2LRN4 security awareness platform
← Terug naar kennisbank

Wat zijn de meest voorkomende beveiligingsfouten die werknemers maken?

Praktische uitleg over veelvoorkomende beveiligingsfouten medewerkers voor organisaties die veilig gedrag structureel willen verbeteren.

Recent bijgewerkt

Van inzicht naar actie

Ontdek hoe je dit onderwerp omzet in een concreet awarenessprogramma met training, phishing simulaties en heldere managementrapportage.

Plan demo Bekijk de primaire oplossingspagina
Alain Rees
Oprichter & Security Awareness Specialist · 2LRN4

Volgens internationaal onderzoek is in meer dan 80 procent van de datalekken een menselijke handeling de directe oorzaak: een klik op een phishingmail, een verkeerd geadresseerde bijlage, een goedgekeurde MFA-melding die geen werknemer maar een aanvaller had verstuurd. Dat betekent niet dat medewerkers dom zijn. Het betekent dat aanvallers slim ontwerpen en dat werkdruk meedoet. Welke fouten komen het meest voor in 2026, waarom maken mensen ze, en wat kunt u er als organisatie aan doen?

Waarom medewerkers fouten maken, en waarom dat geen kwestie van domheid is

Een veelgehoorde reflex bij een incident is dat de medewerker "dom" was, "niet had moeten klikken" of "beter had moeten weten". Die framing zit fout en is in 2026 aantoonbaar schadelijk. Moderne aanvallen zijn niet meer de Nigeriaanse prins met spelfouten. Het zijn perfect geformuleerde, contextueel kloppende berichten, vaak in de echte huisstijl van een leverancier of collega, die op het verkeerde moment binnenkomen.

Het gedragsmodel van B.J. Fogg helpt om de echte oorzaken te zien: een fout ontstaat uit een combinatie van motivatie, mogelijkheid en kennis. Een gehaaste financiële medewerker met tien openstaande mails, een vermoeide leidinggevende op vrijdagavond, een nieuwe collega die zijn weg nog zoekt in onbekende systemen: allemaal mensen die op een kalmer moment de juiste keuze zouden maken. Het probleem zit niet tussen de oren, het zit in de combinatie van werkdruk, ontwerp en context.

Wie dit erkent, kijkt anders naar fouten. Niet als overtreding, maar als signaal dat een proces of training niet goed aansluit op de werkelijkheid. Een organisatie die haar veelvoorkomende fouten in kaart brengt, leert sneller waar het programma versterking nodig heeft dan met welke risicoanalyse dan ook.

De zeven veelvoorkomende fouten in 2026

Een werkbare top zeven, niet als verwijt naar medewerkers maar als kaart van waar uw programma aandacht aan moet besteden:

  • Klikken op een verdacht bericht. Nog altijd de meest voorkomende ingang. Sinds AI-gegenereerde phishing kunnen ook ervaren medewerkers erop trappen, niet door onoplettendheid maar door een verzoek dat naadloos aansluit op iets dat zij toch al verwachtten.
  • Hergebruik van wachtwoorden. Een gestolen wachtwoord uit een datalek bij een privédienst wordt door criminelen direct geprobeerd op het zakelijke account. Zonder wachtwoordmanager is dit een vrijwel onvermijdelijke fout.
  • Goedkeuren van een onverwachte MFA-melding. Push bombing is in 2026 routinematig. Een medewerker die om vier uur 's nachts een melding krijgt en suf op "goedkeuren" tikt, geeft de aanvaller die zijn wachtwoord al had, complete toegang.
  • Verkeerd delen van gegevens. Een bijlage met klantgegevens naar de verkeerde Jan, een Teams-link die per ongeluk extern wordt gedeeld, een gevoelig document in een openbare map. Per ongeluk delen is een grote bron van datalekken en wordt onderschat omdat het geen "hack" voelt.
  • Gebruik van schaduw-IT en niet-goedgekeurde AI-hulpmiddelen. Een medewerker die snel een document vertaalt via een gratis online tool, of een vertrouwelijk verslag samenvat met een externe AI-dienst, deelt zonder het te willen weten gevoelige informatie met een derde partij.
  • Verdachte berichten verwijderen in plaats van melden. Een aanvaller heeft baat bij stilte. Een medewerker die een mail wegklikt omdat hij niet zeker is, ontneemt het securityteam de kans om andere collega's te waarschuwen voor dezelfde campagne.
  • Apparaten onbeheerd en onvergrendeld achterlaten. Op kantoor, in de trein, in een café. Een paar minuten zijn genoeg voor iemand om gevoelige gegevens te lezen, kopiëren of mee te nemen.

Hoe context en werkdruk fouten veroorzaken

Bijna alle fouten uit de top zeven hebben iets gemeen: ze gebeuren onder druk. Een medewerker die rustig een mail leest, herkent meestal de signalen. Dezelfde medewerker met tien minuten tot een vergadering, hoofd nog bij een ander probleem, een belletje van een klant, klikt op precies dezelfde mail zonder erbij na te denken. Aandacht is een schaars goed in een moderne werkdag, en aanvallers weten dat.

Een tweede factor is sociale verwachting. Een verzoek van "de baas", een vriendelijke leverancier die u al jaren kent, een collega in nood: in al deze gevallen werkt het normale sociale instinct (helpen, snel reageren, niet ongelegen vragen stellen) tegen de beveiligingsreflex. Dat is geen domheid, dat is mens-zijn.

Een derde factor is gebrek aan een duidelijke alternatieve handeling. Een medewerker die niet weet welk gedrag wél veilig is, kiest het pad van de minste weerstand. Train daarom niet alleen wat fout is, maar vooral wat het correcte alternatief is: bel terug op een bekend nummer, vraag in een ander kanaal, gebruik de goedgekeurde dienst.

Waarom een schuld-cultuur het probleem verergert

Wanneer fouten leiden tot zichtbaarheid, gesprekken of zelfs maatregelen, leren medewerkers één ding: fouten verbergen. Iemand die per ongeluk klikt en daarna door zijn leidinggevende wordt aangesproken, meldt de volgende verdachte mail niet meer. Want stel je voor dat het géén phishing was, en hij dan voor niets de aandacht naar zich toe trekt.

Het resultaat is een organisatie die er op papier veilig uitziet (laag klikpercentage in simulaties) maar in werkelijkheid blind is. De aanvaller komt binnen via een echte mail die niemand meldt, en woekert dagen of weken door voor iemand alarm slaat. Het meldpercentage, niet het klikpercentage, is de echte verdedigingsindicator.

Een werkbare regel: een fout is een leermoment, geen overtreding. Wie klikt, krijgt een korte uitleg ("dit waren de drie tekenen die u had kunnen herkennen") en gaat verder met zijn werk. Wie meldt, krijgt een bedankje. Wie consistent meldt, wordt zichtbaar gemaakt als rolmodel. Deze drie eenvoudige regels veranderen op termijn de cultuur ingrijpender dan welke training dan ook.

Wat awareness-training hier wel en niet kan oplossen

Awareness-training is geen wondermiddel. Wat het wel doet: het verkleint de kans op fouten waar herkenning helpt (phishing, vishing, social engineering), het bouwt routines op voor de juiste reactie (verifiëren, melden), en het versterkt de cultuur waarin melden vanzelfsprekend is.

Wat training niet doet: het lost geen processen op die structureel onveilig zijn ingericht (een betaalproces zonder vier-ogen-principe), het compenseert geen ontbrekende techniek (geen wachtwoordmanager beschikbaar, geen meldknop in de mailclient), en het overwint geen werkdruk die te hoog ligt om aandachtig te kunnen werken. Wie alleen op training inzet, lost een derde van het probleem op.

De juiste combinatie is daarom drievoudig: techniek die fouten moeilijker maakt (filters, MFA, wachtwoordmanager, passkeys), processen die fouten opvangen (vier-ogen-principe, verificatieroutines), en awareness-training die medewerkers leert wat te doen op het moment dat techniek en proces niet voldoende blijken te zijn.

Hoe u dit verankert in een awareness-programma

Maak een analyse van de fouten die in uw eigen organisatie in de afgelopen twaalf maanden zijn voorgekomen. Welke incidenten waren er, welke soort fout zat eraan ten grondslag, welke afdelingen kwamen vaker terug? Dat patroon vertelt u beter waar uw programma zijn focus moet hebben dan welke generieke top zeven dan ook.

Vertaal die analyse naar concrete trainingsmodules. Een organisatie met veel verkeerd-delen-incidenten heeft een andere agenda dan een organisatie met veel push-bombing-pogingen. Een ziekenhuis heeft een andere set fouten dan een logistiek bedrijf, een gemeente een andere dan een advocatenkantoor. Standaard "alles voor iedereen"-content laat dit potentieel liggen.

En ten slotte: maak de fouten zichtbaar als positief gegeven. Een nieuwsbericht waarin staat "deze maand heeft de financiële afdeling vier verdachte mails snel gemeld, één daarvan bleek een echte CEO-fraude" leert meer dan tien generieke posters. Het bevestigt dat melden werkt en het normaliseert dat ook ervaren mensen iets verdachts tegenkomen. Daarmee verlegt u het gesprek van "wie maakt fouten" naar "hoe houden we elkaar veilig", en dat is precies de richting waarin een awareness-programma moet bewegen.

Van uitleg naar aanpak

Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar programma met training, phishing simulatie en managementrapportage.

Bekijk de trainingspagina

Gerelateerde artikelen

Bronnen

FAQ

Welke fout maken medewerkers het vaakst?

Klikken op een verdacht bericht blijft de meest voorkomende ingang bij datalekken. In 2026 zijn AI-gegenereerde phishingmails zo overtuigend dat ook ervaren medewerkers slachtoffer kunnen worden. Direct daarna komen hergebruik van wachtwoorden en het goedkeuren van onverwachte MFA-meldingen.

Is een medewerker die op phishing klikt onoplettend?

Meestal niet. Moderne phishing speelt in op werkdruk, autoriteit en sociaal instinct. Een gehaaste medewerker met een geloofwaardig verzoek herkent het niet, niet door onoplettendheid maar omdat het bericht niet opvalt als afwijking.

Hoe voorkom ik dat medewerkers fouten verbergen?

Door fouten te behandelen als leermoment, niet als overtreding. Wie klikt krijgt een korte uitleg en gaat door. Wie meldt krijgt een bedankje. Geen individuele cijfers naar leidinggevenden, geen verplichte heropleiding. Dat is de enige duurzame route naar een hoge meldcultuur.

Welke rol spelen werkdruk en context?

Een grote. Bijna alle veelvoorkomende fouten ontstaan onder tijdsdruk of bij verstoorde aandacht. Een rustige medewerker herkent vrijwel altijd een verdachte mail. Dezelfde medewerker met tien openstaande taken klikt zonder erbij stil te staan.

Lost awareness-training alle fouten op?

Nee. Training werkt voor fouten waar herkenning helpt (phishing, vishing, social engineering) en voor het opbouwen van meldroutines. Het lost geen onveilige processen op en het compenseert geen ontbrekende techniek. Combineer training met techniek (MFA, wachtwoordmanager) en proces (vier-ogen-principe).

Wat is per ongeluk data delen?

Een bijlage met klantgegevens naar de verkeerde collega, een Teams-link die per ongeluk publiek wordt gedeeld, een gevoelig document in een openbare map. Het voelt niet als een hack, maar is een grote bron van datalekken en valt vaak onder de meldplicht van de AVG.

Wat is schaduw-IT, en waarom is het een risico?

Schaduw-IT is het gebruik van niet-goedgekeurde tools en diensten, zoals een gratis online vertaler of een externe AI-dienst voor het samenvatten van een vertrouwelijk document. Het risico is dat gevoelige gegevens bij een derde partij belanden, zonder dat de organisatie er controle over heeft.

Externe bron: NCSC - Menselijke factor in cyberveiligheid

Lees ook
Best practices voor wachtwoordbeheer → Hoe krijg ik medewerkers daadwerkelijk zover dat ze een beveiligingstraining volgen? →
Volgende stap

Gebruik dit artikel als basis en bekijk daarna hoe 2LRN4 dit onderwerp praktisch vertaalt naar doelgroepsegmentatie, training en rapportage.

Plan demo Download gids Meer artikelen