Bewustzijn van fysieke beveiliging op de werkvloer

Waarom fysieke beveiliging er nog steeds toe doet

Cybercriminelen kiezen het pad van de minste weerstand. Wanneer techniek goed is afgegrendeld, verschuift de aandacht naar mensen, processen en fysieke omgeving. Een aanvaller die geen gat in uw firewall vindt, probeert via een schoonmaker, een uitzendkracht of een open vergaderruimte binnen te komen. De grens tussen "cyber" en "fysiek" bestaat in de praktijk niet meer.

Bovendien is veel werk in 2026 hybride: in het kantoor, in cafés, in treinen, thuis. Daarmee verspreidt de fysieke risicozone zich. Schermen, papieren, gesprekken en apparaten zijn buiten kantoor minstens zo kwetsbaar als binnen, soms meer.

Awareness over fysieke beveiliging draait om een handvol kleine gewoonten die optellen tot een aantoonbaar veiliger werkomgeving. Geen ingewikkelde techniek, wel volgehouden discipline.

De zes basisbeginselen voor elke werkomgeving

Eenvoudig in principe, taai in uitvoering:

• Draag uw badge zichtbaar in pandgebieden met toegangscontrole. En spreek beleefd iemand zonder badge aan: "kan ik u helpen, u zoekt iemand?" Tailgating werkt omdat niemand graag onbeleefd lijkt.
• Laat geen apparaten of papieren onbeheerd achter. Op kantoor, in de trein, in het hotel. Een gesloten kast of een afgesloten lade kost vijftien seconden en voorkomt een datalek.
• Vergrendel uw scherm bij opstaan. Ook voor twee minuten. Een collega die over uw schouder meekijkt is meestal onschuldig, een externe partij is dat niet altijd.
• Gebruik een privacy-screen op de trein en in publieke ruimtes. Een filter voor enkele tientjes voorkomt dat de buurman uw klantgesprek meeleest.
• Voer vertrouwelijke gesprekken niet in publieke ruimtes. Een rustige hoek in een restaurant is geen vertrouwelijke ruimte. Een belprivé-cabine of een vergaderruimte op afstand wel.
• Versnipper papier voor u het weggooit. Een papiercontainer naast een drukke afdrukker is geen schone container; de inhoud belandt vaak gewoon in het reguliere papierafval.

Tailgating en het beleefdheidsdilemma

Tailgating, achter iemand naar binnen lopen zonder eigen badge, is een van de meest succesvolle fysieke aanvallen omdat het inspeelt op een sterke sociale norm: de deur voor iemand openhouden is beleefd, iemand tegenhouden voelt onbeleefd. Veel aanvallers oefenen hier letterlijk op: een doos in de handen, een vriendelijke glimlach, en de deur gaat open.

De oplossing is geen botte hardheid maar een vriendelijke routine. "Mag ik even uw badge zien?" of "Voor wie komt u?" is beleefd en effectief. Een organisatie waar medewerkers gewend zijn dit aan elkaar te vragen, is aantoonbaar moeilijker te penetreren dan een organisatie waar iedereen elkaar laat gaan.

Train deze gewoonte expliciet, en steun medewerkers wanneer ze het doen. Niets ontmoedigt sneller dan een collega die zegt "doe niet zo flauw" wanneer iemand vraagt om een badge. Het bestuur kan hier voorbeeldgedrag laten zien: een bestuurder die zelf zijn badge zichtbaar draagt en bij twijfel vraagt, normaliseert het gedrag.

De thuiswerkplek en het reizende kantoor

Een aanzienlijk deel van uw werk gebeurt buiten het pand. Thuis, in een café, in de trein. Dat verandert de fysieke risicoanalyse:

Thuis: zorg dat vertrouwelijke gesprekken niet door huisgenoten of bezoekers meegehoord kunnen worden. Apparaten gaan in een afgesloten kast of bureau bij niet-werken. Werkstukken horen niet op de keukentafel bij familiefeest.

In het café of restaurant: kies een plek met uw rug tegen de muur, gebruik een privacy-screen, en laat uw laptop nooit alleen om naar het toilet te gaan. Vraag de barman of een collega om even op te letten, of neem het apparaat mee.

In de trein: zelfde principe plus een extra: geen vertrouwelijke gesprekken via de telefoon. Het lijkt vanzelfsprekend, maar het is een van de meest voorkomende lekken in de praktijk.

USB-sticks, gevonden voorwerpen en de "even helpen"-truc

Aanvallers werken in 2026 nog steeds met laagtechnische trucs omdat ze blijven werken. Drie scenario's die elke medewerker moet herkennen:

Een gevonden USB-stick op de parkeerplaats of in de hal, soms met een herkenbare bedrijfslogo erop. Wie wil weten waar het van is, plugt hem in. Op dat moment kan malware automatisch starten of toetsaanslagen geregistreerd worden via een nagebootst toetsenbord-apparaat. Regel: gevonden sticks gaan naar de receptie of beveiliging, nooit in een werkapparaat.

Een "monteur" die "even iets in de meterkast moet doen". Vraag naar legitimatie en werkbon, en bel het opgegeven contactnummer terug via een bekend telefoonnummer. Echte monteurs vinden dit normaal.

Een vriendelijk persoon die buiten staat met een sigaret en aan u vraagt of u even de deur open kunt houden. Vraag beleefd om een badge of laat de persoon via de receptie binnenkomen. Dit is een klassiek tailgating-scenario.

Hoe u dit verankert in een awareness-programma

Fysieke beveiliging hoort bij elke organisatie thuis in het basisprogramma, met aanvullende modules voor wie veel buiten kantoor werkt of toegang heeft tot gevoelige ruimtes (datacentra, financiële ruimtes, klantgegevens).

Combineer een korte module (vijf tot zeven minuten) over de zes basisbeginselen met fysieke zichtbaarheid: een poster bij de ingang die badging en het beleefdheidsdilemma uitlegt, een sticker op vergaderruimtes met "vergrendel uw scherm" en regelmatige fysieke loop-rondes door beveiliging waarbij positieve voorbeelden zichtbaar worden gemaakt.

Tot slot: maak het zichtbaar wanneer iemand iets goed doet. Een nieuwsbericht "deze week heeft Karim een gevonden USB-stick naar de receptie gebracht in plaats van te plein in zijn laptop" leert meer dan tien generieke posters. Het bevestigt dat fysieke alertheid wordt gewaardeerd, niet als overdreven wordt gezien.

Gerelateerde artikelen

• Schone-balie-beleid uitgelegd
• QR-phishing en fysieke social engineering
• Basisprincipes van apparaatbeveiliging
• Hoe je een security-cultuur opbouwt

Bronnen

• CISA: physical security
• NCSC: onderwerpenoverzicht
• ENISA: Threat Landscape

FAQ

Wat is fysieke beveiliging in de context van awareness?

De gedragingen en gewoonten die voorkomen dat een aanvaller fysiek toegang krijgt tot uw kantoor, apparaten, papieren of gesprekken. Denk aan badging, schermvergrendeling, schone balie, omgang met USB-sticks en bezoekers, en privacy in publieke ruimtes.

Wat is tailgating?

Achter iemand naar binnen lopen door een gecontroleerde toegangsdeur zonder zelf te badgen. Het is een van de meest succesvolle fysieke aanvallen omdat mensen graag beleefd zijn. Tegenmaatregel: vriendelijk vragen naar badge of doel van bezoek.

Wat doe ik met een gevonden USB-stick?

Naar de receptie of beveiliging brengen, nooit in een werkapparaat steken. Aanvallers droppen wel eens sticks rond kantoorgebouwen in de hoop dat iemand ze aansluit. Een stick kan automatisch malware uitvoeren of zich voordoen als toetsenbord.

Mag ik een vertrouwelijk telefoongesprek voeren in de trein?

Liever niet. Een groot deel van de fysieke lekken in 2026 komt uit publieke gesprekken die door derden worden meegehoord. Wacht tot u in een rustige ruimte bent, of bel via een belprivé-cabine.

Helpt een privacy-screen echt?

Ja, voor de meest voorkomende risico's wel. Een privacy-filter beperkt de kijkhoek waaronder uw scherm leesbaar is, zodat de buurman in de trein of het café niet kan meelezen. Voor een paar tientjes is het een goede beveiligingsmaatregel.

Hoe ga ik om met een onbekende bezoeker zonder badge?

Vraag beleefd: "kan ik u helpen?" of "voor wie komt u?". Bij twijfel: vergezel naar de receptie. Dit is gemakkelijker als de organisatie de gewoonte heeft genormaliseerd; het management kan voorbeeldgedrag tonen.

Welke fysieke maatregelen vraagt de Cbw?

De Cyberbeveiligingswet vraagt om aantoonbare maatregelen voor de fysieke kant van informatiebeveiliging als die de continuïteit en vertrouwelijkheid raakt. Dat omvat toegangscontrole, opbergen van apparaten en documenten, en awareness-training over fysiek gedrag.