Over prikkels, verantwoordelijkheid en waarom veiligheid sneller wordt als we stoppen met het remmen ervan
Ik hoor vaak dat "de mens de zwakste schakel is". Ik geloof dat niet. Niet meer. Niet als de enige oorzaak van incidenten. Als ik achter de koppen kijk, zie ik iets anders als de wortel van het feit dat het individu een zwakke schakel is: de omgeving rondom de mens. Het klimaat binnen de organisatie. Hoe we meten, belonen en opbouwen. Daar wortelt veiligheid of verwelkt het en wordt het onzekerheid. Als een plant niet groeit, kijkt een goede kweker eerst naar de grond, het licht en het water. Niet naar de plant. Dat zouden we ook moeten doen.
In veel organisaties belonen we snelheid, groei en kwartaaldoelen. Dat is op zich niets mis mee. Maar veiligheid krijgt vaak een andere logica: het wordt niet beloond als er niets gebeurt. Niets zichtbaar is. Geen punten op het bord. En ik heb in talloze directiekamers gezien hoe iemand zijn keel schraapt en zegt "stop, wacht, risico". Die persoon wordt gezien als een rem, soms zelfs als een buitenstaander. Ik heb gezien hoe goede mensen rationele dingen doen in een prikkelsysteem dat veiligheid onzichtbaar en onopgemerkt maakt. Het is bijna alsof veiligheid elektriciteit in huis is – het moet gewoon werken. Daarom draai ik het perspectief om: het probleem is zelden het individu, het probleem is het klimaat waarin we die persoon plaatsen (OECD, 2022; World Economic Forum, 2024).
Dit is gevoelig, dat weet ik. Want als het klimaat het probleem is, wijst de kompas naar leiding en bestuur. Dan gaat het niet om nog een campagne of een nieuwe tool, maar om hoe we leiden, meten en verantwoordelijkheden verdelen. Publieke richtlijnen zeggen eigenlijk hetzelfde. De nieuwe Europese regels maken cyber een bestuurszaak: het bestuur moet risico's begrijpen, proportionaliteit afwegen en besluiten nemen als het moeilijk wordt (European Union, 2022). Amerikaanse autoriteiten benadrukken 'security by default', waarbij verantwoordelijkheid verschuift naar degenen die ontwerpen en leveren in plaats van afgeschoven wordt op de eindgebruiker (CISA, 2023). Dat is een beleefde manier om te zeggen: fix het klimaat, niet de poster. En nee, het gaat niet om techniek die de menselijke firewall moet vervangen. Maar het ondersteunt een veilige cultuur.
Waarom zet ik me hier zo voor in? Omdat ik de kosten zie van het oude compliance-denken. Checklists en certificaten hebben hun plek, maar alleen als basis. Ze geven vorm en traceerbaarheid. Maar als prikkels in de organisatie snelheid zonder risicoclassificatie belonen, worden documenten toneelstukjes en veiligheidstheater. We zetten vinkjes, maar verminderen het risico niet. We kopen een extra laag, schrijven een nieuwe policy, en denken dat opgestapeld bewijs vaardigheid vervangt. Publieke rapporten laten dezelfde trend zien: aanvallen beginnen vaak in de dagelijkse menselijke workflow en de keten om ons heen. Daar helpen geen extra gadgets als het klimaat shortcuts en snelheid boven controle beloont in pijnlijke momenten (ENISA, 2023).
Ik weet dat het woord "cultuur" soms vaag kan klinken. Daarom spreek ik liever over gestuurde prikkels. Wat gebeurt er als een salesmanager erkenning krijgt voor veilig deals sluiten, niet alleen snel? Wanneer krijgt een productmanager carrièrepunten voor het kiezen van veilige standaardcomponenten in plaats van "eigen snelle oplossing" of "goedkoopste optie"? Wanneer wordt een manager beoordeeld op hersteltijd net zo veel als op leverdatum? Dan verandert het klimaat, daar geloof ik heilig in. En dat kan zonder slogans of dure bonusmodellen. De bijgewerkte aanbevelingen van de OESO koppelen digitale veiligheid aan economisch risicomanagement geïntegreerd in bestuur en besluitvorming, niet ernaast (OECD, 2022). Het Wereld Economisch Forum beschrijft dezelfde beweging: raden van bestuur die cyber integreren in bedrijfsrisico's nemen betere beslissingen, krijgen minder verrassingen en meer vertrouwen op de markt (World Economic Forum, 2024). Het moet dus in de functieomschrijving staan, de vereiste aan het individu. Zeker als die persoon nu juist leidinggevende wil zijn.
We moeten ook eerlijk zijn over waarom organisaties soms hun eigen veiligheid tegenwerken. We creëren wrijving waar snelheid beloond wordt en veiligheid gestraft. Veiligheid is een kostenpost en drukt de omzet negatief in zo'n omgeving. We creëren afhankelijkheden waar niemand het volledige risico bezit. We creëren valse zekerheid met talloze dashboards met twijfelachtige risicomodellen, workflows en processen die tijdige detectie onmogelijk maken en niet bijdragen aan het visualiseren van de veerkracht en het herstelvermogen van de organisatie. Dit is geen kwestie van moraal of ethiek, maar van prikkels. Wanneer leveranciers, klanten en interne teams data, verantwoordelijkheid en doelen delen, verandert het spel. Het is geen toeval dat de EU nu productvereisten voor digitale producten invoert. Veiligheid moet voor de markt aanwezig zijn, niet achteraf worden bijgekocht (European Commission, 2024). Het is ook geen toeval dat nationale rapporten de nadruk leggen op het geheel: mensen, processen, technologie en leveranciers die samenwerken, niet los van elkaar (ENISA, 2023).
"Maar remt dit onze groei niet?" is een veelgehoord bezwaar. Mijn ervaring is juist het tegenovergestelde. Als het klimaat het juiste tempo op het juiste moment ondersteunt, gaat alles over tijd sneller. We vermijden brandjes, dure herstarts en schuld-discussies in plaats van oplossingen. En ja, vertrouwen in de capaciteit van de organisatie en het bedrijf levert zakelijk waarde op. Organisaties die veiligheid als een carrièrevoordeel, kwaliteit en vertrouwenspunt waarderen, nemen snellere en betere beslissingen, ervaren minder interne wrijving en worden betrouwbaardere partners. Dit zijn geen loze woorden. Het blijkt uit de beweging van kapitaal, klanten en talent naar degenen die stabiliteit bieden in plaats van het gevoel van controle (World Economic Forum, 2024).
Ik gebruik de kasplantmetafoor bewust en ook berekenend. Voor mij is cybersecurity geen glanzende plant die we toevallig tegenkomen op weg naar groei. Het is het kasplantje. Zonder het juiste klimaat groeit er niets duurzaam. Met het juiste klimaat groeit alles sneller. Daarom word ik moe als iemand zegt dat "de mens zwak is" maar vervolgens die zwakte niet voedt. De mens doet wat het klimaat leert en wordt niet de veiligste schakel. Veranderen we het klimaat, dan veranderen we het gedrag. Het gaat om eigenaren, raden van bestuur en leiding. Maar het is ook een positief bericht: als de top het klimaat verandert, volgt de rest.
De conclusie is simpel. We kunnen blijven meten hoe snel we rijden. Of we meten hoe veilig we aankomen, keer op keer. Ik kies dat laatste. Niet omdat ik van remmen houd, oud ben of bang ben om gas te geven. Nee, omdat ik houd van snelheid die standhoudt en niet haast naar faillissement. Dat is het verschil tussen wijzen naar "de mens" en werken aan de omgeving. Als we dat doen, groeien zowel veiligheid als business. En dat is precies waar publieke aanbevelingen en nieuwe regels ons naartoe proberen te sturen: minder rituelen, meer duurzaamheid (European Union, 2022; CISA, 2023; European Commission, 2024; OECD, 2022; ENISA, 2023; World Economic Forum, 2024).
Referenties (APA – selectie)
CISA. (2023).Secure by Design, Secure by Default.Cybersecurity and Infrastructure Security Agency.
ENISA. (2023).ENISA Threat Landscape 2023.European Union Agency for Cybersecurity.
European Commission. (2024).Regulation (EU) 2024/2847 — Cyber Resilience Act (CRA).
European Union. (2022).Directive (EU) 2022/2555 (NIS2).Official Journal L 333.
OECD. (2022).Recommendation of the Council on Digital Security Risk Management.
World Economic Forum. (2024).Global Cybersecurity Outlook 2024.
