De meeste organisaties erkennen inmiddels dat firewalls, Zero Trust policies en geautomatiseerde detectie slechts een deel van de weerbaarheid bepalen. Toch blijven veel security awarenessprogramma's opgebouwd rond verplichte e-learnings en jaarlijkse phishingtests die vooral aantonen dat medewerkers een checklist hebben afgevinkt. Binnen Nederlandse overheidsorganisaties wordt die benadering versterkt door de druk van de Nederlandse Baseline voor Veilige Cloud, de BIO en NIS2, waardoor medewerkers meerdere beleidsdocumenten naast elkaar moeten naleven. Het gevolg is een cultuur waarin professionals wel weten wat er van hen wordt verwacht, maar onvoldoende voelen dat veilig gedrag onderdeel is van hun professionele identiteit.
Een duurzame securitycultuur vraagt veel meer dan het overbrengen van kennis. Zij vereist een helder verhaal over nut en noodzaak, consistente voorbeeldrol vanuit bestuurders, prikkels die veilig gedrag stimuleren en systemen die fouten vroegtijdig zichtbaar maken zonder schuldigen aan te wijzen. Wanneer medewerkers ervaren dat securitybeleid de dienstverlening ondersteunt in plaats van afremt, ontstaat ruimte voor intrinsieke motivatie en gedeelde verantwoordelijkheid. Dat vraagt om samenspel tussen CISO, HR, lijnmanagement, ondernemingsraad en communicatieafdelingen.
Deze whitepaper biedt een kader waarmee publieke organisaties securitycultuur kunnen ontwikkelen als strategische capability. We verkennen eerst de gedragswetenschappelijke fundamenten achter risicovol gedrag, schetsen vervolgens hoe een doorlopend programma eruitziet dat verder gaat dan jaarlijkse trainingen, en sluiten af met een meetraamwerk dat laat zien of investeringen daadwerkelijk leiden tot cultuurverandering. De inzichten zijn gebaseerd op Nederlandse praktijkcases, evaluaties van toezichthouders en lessons learned uit adoptietrajecten voor Microsoft 365 en Azure.
Executives ontvangen een concreet raamwerk om gedrag, leiderschap en governance op elkaar af te stemmen. Het document laat zien hoe cultuurinterventies gekoppeld worden aan de Nederlandse Baseline voor Veilige Cloud, hoe incentives veilig gedrag stimuleren en hoe meetwaarden verder gaan dan trainingspercentages.
Culturele verandering mislukt zodra bestuurders uitzondering op de regel worden. Laat het college of de directieraad zichtbaar dezelfde maatregelen toepassen als iedere andere medewerker, van verplichte meervoudige authenticatie tot het gebruik van goedgekeurde samenwerkingsruimtes. Zodra medewerkers zien dat leidinggevenden zelf de extra stappen zetten, daalt het aantal uitzonderingsverzoeken en ontstaat ruimte om werkprocessen structureel te verbeteren.
Gedragsfundamenten: Waarom professionals toch onveilig handelen
Een diep begrip van menselijk gedrag vormt de basis van iedere securitycultuur. Medewerkers in publieke organisaties nemen dagelijks beslissingen waarin snelheid, dienstverlening, politieke gevoeligheid en persoonlijke werkdruk concurreren met beveiligingsregels. Wie veilig gedrag wil stimuleren moet begrijpen dat mensen geen scripts uitvoeren, maar continu afwegingen maken tussen risico, gemak en de verwachting van leidinggevenden. Onderzoek binnen ministeries laat zien dat medewerkers vaak feilloos kunnen uitleggen waarom een handeling onveilig is, maar het toch doen omdat een bestuurder direct informatie verlangt of omdat een applicatie anders vastloopt. Dat is geen onwil maar een rationele respons op de omgeving die we zelf hebben ingericht.
Cognitieve belasting is een eerste verklarende factor. Moderne digitale werkplekken genereren honderden notificaties per dag, waardoor het werkgeheugen continu gevuld is. Wanneer een medewerker zich moet aanmelden op drie portalen, een Power BI-dashboard interpreteren en tegelijk een formele memo afronden, verdwijnt het zorgvuldig controleren van een link naar de achtergrond. Het brein kiest onder tijdsdruk voor de kortste route, zeker als de gevolgen van een fout abstract blijven. Organisaties kunnen deze belasting verlagen door veilige defaults te creëren, bijvoorbeeld door standaard alleen goedgekeurde externe domeinen toe te laten of door formulierstromen zo te ontwerpen dat persoonsgegevens automatisch versleuteld worden opgeslagen. Hoe minder stappen iemand hoeft te onthouden, hoe kleiner de kans op improvisatie buiten het beleid.
Een tweede factor is risicoperceptie. Cyberdreigingen zijn vaak onzichtbaar en daardoor psychologisch ver weg. De beschikbaarheidsheuristiek zorgt ervoor dat medewerkers risico's hoger inschatten wanneer een incident net heeft plaatsgevonden en ze weer vergeten zodra de media-aandacht wegebt. Door near misses te delen, zoals een geblokkeerde phishingmail of een gestopte exfiltratiepoging, wordt het gevaar concreet en dichtbij. Combineer dat met scenario's die aansluiten bij de taak van een beleidsmedewerker, casemanager of vergunningverlener en het onderwerp wordt direct relevant. Zonder deze contextualisering blijven NIS2-artikelen of BIO-maatregelen theoretische concepten die onvoldoende gedragsverandering veroorzaken.
Sociale normen vormen de derde laag. Mensen spiegelen zich aan collega's: als een teamchef een vertrouwelijk document naar een privé-adres mailt omdat het sneller werkt, legitimeert dat gedrag voor het hele team. Omgekeerd kunnen leiders sociale druk positief inzetten door veilig gedrag zichtbaar te waarderen. Denk aan stand-ups waarin teams kort delen welke securityverbetering ze hebben doorgevoerd, of aan een intranetsite waarop best practices van afdelingen worden uitgelicht. Zulke instrumenten maken van veilig werken een bron van trots in plaats van een rem op productiviteit.
Een vierde drijfveer is het belonings- en sanctiesysteem. Wanneer beoordelingsgesprekken uitsluitend sturen op doorlooptijd, klanttevredenheid en kosten, is het logisch dat medewerkers creatieve manieren zoeken om procedures te verkorten. Verwerk daarom expliciete beveiligingscriteria in individuele doelstellingen en team-KPI's, zoals het correct registreren van gegevens in Microsoft Purview of het tijdig melden van afwijkingen in het incidentmanagementsysteem. Beloon teams die structureel risico's terugbrengen met dezelfde zichtbaarheid als teams die een beleidsdoel halen; zo wordt security geen randvoorwaarde maar een succesfactor.
Tot slot is psychologische veiligheid cruciaal. Mensen melden alleen fouten of twijfels wanneer zij erop vertrouwen dat dit niet leidt tot reputatieschade. De directie moet hardop zeggen én laten zien dat het melden van een vergissing wordt gewaardeerd. Dat betekent dat een medewerker die een verdachte link meldt waardering krijgt, ook al heeft hij vooraf op de link geklikt. Combineer dat met snelle ondersteuning door het SOC of de servicedesk zodat medewerkers ervaren dat melden daadwerkelijk helpt. Zo ontstaat een leercultuur waarin incidenten bron worden voor verbetering, precies wat de Nederlandse Baseline voor Veilige Cloud voorschrijft.
Doorlopende programma's: van trainingsmoment naar dagelijkse routine
Een securitycultuur ontstaat niet tijdens een jaarlijkse trainingsweek maar door continue betrokkenheid. Daarom moeten awarenessprogramma's dezelfde ritmiek krijgen als financiële sturing of HR-cycli. Start met een jaarplan waarin leerdoelen, gedragsindicatoren en communicatiemomenten zijn gekoppeld aan de strategische prioriteiten van de organisatie. Een provincie koppelde bijvoorbeeld phishingbestendigheid aan haar digitale dienstverlening: elke nieuwe online vergunningstap ging vergezeld van maatwerkcommunicatie over de risico's. Daardoor werd awareness onderdeel van projectgovernance in plaats van een losstaande campagne.
Microlearning is een krachtige methode om kennisopbouw vol te houden zonder de agenda te verstoppen. Door maandelijks korte modules van vijf tot tien minuten aan te bieden, blijft informatie vers in het geheugen en kan inhoud op actuele dreigingen worden afgestemd. Een module kan bijvoorbeeld laten zien hoe een deepfake-gesprek klinkt en hoe je dat meldt. Combineer dit met interactieve elementen zoals korte quizzen of scenario's waarin medewerkers keuzes maken. De resultaten bieden direct inzicht in welke thema's extra ondersteuning nodig hebben.
Ervaringsleren versnelt gedragsverandering. Simulaties, tabletop-oefeningen en red-team/blue-team-sessies laten medewerkers voelen wat hun keuzes betekenen. In Microsoft 365 kan je Attack Simulation Training inzetten om medewerkers realistische phishingmails te sturen en direct feedback te geven. Door deze simulaties te koppelen aan verbeteracties, zoals het herontwerpen van een goedkeuringsproces in Power Automate, wordt leren concreet en relevant. Belangrijk is om de moeilijkheidsgraad op te bouwen en successen te vieren; dat houdt de motivatie hoog en voorkomt trainingsmoeheid.
Rolgebaseerde trajecten zorgen dat mensen alleen leren wat voor hen relevant is. Een beleidsjurist heeft andere risico's dan een beheerder van Microsoft Entra ID. Ontwikkel daarom leerpaden per doelgroep waarin zowel inhoudelijke kennis als gewenste vaardigheden worden meegenomen. Voor leidinggevenden ligt de nadruk op voorbeeldgedrag, besluitvorming rond uitzonderingen en het voeren van het gesprek over risicoacceptatie. Voor klantenserviceteams draait het om herkennen van sociale engineering tijdens telefonische contacten en het correct loggen van signalen in Dynamics. Door security te verknopen met de dagelijkse tools en KPI's wordt leren onderdeel van het werk zelf.
Gamification kan een nuttige versneller zijn wanneer hij zorgvuldig wordt ingezet. In enkele gemeenten leidde een spelelement met teamranglijsten en digitale badges tot een aantoonbare stijging van het aantal zelfgemelde incidenten. De spelregels waren gekoppeld aan de gedragspatronen uit de BIO en de Nederlandse Baseline voor Veilige Cloud, zodat punten alleen werden gegeven voor aantoonbaar veilig gedrag, zoals het tijdig inzetten van gevoelige informatie-labels in Microsoft Purview. Beloning hoeft niet financieel te zijn; zichtbare waardering en toegang tot innovatieve pilots werken vaak net zo goed.
Veranker awareness vanaf de eerste werkdag. Neem security op in het onboardingtraject, inclusief een kennismaking met het SOC, een sessie over vertrouwelijke gegevens en een praktische uitleg over het gebruik van goedgekeurde samenwerkingsruimtes. Laat nieuwe medewerkers direct ervaren dat veilig werken de standaard is, bijvoorbeeld door hen in breakout-sessies eigen risico's te laten benoemen en concrete afspraken te maken met hun leidinggevende. Zo voorkom je dat mensen eerst slechte gewoontes aanleren die later moeten worden afgeleerd.
Tot slot heeft een doorlopend programma een robuuste communicatie-infrastructuur nodig. Gebruik intranet, Teams-kanalen, townhalls en managementbrieven om continu de relevantie te duiden. Koppel updates aan externe gebeurtenissen zoals NCSC-waarschuwingen of wijzigingen in de AVG, zodat medewerkers begrijpen dat security geen intern project is maar een publieke verantwoordelijkheid. Combineer storytelling, cijfers en praktische tips zodat iedere medewerker een duidelijke eerstvolgende stap ziet. Wanneer awareness zo ingebed is in de dagelijkse operatie verdwijnt de scheidslijn tussen beleid en praktijk.
Meten en sturen: inzicht krijgen in culturele volwassenheid
Zonder meetlat blijft securitycultuur een abstract gespreksonderwerp. De uitdaging is dat traditionele indicatoren, zoals het percentage afgeronde trainingen, vooral laten zien dat de administratie op orde is. Daarom moet een meetraamwerk meerdere lagen combineren: gedrag, beleving, proceskwaliteit en bestuurlijke besluitvorming. Begin met het vastleggen van een nulmeting die aansluit op de controlereeksen in de Nederlandse Baseline voor Veilige Cloud, zodat de resultaten bruikbaar zijn in zowel interne audits als ENSIA-rapportages.
Gedragsindicatoren staan centraal. Kijk niet alleen naar het aantal phishingkliks, maar naar de volledige keten: hoe snel melden medewerkers een verdachte mail, welke stappen zet het SOC daarna en hoe vaak leidt dit tot verbeterde regels in Defender for Office 365? Monitor ook het gebruik van gevoelige informatie-labels in Microsoft Purview, het aantal aanvragen voor uitzonderingen op Conditional Access en de gemiddelde doorlooptijd van toegangsaanvragen. Zulke data laat zien of beleid daadwerkelijk wordt geleefd. Combineer technische telemetrie met menselijke signalen, bijvoorbeeld door servicedeskregistraties te labelen op securitythema's.
Attitudes meet je via periodieke pulse surveys en kwalitatieve interviews. Stel vragen over ervaren werkdruk, vertrouwen in het securityteam en de ruimte om fouten te melden. Door deze gegevens te koppelen aan team- of departementsniveau wordt zichtbaar waar cultuurinterventies nodig zijn. Let erop dat uitkomsten niet worden gebruikt om te straffen, maar om gericht te ondersteunen; anders droogt de informatiebron op. Verwerk de resultaten in managementgesprekken zodat leiders zich eigenaar voelen van het onderwerp.
Procesindicatoren tonen in hoeverre security in de governance is ingebed. Wordt bij projectstart consequent een risicoanalyse uitgevoerd? Is er bewijs dat security-eisen onderdeel zijn van inkoopdossiers? Zijn lessons learned uit incidenten terug te vinden in het portfolio-overzicht van de CIO-office? Door deze vragen te verbinden aan bestaande portfolioboards en het Planning & Control-proces wordt security onderdeel van reguliere sturing. Bovendien kunnen controllers zo onderbouwen waarom bepaalde investeringen noodzakelijk zijn.
Een volwassen meetaanpak bevat ook externe referenties. Vergelijk de eigen prestaties met soortgelijke gemeenten, uitvoeringsorganisaties of zorginstellingen. Gebruik bijvoorbeeld benchmarks van het NCSC, publiek beschikbare data van de Algemene Rekenkamer of sectorrapportages van Auditdienst Rijk. Externe cijfers helpen besturen om vast te stellen of men voor- of achterloopt, wat cruciaal is voor prioritering van budgetten.
Tot slot vraagt cultuurmeting om lange adem. Documenteer trends over meerdere jaren, zodat zichtbaar wordt of maatregelen daadwerkelijk volgehouden worden. Visualiseer die trends in een executive dashboard waarin de relatie tussen cultuur, technische risico-indicatoren en financiële consequenties inzichtelijk is. Toon bijvoorbeeld hoe een hogere meldingsbereidheid leidt tot snellere containment en lagere schade. Wanneer bestuurders zien dat cultuurinvesteringen aantoonbare impact hebben op beschikbaarheid, reputatie en kosten, ontstaat bestuurlijke rust om de koers vast te houden.
Een volwassen stelsel sluit de cirkel door inzichten terug te voeren naar concrete verbeterbesluiten. Koppel meetuitkomsten aan portfolio- en begrotingsbeslissingen, zodat duidelijk is welk initiatief wordt uitgebreid, bijgestuurd of beëindigd. Zorg dat interne auditors en het risicomanagementteam periodiek toetsen of de gekozen indicatoren nog de juiste signalen geven. Bespreek de resultaten zichtbaar in managementreviews, zodat medewerkers merken dat hun meldingen en trainingsinspanningen effect hebben. Op die manier verandert meten van een controle-instrument in een motor voor continu leren en wordt securitycultuur een tastbare waarde in plaats van een abstract ideaal.
Security awareness wordt pas een strategische kracht wanneer gedrag, processen en technologie dezelfde kant op bewegen. Dat vraagt om volgehouden aandacht vanuit bestuurders, duidelijke verwachtingen voor leidinggevenden en ruimte voor medewerkers om fouten te bespreken. Door gedragsinzichten te combineren met doorlopende programma's en een volwassen meetraamwerk, groeit security uit tot een gedeelde verantwoordelijkheid binnen de hele organisatie.
Voor Nederlandse overheidsorganisaties betekent dat vooral: blijf cultuur initiatieven verbinden met wettelijke verplichtingen en maatschappelijke opdracht. Maak zichtbaar hoe een hogere meldingsbereidheid bijdraagt aan betrouwbaardere dienstverlening of hoe consequente labeling in Microsoft 365 de naleving van de Archiefwet vereenvoudigt. Zodra bestuurders deze koppelingen zien, worden culturele interventies onderdeel van het reguliere veranderportfolio en niet langer een losstaand securityproject.
De transformatie kost tijd. Reken op meerdere jaren waarin de combinatie van beleid, tooling en menselijk gedrag stap voor stap wordt aangescherpt. Vier tussentijdse successen, zoals een daling van het aantal uitzonderingsverzoeken of een stijging van de deelname aan oefensessies, zodat teams ervaren dat hun inspanningen ertoe doen. Zo ontstaat een cultuur waarin veilig werken geen verplicht nummertje is, maar vanzelfsprekend gedrag dat past bij de publieke taak.