Cybersecurity zonder human risk is een halve oplossing

Je hebt de firewalls. Je hebt de monitoring. Je patcht, je segmenteert, je test je incident response. Naarmate technische beveiliging beter wordt, verschuift de aanval logischerwijs naar mensen. Daarom heb je awareness-trainingen uitgerold, doe je oefeningen en phishing tests. En toch weet je dat het niet genoeg is, want de incidenten die je 's nachts wakker houden, beginnen niet alleen bij techniek maar ook bij de mens als insider threat. En dat vraagt om een fundamenteel ander type analyse dan wat de meeste organisaties vandaag inzetten.

Mensen hebben een context hebben die systemen niet hebben: schulden, loyaliteiten, externe druk en persoonlijke omstandigheden. En die context maakt iemand beïnvloedbaar op manieren die geen enkel systeem detecteert en geen jaarlijkse training wegneemt.

Het is geen nieuwe observatie dat de mens de zwakste schakel is. Wat wél verandert, is hoe systematisch die schakel wordt aangevallen. Statelijke actoren en georganiseerde criminelen richten zich structureel op medewerkers binnen organisaties, omdat die de kortste route zijn naar kritieke systemen, locaties en informatie. Medewerkers worden daarvoor financieel verleid, gechanteerd of onder druk gezet, zo stelt het Insider Risk Trend Report 2025¹. Het percentage organisaties dat de afgelopen vijf jaar te maken kreeg met insider-incidenten, waaronder spionage, fraude, sabotage en datalekken door eigen medewerkers, steeg van 66 naar 76 procent¹.

Hier gaat het in securityprogramma’s vaak mis. Insider threat wordt behandeld als een intentie-probleem: iemand heeft slechte bedoelingen, dus we screenen op strafblad en doen een VOG. Maar de gevaarlijkste situaties ontstaan niet bij mensen met slechte intenties. Ze ontstaan bij mensen die kwetsbaar zijn.

Een medewerker met ruime toegangsrechten, financiële druk en een onduidelijk functieprofiel is een risico, ook als hij volledig te goeder trouw is want de beïnvloedbaarheid blijft. En beïnvloedbaarheid hoeft niet zichtbaar te zijn in een database. Het vraagt om een ander soort onderzoek: niet compliance-gericht, maar intelligence-gedreven gericht op Human Risk. Screening is daarbij geen vorm van wantrouwen richting kandidaten. Het is een vorm van zorgvuldigheid richting je organisatie, en richting de medewerker zelf, die je daarmee beschermt tegen een positie die hem kwetsbaar maakt.

Human risk staat niet op zichzelf. Dat is precies de misvatting die organisaties kwetsbaar maakt. Fysieke, digitale, organisatorische en personele kwetsbaarheden maken een integrale beveiligingsaanpak noodzakelijk. De Wet Weerbaarheid Kritieke Entiteiten en de CyberBeveiligingswet richten zich op de fysieke en digitale aspecten terwijl nationale veiligheid extra wordt geborgd door vernieuwde veiligheidseisen zoals de Algemene Beveiligingseisen voor Rijksoverheid Opdrachten (ABRO) waarin ook eisen aan personeel en organisatie worden gesteld.  

Vrijblijvendheid hierin is verleden tijd en de bestuurskamer krijgt steeds meer te maken met proactief en reactief toezicht en een meld- en zorgplicht richting te organisatie. Het niet naleven van deze eisen wordt gezien als onbehoorlijk bestuur en kan zelf leiden tot bestuurlijke boetes voor de organisatie of de individuele bestuurder. Dit maakt human risk ook een gesprek dat jij met je bestuur moet voeren. Niet als abstracte dreiging, maar als aantoonbaar beheerst risico: zijn toegangsrechten logisch ingericht per functie, is er rol-gebaseerde screening voor kritieke posities, is er beleid voor inhuurkrachten en d erden, en is er een procedure voor het moment dat er signalen zijn? Als het antwoord op die vragen niet gedocumenteerd is, is het bij een incident niet geregeld.

Je beveiligt de systemen. Maar wie kijkt naar de mensen die erin werken? En kun je vandaag aantonen dat je dat serieus neemt, niet alleen richting je bestuur, maar ook richting een toezichthouder die na een incident precies die vraag stelt?

Human risk beheersen begint met een eerlijke risicoanalyse: voor welke functies in jouw organisatie kan één persoon, door kwetsbaarheid of misbruik, ernstige schade veroorzaken? Vanuit die analyse volgt proportionele screening die verder kijkt dan wat databases tonen: financiële kwetsbaarheid, internationale connecties, persoonlijke omstandigheden. Niet als standaardcheck voor iedereen, maar afgestemd op de werkelijke risico's van de functie.

Proximities helpt organisaties in vitale, kritieke, essentiële of belangrijke sectoren om dit praktisch en proportioneel in te richten: van screeningbeleid en rolmatrix tot zorgvuldig onderzoek wanneer er aanwijzingen zijn dat er méér speelt dan “een incident”. Wilt u meer informatie, neem dan contact met ons op voor een vrijblijvend gesprek.

¹ Signpost Six, Insider Risk Trend Report 2025, gepubliceerd januari 2025, via Emerce.nl en Securitymanagement.nl.

² NCTV / Digitale Overheid, Cyberbeveiligingswet (Cbw), implementatie NIS2-richtlijn.

³ La Gro Advocaten, Bestuurdersaansprakelijkheid in Cybersecurity, 2024.

⁴ Richtlijn (EU) 2022/2555 (NIS2), artikel 20 en artikel 21, EUR-Lex.