Alain Rees · 10-07-2026 · 8 min leestijd
Vraag een willekeurige groep medewerkers of zij een beveiligingsincident zouden melden, en vrijwel iedereen zegt ja. Kijk vervolgens in het incidentenregister van dezelfde organisatie, en je vindt een handvol meldingen per jaar. Elke CISO kent dit gat, en de verleiding is groot om het te verklaren met onwil of onverschilligheid. Het onderzoek wijst een andere kant op. Mensen melden niet, omdat melden hen iets kost en zelden iets oplevert. Dat is goed nieuws, want aan die twee kanten van de weegschaal kun je iets doen.
Dit artikel hoort bij de fase Signaleren uit het model achter Kantyra. Incidenten zijn de rijkste signaalbron die een organisatie heeft, maar alleen als ze de registratie halen.
Het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR) heeft dit gat voor Nederland in kaart gebracht. Steve van de Weijer, Rutger Leukfeldt en Wim Bernasco analyseerden gegevens van ruim zevenennegentigduizend slachtoffers uit de Nederlandse bevolkingssurvey en stelden vast dat cybercriminaliteit aanzienlijk minder vaak wordt gemeld dan traditionele criminaliteit. In een vervolgstudie onder 529 Nederlandse mkb-ondernemers werd het contrast pijnlijk precies. Vrijwel alle ondernemers zeiden fictieve cyberincidenten te zullen melden, maar van de werkelijke cybercrimes waarvan zij slachtoffer werden, kreeg de politie er ruim veertien procent te zien. De redenen die niet-melders gaven, klinken elke securityfunctionaris bekend in de oren, namelijk de verwachting dat er toch niets mee gebeurt en de voorkeur om het zelf op te lossen. Wie wél meldde, was bovendien vaak ontevreden over de opvolging.
Deze cijfers gaan over aangifte bij de politie, maar het patroon staat niet op zichzelf. In de zorg, waar meldgedrag het grondigst is onderzocht, vond een systematische review van Hamed en Konstantinidis over meldbarrières bij verpleegkundigen precies dezelfde rangorde. De meest genoemde reden om niet te melden is angst voor negatieve gevolgen, gevolgd door omslachtige meldsystemen en een cultuur van schuld toewijzen. Kennis- en techniekproblemen komen pas daarna. Het gat tussen zeggen en doen is dus geen informatieprobleem, maar een afwegingsprobleem.
De reflex om na een incident te zoeken naar de schuldige is begrijpelijk en desastreus tegelijk. Amy Edmondson liet in een klassiek geworden veldstudie onder eenenvijftig teams zien dat de bereidheid om fouten toe te geven en te bespreken afhangt van wat zij psychologische veiligheid noemt, namelijk de gedeelde overtuiging dat je in dit team iets kunt toegeven zonder erop afgerekend te worden. Teams met die veiligheid leren meer en presteren daardoor beter. Straf verandert in dat licht weinig aan het gedrag dat tot het incident leidde, maar veel aan de vraag of je er ooit nog over hoort.
De veiligheidskunde heeft daar een werkbaar antwoord op geformuleerd. James Reason beschreef hoe een meldcultuur alleen ontstaat wanneer vooraf duidelijk is waar de grens ligt tussen acceptabel en onacceptabel gedrag, zodat een melder weet waar hij aan toe is. De Nederlandse veiligheidskundige Sidney Dekker, hoogleraar in Australië, werkte dat met Hugh Breakey uit tot wat inmiddels de standaard is onder de noemer just culture, een afhandeling van fouten die als rechtvaardig wordt ervaren en meer op herstel en leren is gericht dan op vergelding. Hun kernpunt is dat niet de sanctie zelf de meldcultuur breekt, maar de als onrechtvaardig ervaren afhandeling. Een organisatie die eerlijk en voorspelbaar met fouten omgaat, kan streng zijn waar dat moet en houdt toch de meldingen binnen.
De tweede helft van de afweging is wat een melding oplevert. Paul Barach en Stephen Small onderzochten meldsystemen buiten de zorg, waaronder het luchtvaartsysteem ASRS, en destilleerden de kenmerken van de systemen die werken: melden is er vrijwillig en vertrouwelijk, de melder geniet bescherming, de analyse gebeurt onafhankelijk van de lijn, en er volgt snelle, zichtbare terugkoppeling. Zij wijzen er bovendien op dat bijna-incidenten zeven tot honderd keer vaker voorkomen dan werkelijke incidenten, en dus verreweg de rijkste leerbron zijn voor wie ze weet te vangen.
Ook hier levert Nederland het bewijs. Ian Leistikow en collega's van de Inspectie voor de Gezondheidszorg beschreven hoe het Nederlandse toezicht op calamiteitenmeldingen verschoof van afrekenen op de uitkomst naar het beoordelen van de kwaliteit van het leerproces dat een melding op gang brengt. Hun stelling is dat de waarde van een melding niet in de melding zelf zit, maar in wat de organisatie ermee doet. Een evaluatie van datzelfde stelsel door onderzoekers van de Erasmus Universiteit, op basis van ruim vierenveertighonderd onderzochte incidenten, laat zien dat het werkt. De houding van personeel veranderde, het aantal meldingen steeg en de kwaliteit van de onderzoeken nam toe. De onderzoekers tekenen daarbij aan dat het leren alleen tot stand komt waar de organisatie actief met de meldingen aan de slag gaat.
En het is beïnvloedbaar gedrag. Recent Australisch onderzoek onder ruim vijfhonderd werkenden, specifiek gericht op het melden van cyberincidenten, vond dat de intentie om te melden wordt gedragen door drie factoren: de houding tegenover melden, de norm die collega's en leidinggevenden uitstralen, en het gevoel te weten hóe je moet melden. Die laatste factor voorspelde ook het feitelijke meldgedrag. Een vervolgstudie voegde toe dat alleen al de aanwezigheid van een kenbaar securitybeleid samengaat met vaker melden, net als het besef dat security bij de eigen rol hoort. Opvallend was ook dat lager geplaatste medewerkers minder melden, terwijl incidenten juist daar het eerst zichtbaar zijn.
Uit deze literatuur volgt een recept dat weinig kost en veel oplevert.
Voor de volledigheid meld ik dat dit de logica achter de incidentenmodule van Kantyra is. Melden is er niet voorbehouden aan managers of beheerders; elke gebruiker kan een incident vastleggen, en het formulier vraagt om een beschrijving en niet om een schuldbekentenis. Medewerkers zonder eigen account melden bij hun leidinggevende of de securityfunctionaris, die het signaal registreert; de kunst is dan vooral om die route bekend en laagdrempelig te houden. Elke melding krijgt een behandelaar en een zichtbare status, zodat terugkoppeling geen goede bedoeling is maar een werkstroom. En ernstige incidenten die aan een risico raken, zetten automatisch een herbeoordeling van dat risico klaar, zodat de organisatie aantoonbaar iets met het signaal doet. Zo wordt de melding wat zij volgens het onderzoek moet zijn, namelijk het begin van een leerproces in plaats van het einde van een carrière.
Kijk niet naar het aantal meldingen als prestatie-indicator, maar naar wat er met meldingen gebeurt. Stel jezelf drie vragen. Weet een willekeurige medewerker binnen tien seconden waar hij een incident kwijt kan? Kan iemand die vorig kwartaal meldde, vertellen wat er met zijn melding is gebeurd? En durft je meest junior collega een eigen fout te melden zonder eerst zijn leidinggevende te polsen? Drie keer ja betekent dat je meldcultuur werkt, wat het aantal meldingen ook is. Elke nee wijst de plek aan waar je moet beginnen, en geen van de drie vraagt om een groot project.
Dit artikel is een onderbouwde synthese van bestaand wetenschappelijk onderzoek en geen zelfstandig onderzoek dat door vakgenoten is beoordeeld. Waar ik duid of interpreteer, komt die interpretatie voor mijn rekening.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demo