Herinnert u zich nog hoe we na Covid weer samenkwamen? Het was niet omdat iedereen zelf besliste hoe lang je je handen moest wassen. Het werkte pas toen duidelijke, gemeenschappelijke regels voor iedereen golden: eenduidige routines, toezicht en een soort 'hygiënepas' die liet zien dat men verantwoordelijkheid nam. Niet voor zichzelf, maar voor iedereen. Cyberhygiëne werkt hetzelfde. Het wordt uitgevoerd door individuen, inderdaad. Maar het wordt bezit en beheerd door de organisatie. Punt.
Toelichting op verantwoordelijkheid: We willen persoonlijke cyberhygiëne, maar die is niet privé. Het individu voert maatregelen uit (inloggen met multi-factor, updates uitvoeren, afwijkingen melden); de organisatie bepaalt, faciliteert en draagt verantwoordelijkheid (maakt multi-factor verplicht, stimuleert updates, vereenvoudigt rapportage, volgt effectiviteit op). Persoonlijk gedrag zonder gemeenschappelijke regels is toeval; gemeenschappelijke regels zonder ondersteuning door tools is theater. Het maakt niet uit of experts individueel advies geven over persoonlijke cyberhygiëne, dit leidt vaker tot fouten dan tot succes. Het individu = uitvoering in het beste geval. De organisatie = verantwoordelijkheid. Collectieve cyberhygiëne ontstaat pas wanneer standaarden, tools en monitoring op een objectieve en feitelijke basis het juiste eenvoudig maken voor iedereen. En dan wordt de verantwoordelijkheid hoger gedragen.
Vandaag de dag horen we nog steeds dingen als 'klik niet', 'wees wantrouwig', 'update vaker', alsof cybersecurity een kwestie van geweten is en geen systeem. Maar de feiten zijn onomstotelijk: social engineering, gelekte gegevens en leveranciersroutes blijven inbraken veroorzaken. Met andere woorden: je kunt een gebruiker niet 'strenger maken' in een slecht ontworpen omgeving en denken dat individuele cyberhygiënische initiatieven de dag redden. Het vergt collectieve regels, veilige standaardinstellingen en meetbare resultaten. (Verizon, 2024; ENISA, 2021).
De ongemakkelijke waarheid
We praten graag over de mens als 'zwakke schakel' (ik behoor er zeker toe), maar zelden over de organisatie als vijandige omgeving. Bonussen en KPI's belonen snelheid, terwijl veiligheid wordt beloond met het uitblijven van incidenten (oftewel onzichtbaar succes). Wie remt is het 'probleem'. Dit is geen gedrag, maar sturing en prikkels.
En we moralizeren: 'je klikte' en presenteren dit als persoonlijk cyberhygiënisch verantwoordelijkheidsgevoel, wat niets anders is dan een vingerwijzing die systeemfouten individualiseert. Het resultaat is een cultuur van zwijgen, schaduw-IT, latere meldingen en grotere schade. Onderzoek toont aan dat psychologische veiligheid (zonder schaamte kunnen waarschuwen) leidt tot vroegere signalen en snellere detectie, angst werkt op korte termijn maar ondermijnt naleving op de lange termijn. (Edmondson, 1999). Wie mijn eerdere werk kent, weet dat ik cyberpsychologie en educatie bepleit heb. Dat klopt. Maar wat ik nu schrijf gaat over slechte psychologie en nog slechtere onderwijsstrategieën.
Hygiëne, echt: van persoonlijke gewoonten naar collectieve spelregels
Laten we een duidelijk en onweerlegbaar voorbeeld nemen. Toen de samenleving na covid weer openging, was het niet genoeg dat 'enkele mensen goed waren'. Het gedrag van iedereen moest voorspelbaar zijn door duidelijke, gemeenschappelijke regels. Voor cyber betekent dat: veilige standaardinstellingen, uniforme werkmethoden en bewijs dat het daadwerkelijk werkt, niet nog meer posters in de kantine. (Verizon, 2024).
Daarom zijn leveranciers geen voetnoot. Het is genoeg dat één partij slordig is om iedereen te schaden. ENISA toont aan dat aanvallen via de keten toenemen en geavanceerder worden. In de hygiëne-analogie: je nodigt niet uit voor een gezamenlijk buffet als de catering zich niet aan dezelfde regels houdt. (ENISA, 2021).
Twee vergelijkingen die aanspreken en moeilijk te weerleggen zijn
Handen wassen helpt alleen als er water uit de kraan komt. De gewoonte van het individu is waardeloos als het systeem (de kraan) niet aan staat: veilige standaardinstellingen moeten aanstaan, niet 'optie zijn'. Het is de plicht van de organisatie om dit te waarborgen.
Hygiënepas voor sociale interacties. Toegang tot een ruimte vereiste gemeenschappelijke regels en bewijs van naleving. In de cyberwereld is dat hetzelfde: zonder aantoonbare hygiëne (updates, inlogbeveiliging, herstelvermogen) mag men niet worden toegelaten tot andermans omgeving. Dit is geen straf, maar zorg voor het collectief.
Waarom de focus op het individu aantrekkelijk is maar ook misleidt
Opleidingscampagnes en 'phishing-tests' klinken goed en voelen krachtig aan. Maar onderzoek is verdeeld: het effect is vaak aanwezig, maar kortdurend en onzeker op de lange termijn. Dit betekent niet dat educatie nutteloos is, maar dat geen enkele opleiding slechte ontwerpen kan compenseren. (Bada & Sasse, 2020; Falling & failing…, 2024).
Bovendien worden regels soms gebruikt om te disciplineren in plaats van beschermen: toezicht, controle, verantwoordelijkheid die naar beneden wordt geschoven. Wie dit hardop zegt, onthult machtsongelijkheid, maar organisaties die veiligheid depolitiseren krijgen eerlijkere rapportages en bouwen echte veerkracht op.
Drie eenvoudige 'handen wassen'-tips voor collectieve cyberhygiëne
Maak het veilige automatisch. Zet multi-factor authenticatie aan voor iedereen, standaardiseer veilige configuraties en patch kritieke kwetsbaarheden snel (meet in dagen, niet kwartalen). Dit pakt echte aanvalsvectoren aan die in de statistieken zichtbaar zijn. (Verizon, 2024).
Meet drie waarden elke week.a) mediane update-tijd, b) dekking multi-factor authenticatie, c) tijd van alarm tot actie (detectie/herstel). Rapporteer deze aan het management want hygiëne is collectief. (Verizon, 2024).
Maak de keten besmettingsvrij. Vereis een 'hygiënepas' van leveranciers: aangetoonde procedures voor updates en kwetsbaarheidsbeheer, duidelijke contactroutes en de mogelijkheid om toegang snel te sluiten en test dat dit werkt. (ENISA, 2021).
Dit zijn geen extra vingerwijzingen naar het individu. Dit is praktisch leiderschap: omgevingen creëren waar het makkelijke ook het juiste is, waar fouten geen ramp worden en waar iedereen pas binnenkomt als het hygiëneniveau het collectief beschermt. Wie overstapt van individuele moraal naar collectieve hygiëne zal niet alleen veiliger zijn, maar ook keuzevrijheid hebben in andermans ecosystemen. Misschien is dat wel waar cybersecurity en cyberhygiëne echt om draait: het gaat om keuzevrijheid in een steeds competitievere digitale wereld.
Referenties (APA)
Bada, M., & Sasse, A. (2020). Welke gedragsveranderingstechnieken gebruiken door de overheid geleide cybersecuritybewustwordingscampagnes?Journal of Cybersecurity, 6(1).
Edmondson, A. C. (1999). Psychologische veiligheid en leer gedrag in werkteams.Administrative Science Quarterly, 44(2), 350–383.
ENISA. (2021).Threat Landscape for Supply Chain Attacks.Europese Unie Agentschap voor Cybersecurity.
Verizon. (2024).Data Breach Investigations Report (DBIR 2024).Verizon Business.
