Transparency International Nederland

8 december 2025

Cybersecurity

Het CSBN 2025 laat zien dat Nederland te maken heeft met verschillende soorten cyberaanvallen, zoals ransomware, spionagecampagnes, DDoS-aanvallen en gerichte aanvallen op vitale infrastructuur. Opvallend echter is dat een aanzienlijk deel van de incidenten niet ontstaat door geavanceerde hacks, maar door kwetsbaarheden in systemen. Het rapport noemt onder meer softwarefouten, foutieve updates en verouderde systemen. Het zijn juist deze onbedoelde fouten die een ideale ingang voor cyberaanvallen vormen. Cybercriminelen kunnen bijvoorbeeld misconfiguraties of verouderde software misbruiken om vervolgens diep in een netwerk door te dringen. Menselijke fouten dragen hieraan bij. Denk bijvoorbeeld aan medewerkers die op een phishing-link klikken, of documenten die verkeerd worden geüpload.

Cyberveiligheid is dus niet alleen een technisch probleem, maar ook een menselijk en organisatorisch probleem. Veel incidenten komen namelijk voort uit een gebrek aan digitale basishygiëne, en niet zozeer uit een tekort aan technologische capaciteit. Het CSBN benadrukt daarom dat de oplossing niet primair ligt in steeds complexere verdedigingsmechanismen, maar in het versterken van de digitale basisprincipes, zoals opgesteld door het NCSC en DTC. Daaronder valt onder andere het tijdig installeren van updates en het goed beheren van toegang tot data en diensten. Ook het signaleren en melden van fouten en incidenten wordt benoemd, wat direct raakt aan organisatiecultuur.

De link tussen cybersecurity en een veilige meldcultuur

Effectieve cyberveiligheid valt voor een groot deel samen met menselijk gedrag en de cultuur van een organisatie waar incidenten plaatsvinden. Mensen zijn immers de zwakste schakel in digitale veiligheidssystemen: door onoplettendheid, het maken van fouten of de gevoeligheid voor omkoping. Zo blijkt uit onderzoek dat één op de drie Nederlanders wel eens te maken heeft gehad met phishing. In werkelijkheid zouden deze cijfers nog veel hoger kunnen liggen, aangezien niet iedereen altijd zal toegeven dat ze door phishing zijn misleid. Schaamte en angst voor repercussies spelen hierbij een grote rol.

We zien hier een direct verband met integriteitsschendingen. Mensen die zich niet veilig voelen om integriteitsschendingen te melden, zullen zich vrijwel zeker niet veilig voelen wanneer ze een fout maken met cybersecurity. Ook bij integriteitskwesties geldt dat wanneer medewerkers incidenten niet durven te melden, situaties veel groter kunnen worden dan ze al zijn. Wanneer organisaties hun werknemers afstraffen voor het maken van fouten, demotiveert dit werknemers om aan de bel te trekken. Daardoor worden deze organisaties niet alleen gevoeliger voor integriteitsschendingen, maar ook in toenemende mate voor cybercriminaliteit.

Organisatiecultuur speelt daarom een belangrijke rol bij het bevorderen van digitale veiligheid. Zo is het essentieel dat organisaties goed begrijpen welke risico’s voor hen relevant zijn. Dat betekent dat medewerkers moeten worden getraind in het herkennen van mogelijke incidenten, maar ook dat zij incidenten durven te melden wanneer er iets misgaat. Alleen dan kunnen organisaties tijdig ingrijpen en schade beperken.

Veilige meldcultuur als voorwaarde

De inzichten uit het CSBN 2025 laten zien dat technologische maatregelen slechts een deel van de oplossing vormen. Veel incidenten vinden hun oorsprong in menselijke fouten en een gebrek aan basishygiëne. Een veilige meldcultuur is daarom geen bijzaak, maar een absolute voorwaarde voor cybersecurity. Organisaties die medewerkers ruimte geven om fouten te melden, vergroten hun weerbaarheid voor zowel integriteitsschendingen als cyberdreiging.

Eerder dit jaar publiceerde TI-NL een handreiking om organisaties te begeleiden in het opzetten van een effectieve meldregeling en zo te ondersteunen bij het creëren van een veilige meldcultuur. De handreiking kan hier kosteloos worden gedownload.

Gerelateerd nieuws

PONT-gesprek: “Een presterende overheid begint bij vertrouwen in professionals”

In de aanloop naar de gemeenteraadsverkiezingen spreken regeringscommissaris voor informatiehuishouding Arre Zuurmond en voormalig gemeentesecretaris en wethouder Arjan van Gils met moderator Floris Lazrak over een vraag die in veel gemeenten speelt: wat maakt een overheid écht presterend? Is dat vooral een kwestie van regels, controle en rapportages of juist van ruimte voor vakmanschap en gezond verstand?

PONT-gesprek: “Preventie kan veel zorgkosten voorkomen, maar wie betaalt de investering?”

De druk op de zorg loopt snel op en schept zorgen voor de toekomst. In het eerste deel van de reeks PONT-gesprekken gaan Herm Kuipers (concerndirecteur sociaal domein bij de gemeente Arnhem) en Stanleyson Hato (Invest-NL) in op een vraag die steeds urgenter wordt: hoe kan de zorg en ondersteuning van kwetsbare inwoners nu en in de toekomst werkelijk gewaarborgd worden?

PONT-gesprek: “Bouw een stad waar je in 2030 én 2040 trots op kunt zijn”

Gezond stedelijk leven voor iedereen – hoe realiseer je dat? Een vraag die bij Ronald Venderbosch in goede handen is. Na een lange carrière met bestuurlijke en leidinggevende functies binnen de publieke sector is hij nu concerndirecteur bij de Gemeente Utrecht met precies deze opdracht. In gesprek met PONT geeft Venderbosch zijn visie op de uitdagingen én mogelijke oplossingen. “Bouwdrift en woonkwaliteit zijn een continu spanningsveld.”

College oordeelt: geen leeftijdsdiscriminatie bij keuze voor spreidingstermijn van tien jaar in nieuw pensioenstelsel

ABN AMRO en het pensioenfonds van de bank maken geen verboden onderscheid op grond van leeftijd door bij de overgang naar het nieuwe pensioenstelsel een spreidingstermijn van tien jaar toe te passen. Dat oordeelt het College voor de Rechten van de Mens.
Meer nieuws