Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Human risk management

Processen

De evolutie van security awareness & training. HRM omvat ook security awareness en het trainen van medewerkers, maar legt de nadruk op evidence-based handelen, meetbaarheid, en cyberveiligheid in de cultuur.

Human risk management is een datagedreven aanpak om beveiligingsrisico's die voortkomen uit menselijk gedrag te meten, te monitoren en te verminderen. Waar traditionele security awareness-trainingen zich beperken tot kennisoverdracht, gaat human risk management een stap verder door daadwerkelijk gedrag te analyseren en risicoprofielen per medewerker of afdeling op te stellen. Volgens het 2025 Verizon Data Breach Investigations Report is de menselijke factor betrokken bij ongeveer 60% van alle bevestigde datalekken. Dit maakt het beheersen van menselijk risico tot een van de belangrijkste prioriteiten binnen elke cybersecuritystrategie.

Het verschil met klassieke security awareness-training is fundamenteel. Traditionele programma's bieden periodieke e-learnings en phishingtests, maar geven slechts inzicht in ongeveer 12% van het menselijke risico. Human risk management combineert gedragsdata uit meerdere bronnen, zoals e-mailinteractie, browsing-patronen, toegangsverzoeken en reacties op phishingsimulaties, tot een compleet risicoprofiel. Je krijgt daarmee een actueel beeld van waar de kwetsbaarheden binnen je organisatie zitten en kunt gericht ingrijpen.

Hoe werkt human risk management? Stappen

Een human risk management-programma begint met het vaststellen van een risico-baseline. Je meet het huidige gedrag van medewerkers aan de hand van concrete indicatoren: klikgedrag op phishingmails, gebruik van sterke wachtwoorden, naleving van multi-factor authenticatie, omgang met vertrouwelijke documenten en reactietijd bij beveiligingsmeldingen. Deze metingen vormen het startpunt voor gerichte interventies.

Vervolgens segmenteer je de organisatie op basis van risicoprofiel. Afdelingen met toegang tot gevoelige data, zoals finance, HR en IT-beheer, krijgen intensievere aandacht dan afdelingen met een lager risicoprofiel. Per segment stel je specifieke gedragsdoelen op en koppel je daar passende interventies aan. Dit kunnen microlearnings zijn, een-op-een coaching, aanpassing van technische controls of wijzigingen in werkprocessen. Het programma draait continu en past zich aan op basis van nieuwe gedragsdata.

De derde fase is continue monitoring en bijsturing. Je volgt de gedragsindicatoren over tijd en meet of interventies effect hebben. Dashboards tonen realtime risicoscores per afdeling, locatie of functiegroep. Bij afwijkingen, zoals een plotselinge toename in klikgedrag op phishingmails, escaleer je automatisch naar aanvullende training of technische maatregelen. Deze cyclus van meten, interveniëren en bijsturen vormt de kern van effectief human risk management.

Moderne human risk management-platformen maken gebruik van kunstmatige intelligentie om patronen te herkennen die wijzen op verhoogd risico. Denk aan een medewerker die plotseling grote hoeveelheden data downloadt, buiten kantoortijden inlogt vanuit ongebruikelijke locaties of herhaaldelijk probeert toegang te krijgen tot systemen waarvoor geen autorisatie bestaat. Door deze signalen te correleren met andere gedragsdata, ontstaat een genuanceerd beeld van het risicoprofiel dat verder gaat dan alleen phishingtests.

Wanneer voer je human risk management uit?

Human risk management is geen eenmalige activiteit maar een doorlopend programma. Je start idealiter met een nulmeting wanneer je organisatie een security awareness-programma opzet of wilt professionaliseren. Verplichtingen vanuit NIS2 en AVG maken het voor veel organisaties noodzakelijk om aantoonbaar te investeren in het verminderen van menselijke risico's. NIS2 vereist expliciet dat organisaties passende maatregelen nemen op het gebied van bewustwording en training van personeel.

Specifieke triggers om human risk management te intensiveren zijn een toename in beveiligingsincidenten waarbij menselijk handelen een rol speelde, een fusie of overname waarbij culturen samenkomen, de introductie van nieuwe technologieen of werkprocessen, of bevindingen uit een security-audit. Ook seizoensgebonden pieken, zoals de feestdagen wanneer phishingcampagnes toenemen, zijn momenten om de monitoring te verscherpen. Business Email Compromise (BEC) aanvallen genereerden in 2024 wereldwijd 2,77 miljard dollar aan verliezen, wat het belang van continue aandacht onderstreept.

Wat kost human risk management?

De kosten van human risk management varieren op basis van organisatiegrootte en de gekozen aanpak. Basis security awareness-platforms kosten doorgaans tussen de 3 en 8 euro per medewerker per maand. Volledige human risk management-platformen met gedragsanalyse, risicoscoring en geautomatiseerde interventies liggen tussen de 8 en 20 euro per medewerker per maand. Voor een organisatie met 500 medewerkers komt dat neer op 48.000 tot 120.000 euro per jaar.

De investering staat echter in schril contrast met de kosten van een incident. De gemiddelde kosten van een datalek bedragen wereldwijd 4,44 miljoen dollar. Zelfs een enkel geslaagd phishingincident kan een MKB-organisatie tienduizenden euro's kosten aan herstel, juridische kosten en reputatieschade. Investeren in human risk management is daarmee een van de meest rendabele beveiligingsinvesteringen die je kunt doen. Vergelijk beschikbare oplossingen via Awareness training om de juiste match voor je organisatie te vinden.

Naast de directe kosten van platformen en tooling moet je rekening houden met de interne tijdsinvestering. Een dedicated human risk manager of security awareness officer besteedt gemiddeld 20 tot 40 uur per maand aan het programma. Bij grotere organisaties is dit vaak een fulltime functie. De totale cost of ownership omvat platformlicenties, content-ontwikkeling, interne begeleiding en periodieke evaluaties door externe specialisten.

Belangrijk is dat human risk management niet draait om het bestraffen van medewerkers, maar om het creeren van een cultuur waarin veilig gedrag de norm is. Positieve bekrachtiging, zoals het erkennen van medewerkers die phishingpogingen correct rapporteren, is effectiever dan negatieve consequenties bij fouten. Gamification-elementen, scoreboards en teamcompetities verhogen de betrokkenheid en maken security een gedeelde verantwoordelijkheid in plaats van een verplichting die van bovenaf wordt opgelegd. Organisaties die deze aanpak hanteren zien een structureel lagere incidentratio en hogere meldingsbereidheid bij hun medewerkers.

Veelgestelde vragen over human risk management

Wat is het verschil tussen security awareness en human risk management?

Security awareness richt zich op kennisoverdracht via trainingen en simulaties. Human risk management gaat verder door gedrag continu te meten, risicoprofielen op te stellen en datagedreven interventies in te zetten. Het verschil zit in de overgang van periodieke training naar continue gedragsmonitoring en bijsturing.

Hoe meet je menselijk risico in cybersecurity?

Je meet menselijk risico door gedragsindicatoren te combineren: klikratio op phishingsimulaties, wachtwoordhygiene, naleving van beveiligingsprocedures, reactietijd op beveiligingsmeldingen en gebruik van ongeautoriseerde applicaties. Deze data wordt samengevoegd tot een risicoscore per medewerker of afdeling.

Is human risk management verplicht onder NIS2?

NIS2 verplicht organisaties om passende maatregelen te nemen op het gebied van bewustwording en training. Human risk management is niet letterlijk genoemd, maar de systematische aanpak sluit naadloos aan bij de eisen voor aantoonbaar risicobeheer die NIS2 stelt aan essentiële en belangrijke entiteiten.

Hoe lang duurt het voordat human risk management effect heeft?

De eerste resultaten zijn doorgaans binnen drie tot zes maanden zichtbaar. Klikratio's op phishingsimulaties dalen gemiddeld met 40 tot 60% in het eerste jaar. Structurele gedragsverandering vergt echter twaalf tot achttien maanden van consistent meten, trainen en bijsturen.

Welke afdelingen hebben het hoogste menselijke risico?

Afdelingen met veel externe communicatie en toegang tot gevoelige data scoren doorgaans het hoogst. Finance, HR, klantenservice en C-level management zijn veelvoorkomende risicogroepen. Dit komt door hun frequente e-mailcontact met externe partijen en hun toegang tot financiele systemen en persoonsgegevens.

Vind een specialist voor human risk management via Awareness training op IBgidsNL.