 2026 en conferenties van het NCSC wordt cyberschaamte inmiddels als apart thema behandeld, wat het groeiende bewustzijn van dit probleem in zowel de publieke als private sector onderstreept. Experts op het gebied van cyberschaamte geven organisaties concrete handvatten om een veilige meldcultuur op te bouwen die incidentrespons versnelt.

Cyberschaamte in de praktijk

Stel je voor: een medewerker ontvangt een overtuigende phishing-e-mail die afkomstig lijkt van de directeur met een dringend verzoek om een betaling over te maken of inloggegevens te bevestigen. Onder tijdsdruk klikt hij op de link en voert zijn inloggegevens in op een nagemaakte loginpagina. Pas later realiseert hij zich dat het nep was en dat hij zijn credentials heeft weggegeven. In een organisatie met een blame-cultuur zwijgt hij, hopend dat er niets gebeurt en dat niemand het merkt. Ondertussen gebruikt de aanvaller de gestolen credentials om lateraal door het netwerk te bewegen, toegang te krijgen tot gevoelige klantdata en een grotere aanval voor te bereiden die dagen later pas zichtbaar wordt als het te laat is.

In een organisatie met een open meldcultuur belt dezelfde medewerker direct de IT-helpdesk of het security team, wetende dat hij niet wordt bestraft voor een eerlijke fout. Zijn wachtwoord wordt binnen minuten gereset, zijn actieve sessies worden beeindigd, en het security team onderzoekt of er al misbruik heeft plaatsgevonden of laterale beweging is gedetecteerd in de logs. Het incident wordt ingedamd voordat er significante schade ontstaat en de organisatie kan haar verdediging aanscherpen op basis van de geleerde lessen. Het verschil tussen deze twee scenario's is niet de fout van de medewerker, die is in beide gevallen identiek, maar de organisatiecultuur die bepaalt of fouten worden gemeld of verborgen.

Veelgestelde vragen over cyberschaamte

Hoe herken je cyberschaamte in je organisatie?

Signalen zijn onder meer een verdacht laag aantal gemelde incidenten, wat vaak wijst op onderrapportage in plaats van op een veilige omgeving. Andere signalen zijn medewerkers die pas laat of via omwegen fouten melden, en een werkcultuur waarin grappen worden gemaakt over collega's die in phishing-simulaties trappen.

Is cyberschaamte alleen een probleem bij niet-technische medewerkers?

Nee. Ook IT-professionals en security-specialisten ervaren cyberschaamte, bijvoorbeeld bij misconfiguraties, gemiste alerts of het per ongeluk blootstellen van data. De drempel om fouten toe te geven kan bij technische medewerkers zelfs hoger liggen vanwege de verwachting dat zij het beter zouden moeten weten.

Hoe draagt security awareness training bij aan het verminderen van cyberschaamte?

Effectieve training normaliseert dat iedereen doelwit is van cyberaanvallen en dat fouten maken menselijk is. Door realistische voorbeelden te gebruiken en te benadrukken dat snel melden belangrijker is dan foutloos opereren, verlaag je de drempel om incidenten te rapporteren en creeer je een cultuuromslag.

Moet je cyberschaamte opnemen in je beveiligingsbeleid?

Ja. Leg in je incidentresponsbeleid formeel vast dat medewerkers niet worden bestraft voor het in goed vertrouwen melden van fouten. Communiceer dit actief en regelmatig via interne kanalen en tijdens onboarding. Een formeel beleid geeft medewerkers de zekerheid dat melden veilig is.

Wat is het verschil tussen een blame-free cultuur en het negeren van nalatigheid?

Een blame-free cultuur betekent niet dat alles wordt geaccepteerd zonder consequenties. Bewuste sabotage of herhaaldelijk dezelfde fout maken ondanks training en waarschuwingen kan nog steeds consequenties hebben. Het verschil is dat eerlijke fouten en onbedoelde incidenten niet worden bestraft, terwijl structurele nalatigheid of kwaadwilligheid apart wordt behandeld via het reguliere HR-proces.

Meer weten over bewustwording? Bekijk Awareness training op IBgidsNL.