De zwakste schakel zijn we nog altijd zelf

Cybersecurity is allang geen puur technisch onderwerp meer. Natuurlijk: kwetsbaarheden, patches en monitoring blijven belangrijk. Maar wie naar incidenten in Nederland kijkt, ziet vooral één patroon terugkomen: menselijk gedrag. Niet omdat mensen “dom” zijn, maar omdat we druk zijn, context missen en omdat aanvallen steeds geloofwaardiger worden. En juist daardoor blijft de mens vaak de zwakste schakel.

Wie naar recente Nederlandse cijfers kijkt, ziet waarom de menselijke factor zo dominant blijft. In 2025 ontving de Autoriteit Persoonsgegevens ruim 37.000 meldingen van datalekken, het hoogste aantal ooit. In het merendeel van deze incidenten was geen sprake van geavanceerde hacks, maar van menselijke fouten: verkeerd verzonden e‑mails, foutieve bijlagen en onbedoelde openbaarmaking van gegevens. 

Ook bij zwaardere cyberincidenten speelt menselijk gedrag vaak een doorslaggevende rol. Nederlandse ransomware‑incidenten beginnen in veel gevallen met phishing of gestolen inloggegevens: één klik, één hergebruikt wachtwoord of één moment van onoplettendheid. Publiek bekende voorbeelden bij gemeenten, zorginstellingen en organisaties in het onderwijs bevestigen hetzelfde patroon. Niet omdat medewerkers nalatig zijn, maar omdat aanvallen steeds beter aansluiten op dagelijks werkgedrag — en juist dát maakt de mens zo’n aantrekkelijke ingang.

Wat veel organisaties onderschatten, is hoe klein de eerste stap vaak is. Een phishingmail lijkt onschuldig, een leverancier blijkt later gecompromitteerd of een bijlage gaat naar de verkeerde ontvanger. Toch kan zo’n ogenschijnlijk incident uitgroeien tot ransomware, datalekken of langdurige verstoring van bedrijfsprocessen. Cyberaanvallen zijn zelden het gevolg van één oorzaak; ze ontstaan door een keten van beslissingen en aannames, waarbij menselijk gedrag steeds opnieuw een rol speelt.

Gedrag alleen is niet genoeg; zelfs goed getrainde teams maken fouten. Daarom is techniek geen vervanging van mensen, maar een aanvulling. Denk aan een extra laag e‑mailbeveiliging om misleiding sneller te filteren (zoals Mimecast-oplossingen), sterk wachtwoord‑ en toegangsbeheer om accountovername te voorkomen (denk aan Keeper), en centraal apparaat‑ en app‑beheer om risico’s te verkleinen (zoals Microsoft Intune). Zulke maatregelen zorgen ervoor dat één menselijke fout niet direct een organisatiebreed incident wordt.

Daar komt een extra laag bij: AI. Waar AI teams productiever maakt, introduceert het ook nieuwe cyberrisico’s. Aanvallers gebruiken AI om phishingmails overtuigender en schaalbaarder te maken. Er ontstaan zelfs modellen (zoals Mythos van Anthropic) die vooralsnog niet voor iedereen beschikbaar worden gemaakt omdat ze zoveel kritieke kwetsbaarheden bij banksystemen, medische portalen en power grids blootleggen. Tegelijkertijd zien organisaties ook intern nieuwe risico’s ontstaan, zoals het delen van gevoelige informatie in prompts of het blind vertrouwen op AI‑output. 

De mens blijft de zwakste schakel en is simultaan de grootste kans. Organisaties die investeren in training, cultuur én slimme techniek zijn aantoonbaar weerbaarder. Geen theoretisch beleid of gehoorzaam voldoen aan de NIS2-regelgeving, maar praktische begeleiding die aansluit op het dagelijkse werk. Agerion IT helpt teams daarbij met security‑awareness, cybersecurity-oplossingen en AI‑trainingen die realistische scenario’s behandelen.