Kantyra Kantyra

← Alle artikelen

Signaleren

Waarom meldt bijna niemand een incident?

Alain Rees · 10-07-2026 · 8 min leestijd

Vraag een willekeurige groep medewerkers of zij een beveiligingsincident zouden melden, en vrijwel iedereen zegt ja. Kijk vervolgens in het incidentenregister van dezelfde organisatie, en je vindt een handvol meldingen per jaar. Elke CISO kent dit gat, en de verleiding is groot om het te verklaren met onwil of onverschilligheid. Het onderzoek wijst een andere kant op. Mensen melden niet, omdat melden hen iets kost en zelden iets oplevert. Dat is goed nieuws, want aan die twee kanten van de weegschaal kun je iets doen.

Dit artikel hoort bij de fase Signaleren uit het model achter Kantyra. Incidenten zijn de rijkste signaalbron die een organisatie heeft, maar alleen als ze de registratie halen.

Hoe groot is het gat tussen zeggen en doen?

Het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR) heeft dit gat voor Nederland in kaart gebracht. Steve van de Weijer, Rutger Leukfeldt en Wim Bernasco analyseerden gegevens van ruim zevenennegentigduizend slachtoffers uit de Nederlandse bevolkingssurvey en stelden vast dat cybercriminaliteit aanzienlijk minder vaak wordt gemeld dan traditionele criminaliteit. In een vervolgstudie onder 529 Nederlandse mkb-ondernemers werd het contrast pijnlijk precies. Vrijwel alle ondernemers zeiden fictieve cyberincidenten te zullen melden, maar van de werkelijke cybercrimes waarvan zij slachtoffer werden, kreeg de politie er ruim veertien procent te zien. De redenen die niet-melders gaven, klinken elke securityfunctionaris bekend in de oren, namelijk de verwachting dat er toch niets mee gebeurt en de voorkeur om het zelf op te lossen. Wie wél meldde, was bovendien vaak ontevreden over de opvolging.

Deze cijfers gaan over aangifte bij de politie, maar het patroon staat niet op zichzelf. In de zorg, waar meldgedrag het grondigst is onderzocht, vond een systematische review van Hamed en Konstantinidis over meldbarrières bij verpleegkundigen precies dezelfde rangorde. De meest genoemde reden om niet te melden is angst voor negatieve gevolgen, gevolgd door omslachtige meldsystemen en een cultuur van schuld toewijzen. Kennis- en techniekproblemen komen pas daarna. Het gat tussen zeggen en doen is dus geen informatieprobleem, maar een afwegingsprobleem.

Maakt straffen mensen voorzichtiger, of alleen stiller?

De reflex om na een incident te zoeken naar de schuldige is begrijpelijk en desastreus tegelijk. Amy Edmondson liet in een klassiek geworden veldstudie onder eenenvijftig teams zien dat de bereidheid om fouten toe te geven en te bespreken afhangt van wat zij psychologische veiligheid noemt, namelijk de gedeelde overtuiging dat je in dit team iets kunt toegeven zonder erop afgerekend te worden. Teams met die veiligheid leren meer en presteren daardoor beter. Straf verandert in dat licht weinig aan het gedrag dat tot het incident leidde, maar veel aan de vraag of je er ooit nog over hoort.

De veiligheidskunde heeft daar een werkbaar antwoord op geformuleerd. James Reason beschreef hoe een meldcultuur alleen ontstaat wanneer vooraf duidelijk is waar de grens ligt tussen acceptabel en onacceptabel gedrag, zodat een melder weet waar hij aan toe is. De Nederlandse veiligheidskundige Sidney Dekker, hoogleraar in Australië, werkte dat met Hugh Breakey uit tot wat inmiddels de standaard is onder de noemer just culture, een afhandeling van fouten die als rechtvaardig wordt ervaren en meer op herstel en leren is gericht dan op vergelding. Hun kernpunt is dat niet de sanctie zelf de meldcultuur breekt, maar de als onrechtvaardig ervaren afhandeling. Een organisatie die eerlijk en voorspelbaar met fouten omgaat, kan streng zijn waar dat moet en houdt toch de meldingen binnen.

Wat gebeurt er na de melding, en waarom bepaalt dat alles?

De tweede helft van de afweging is wat een melding oplevert. Paul Barach en Stephen Small onderzochten meldsystemen buiten de zorg, waaronder het luchtvaartsysteem ASRS, en destilleerden de kenmerken van de systemen die werken: melden is er vrijwillig en vertrouwelijk, de melder geniet bescherming, de analyse gebeurt onafhankelijk van de lijn, en er volgt snelle, zichtbare terugkoppeling. Zij wijzen er bovendien op dat bijna-incidenten zeven tot honderd keer vaker voorkomen dan werkelijke incidenten, en dus verreweg de rijkste leerbron zijn voor wie ze weet te vangen.

Ook hier levert Nederland het bewijs. Ian Leistikow en collega's van de Inspectie voor de Gezondheidszorg beschreven hoe het Nederlandse toezicht op calamiteitenmeldingen verschoof van afrekenen op de uitkomst naar het beoordelen van de kwaliteit van het leerproces dat een melding op gang brengt. Hun stelling is dat de waarde van een melding niet in de melding zelf zit, maar in wat de organisatie ermee doet. Een evaluatie van datzelfde stelsel door onderzoekers van de Erasmus Universiteit, op basis van ruim vierenveertighonderd onderzochte incidenten, laat zien dat het werkt. De houding van personeel veranderde, het aantal meldingen steeg en de kwaliteit van de onderzoeken nam toe. De onderzoekers tekenen daarbij aan dat het leren alleen tot stand komt waar de organisatie actief met de meldingen aan de slag gaat.

En het is beïnvloedbaar gedrag. Recent Australisch onderzoek onder ruim vijfhonderd werkenden, specifiek gericht op het melden van cyberincidenten, vond dat de intentie om te melden wordt gedragen door drie factoren: de houding tegenover melden, de norm die collega's en leidinggevenden uitstralen, en het gevoel te weten hóe je moet melden. Die laatste factor voorspelde ook het feitelijke meldgedrag. Een vervolgstudie voegde toe dat alleen al de aanwezigheid van een kenbaar securitybeleid samengaat met vaker melden, net als het besef dat security bij de eigen rol hoort. Opvallend was ook dat lager geplaatste medewerkers minder melden, terwijl incidenten juist daar het eerst zichtbaar zijn.

Wat kun je hier morgen mee?

Uit deze literatuur volgt een recept dat weinig kost en veel oplevert.

  1. Maak de meldroute zo eenvoudig dat niemand erover hoeft na te denken, en maak haar bekend. Het gevoel te weten hoe je moet melden is de sterkste voorspeller van feitelijk meldgedrag, en een kenbaar beleid alleen al verhoogt de meldkans.
  2. Spreek vooraf af hoe de organisatie met fouten omgaat, en houd je eraan. De grens tussen acceptabel en onacceptabel moet vóór het incident helder zijn en mag niet achteraf worden uitgevonden. Dat is de kern van een rechtvaardige cultuur.
  3. Reageer op elke melding met onderzoek en terugkoppeling, en nooit met stilte. De melder die niets terughoort, meldt geen tweede keer. De systemen die werken, koppelen snel en zichtbaar terug wat er met de melding is gebeurd.
  4. Vang ook de bijna-incidenten. Ze zijn vele malen talrijker dan echte incidenten en leren je hetzelfde zonder de schade.
  5. Wees blij met elke melding en wantrouw juist de stilte. Weinig meldingen betekent vrijwel nooit weinig incidenten; het betekent dat je register de werkelijkheid niet meer beschrijft.

Voor de volledigheid meld ik dat dit de logica achter de incidentenmodule van Kantyra is. Melden is er niet voorbehouden aan managers of beheerders; elke gebruiker kan een incident vastleggen, en het formulier vraagt om een beschrijving en niet om een schuldbekentenis. Medewerkers zonder eigen account melden bij hun leidinggevende of de securityfunctionaris, die het signaal registreert; de kunst is dan vooral om die route bekend en laagdrempelig te houden. Elke melding krijgt een behandelaar en een zichtbare status, zodat terugkoppeling geen goede bedoeling is maar een werkstroom. En ernstige incidenten die aan een risico raken, zetten automatisch een herbeoordeling van dat risico klaar, zodat de organisatie aantoonbaar iets met het signaal doet. Zo wordt de melding wat zij volgens het onderzoek moet zijn, namelijk het begin van een leerproces in plaats van het einde van een carrière.

Wat betekent dit voor jouw organisatie?

Kijk niet naar het aantal meldingen als prestatie-indicator, maar naar wat er met meldingen gebeurt. Stel jezelf drie vragen. Weet een willekeurige medewerker binnen tien seconden waar hij een incident kwijt kan? Kan iemand die vorig kwartaal meldde, vertellen wat er met zijn melding is gebeurd? En durft je meest junior collega een eigen fout te melden zonder eerst zijn leidinggevende te polsen? Drie keer ja betekent dat je meldcultuur werkt, wat het aantal meldingen ook is. Elke nee wijst de plek aan waar je moet beginnen, en geen van de drie vraagt om een groot project.

Verantwoording en bronnen

Dit artikel is een onderbouwde synthese van bestaand wetenschappelijk onderzoek en geen zelfstandig onderzoek dat door vakgenoten is beoordeeld. Waar ik duid of interpreteer, komt die interpretatie voor mijn rekening.

  1. Van de Weijer, S.G.A., Leukfeldt, R. & Bernasco, W. (2019). Determinants of reporting cybercrime: A comparison between identity theft, consumer fraud, and hacking. European Journal of Criminology, 16(4). https://doi.org/10.1177/1477370818773610
  2. Van de Weijer, S., Leukfeldt, R. & Van der Zee, S. (2021). Cybercrime Reporting Behaviors Among Small- and Medium-Sized Enterprises in the Netherlands. In: Cybercrime in Context. Springer. https://doi.org/10.1007/978-3-030-60527-8_17
  3. Dekker, S.W.A. & Breakey, H. (2016). 'Just culture:' Improving safety by achieving substantive, procedural and restorative justice. Safety Science, 85. https://doi.org/10.1016/j.ssci.2016.01.018
  4. Reason, J. (1998). Achieving a safe culture: theory and practice. Work & Stress, 12(3). https://doi.org/10.1080/02678379808256868
  5. Barach, P. & Small, S.D. (2000). Reporting and preventing medical mishaps: lessons from non-medical near miss reporting systems. BMJ, 320(7237). https://doi.org/10.1136/bmj.320.7237.759
  6. Edmondson, A. (1999). Psychological Safety and Learning Behavior in Work Teams. Administrative Science Quarterly, 44(2). https://doi.org/10.2307/2666999
  7. Leistikow, I., Mulder, S., Vesseur, J. & Robben, P. (2017). Learning from incidents in healthcare: the journey, not the arrival, matters. BMJ Quality & Safety, 26(3). https://doi.org/10.1136/bmjqs-2015-004853
  8. De Kam, D., Kok, J., Grit, K., Leistikow, I., Vlemminx, M. & Bal, R. (2020). How incident reporting systems can stimulate social and participative learning: A mixed-methods study. Health Policy, 124(8). https://doi.org/10.1016/j.healthpol.2020.05.018
  9. Hamed, M.M.M. & Konstantinidis, S. (2022). Barriers to Incident Reporting among Nurses: A Qualitative Systematic Review. Western Journal of Nursing Research, 44(5). https://doi.org/10.1177/0193945921999449
  10. Ahola, K., Butavicius, M., McCormac, A. & Sturman, D. (2025). Hey "CSIRI", should I report this? Investigating the factors that influence employees to report cyber security incidents in the workplace. Information and Computer Security, 33(2). https://doi.org/10.1108/ICS-11-2023-0214
  11. Ahola, K. en anderen (2025). 'Ctrl, alt, report': the influence of policy, cyber security job relevance, rank and gender on cyber security incident reporting. Information and Computer Security. https://doi.org/10.1108/ICS-02-2025-0044
Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Signaleren