Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Human error

Concepten

Menselijke fout. Menselijke fouten zijn een veelvoorkomende (deel)oorzaak van cybersecurity-incidenten. Er bestaan veel verschillende soorten menselijke fouten. Denk bijvoorbeeld aan nalatigheid, iets niet of verkeerd begrijpen, iets vergeten te doen, of een verkeerde handeling uitvoeren.

Human error, of menselijke fout, verwijst naar onbedoelde handelingen of nalatigheden van mensen die leiden tot beveiligingsincidenten, datalekken of systeemverstoringen. Volgens het Verizon Data Breach Investigations Report is de menselijke factor betrokken bij 74 procent van alle datalekken. Dit maakt human error tot de grootste risicofactor in cybersecurity, groter dan technische kwetsbaarheden of geavanceerde aanvalstechnieken. Voor organisaties die hun beveiligingsniveau willen verhogen, is het aanpakken van menselijke fouten daarom minstens zo belangrijk als het implementeren van technische maatregelen.

Waarom is human error belangrijk?

De impact van menselijke fouten op cybersecurity is enorm en meetbaar. De Autoriteit Persoonsgegevens registreerde in 2024 ruim 7.900 meldingen van verkeerd verstuurde brieven en meer dan 3.300 meldingen van verkeerd verstuurde e-mails. Samen vormen deze fouten bijna een derde van alle datalekkmeldingen in Nederland. De gemiddelde kosten van een datalek als gevolg van menselijk handelen liggen rond de 4,5 miljoen dollar per incident.

Human error is zo impactvol omdat het de hele beveiligingsketen kan ondermijnen. Je kunt investeren in een geschikte firewalls, geavanceerde endpoint protection en strikte toegangscontroles, maar een medewerker die op een phishing-link klikt, een wachtwoord deelt of een vertrouwelijk document naar de verkeerde ontvanger stuurt, omzeilt al deze maatregelen in een fractie van een seconde.

Het probleem verergert doordat veel organisaties human error behandelen als een onvermijdelijk gegeven in plaats van als een beheersbaar risico. De houding van "mensen maken nu eenmaal fouten" leidt tot acceptatie van vermijdbare incidenten. Moderne inzichten in gedragswetenschap en security awareness tonen aan dat je de frequentie en impact van menselijke fouten significant kunt reduceren met de juiste aanpak.

Hoe pas je human error aan?

Het aanpakken van human error begint met het begrijpen van de verschillende typen fouten. Skill-based errors zijn vergissingen bij routinehandelingen, zoals het versturen van een e-mail naar de verkeerde persoon. Decision-based errors ontstaan wanneer iemand een bewuste maar verkeerde keuze maakt, bijvoorbeeld het uitstellen van een software-update. Knowledge-based errors treden op wanneer iemand niet over de kennis beschikt om een situatie correct te beoordelen, zoals het niet herkennen van een social engineering-aanval.

Security awareness training is de eerste verdedigingslinie, maar de effectiviteit hangt sterk af van de aanpak. Jaarlijkse compliance-trainingen die uit droge PowerPoint-presentaties bestaan, veranderen gedrag nauwelijks. Effectieve training is continu, interactief en contextrelevant. Phishing-simulaties die medewerkers in realistische scenario's plaatsen, gamification-elementen die betrokkenheid verhogen en micro-learning modules die in korte sessies specifieke onderwerpen behandelen, zijn bewezen effectiever.

Technische maatregelen kunnen human error compenseren zonder de gebruikerservaring te verslechteren. Data loss prevention (DLP) tools detecteren en blokkeren het onbedoeld versturen van gevoelige gegevens. E-mailsystemen die een bevestigingsstap vragen bij externe ontvangers reduceren het risico op verkeerd geadresseerde e-mails. Automatische classificatie van documenten voorkomt dat medewerkers vertrouwelijke bestanden per ongeluk op publieke locaties opslaan.

Multi-factor authenticatie is een krachtige compenserende maatregel voor wachtwoordgerelateerde fouten. Als een medewerker een zwak wachtwoord kiest of credentials deelt, biedt de tweede factor nog steeds bescherming tegen ongeautoriseerde toegang. Passwordless authenticatie gaat nog een stap verder door het wachtwoord volledig te elimineren als foutbron.

Het opzetten van een security culture is een langetermijninvestering die verder gaat dan trainingen alleen. Leiderschap speelt een cruciale rol: wanneer het management cybersecurity serieus neemt en zelf het goede voorbeeld geeft, volgen medewerkers. Maak het melden van fouten en bijna-incidenten laagdrempelig zonder negatieve consequenties. Organisaties met een open meldcultuur detecteren incidenten sneller en leren effectiever van fouten. Beloon medewerkers die verdachte e-mails rapporteren en maak security onderdeel van de dagelijkse werkroutine in plaats van een losstaand compliance-onderwerp dat eens per jaar aan bod komt.

Human error in de praktijk

Een middelgroot logistiek bedrijf met 250 medewerkers ervaart maandelijks meerdere beveiligingsincidenten die te herleiden zijn tot menselijke fouten. Een medewerker van de financiele afdeling stuurt een salarisoverzicht naar een externe partner in plaats van naar de interne HR-manager. Een IT-beheerder vergeet een testserver uit te schakelen die met standaardcredentials bereikbaar is vanaf het internet. Een magazijnmedewerker vindt een USB-stick op de parkeerplaats en plugt deze in een werkstation.

Het bedrijf besluit een gestructureerd programma op te zetten om human error terug te dringen. De eerste stap is een nulmeting via een organisatiebrede phishing-simulatie, die uitwijst dat 23 procent van de medewerkers op de gesimuleerde phishing-link klikt. Vervolgens wordt een maandelijks awareness-programma gestart met korte, interactieve modules over verschillende onderwerpen: phishing-herkenning, veilig e-mailen, wachtwoordhygiene en fysieke beveiliging.

Parallel worden technische compenserende maatregelen geimplementeerd. Een DLP-oplossing scant uitgaande e-mails op gevoelige gegevens zoals BSN-nummers en financiele data. USB-poorten op werkstations worden uitgeschakeld tenzij specifiek geautoriseerd. De IT-afdeling implementeert een vulnerability management-proces dat vergeten testomgevingen automatisch detecteert en rapporteert.

Na zes maanden toont een herhaalde phishing-simulatie dat het percentage medewerkers dat klikt is gedaald naar 8 procent. Het aantal datalekken door verkeerd verstuurde e-mails is met 70 procent afgenomen dankzij de DLP-oplossing en de bevestigingsprompt bij externe ontvangers. Dit illustreert dat human error weliswaar nooit volledig te elimineren is, maar met de juiste combinatie van bewustwording en technologie drastisch kan worden gereduceerd.

Veelgestelde vragen over human error

Welk percentage datalekken wordt veroorzaakt door menselijke fouten?

Volgens het Verizon Data Breach Investigations Report is de menselijke factor betrokken bij 74 procent van alle datalekken. Dit omvat zowel onopzettelijke fouten als het slachtoffer worden van social engineering-aanvallen. In Nederland specifiek zijn verkeerd verstuurde berichten de meest voorkomende oorzaak van datalekkmeldingen bij de Autoriteit Persoonsgegevens.

Helpt security awareness training echt tegen human error?

Ja, mits de training continu, interactief en praktijkgericht is. Organisaties die regelmatig phishing-simulaties uitvoeren, zien het percentage medewerkers dat op phishing klikt gemiddeld dalen van 20-30 procent naar onder de 5 procent. Eenmalige, jaarlijkse trainingen hebben weinig langetermijneffect. Consistent herhalen en varieren in methoden is de sleutel.

Is het de schuld van de medewerker bij een human error?

Moderne security-benaderingen hanteren een just culture-principe: de focus ligt op het systeem, niet op de schuldvraag. Als een medewerker een fout maakt, onderzoek je welke systeemfactoren de fout mogelijk maakten. Was de procedure onduidelijk? Ontbraken technische waarborgen? Een cultuur van blame leidt ertoe dat medewerkers fouten verzwijgen, waardoor de schade groter wordt.

Welke technische maatregelen compenseren human error het beste?

Multi-factor authenticatie, data loss prevention, e-mail security gateways en automatische patchinstallatie zijn de meest effectieve compenserende maatregelen. Deze technologieen vangen de meest voorkomende menselijke fouten op: zwakke wachtwoorden, verkeerd verstuurde gegevens, klikken op phishing-links en het uitstellen van updates.

Hoe meet je human error in je organisatie?

Meet human error door phishing-simulaties uit te voeren en het klikpercentage bij te houden, datalekkmeldingen te categoriseren op oorzaak, incident-rapportages te analyseren op menselijke factoren en security awareness-assessments af te nemen. Stel een baseline vast en meet periodiek om trends en verbeteringen zichtbaar te maken.

Meer weten over het reduceren van menselijke fouten? Bekijk Security Awareness en Training op IBgidsNL.