"Mensen melden niet omdat ze iets niet zien, maar omdat ze niet zeker weten of ze nog veilig zijn als ze het wél zeggen." Veel organisaties gaan ervan uit dat medewerkers geen cyberaanvallen herkennen. Maar dat beeld klopt vaak niet. Medewerkers herkennen opvallend veel risico's: vreemde e-mails, verdachte sms'jes, rare verzoeken van "collega's". Het herkennen is niet het probleem. Het probleem zit in wat er daarna gebeurt.
De angst achter het zwijgen
Zelfs wanneer medewerkers weten dat iets niet klopt, houden ze het vaak voor zichzelf. Niet omdat ze het niet belangrijk vinden, maar omdat ze bang zijn dat het melden gedoe oplevert. "Straks blijkt dat ik het verkeerd zie", "misschien stel ik me aan", of nog erger: "ze denken dat ik iets fout heb gedaan." Die angst, misschien klein, menselijk, maar hardnekkig, is één van de grootste blokkades voor een veilige organisatie.
Melden ontstaat alleen in een cultuur waar fouten bespreekbaar zijn. Maar in veel organisaties heerst nog steeds de reflex van "wie heeft dit gedaan?" in plaats van "goed dat je het meldt". Een zucht van irritatie, een opmerking dat ze "dit toch hadden moeten weten", of een leidinggevende die zegt: "Ik kijk er later wel naar", het zijn signalen die zeggen: zwijgen is veiliger.
En dan doen mensen precies dat. Ze zwijgen.
Privé melden mensen wél
Ironisch genoeg melden medewerkers in hun privéleven wél razendsnel verdachte dingen. Ze sturen screenshots naar vrienden, vragen in de familie-app of een bericht klopt, of delen waarschuwingen op social media. Daar voelen ze geen oordeel, alleen steun.
Het laat maar één ding zien: mensen willen wel melden, maar alleen als ze zich veilig voelen.
Hoe je een cultuur bouwt waarin melden vanzelfsprekend wordt
Een organisatie die meldingen serieus wil ontvangen, moet beginnen met één duidelijke keuze: we focussen niet op fouten, maar op het feit dát iemand iets meldt. Dat betekent dat communicatie anders moet. Niet alleen via posters of intranet, maar door hoe leidinggevenden reageren. Door het normaliseren van twijfel. Door te laten zien dat een fout niet leidt tot schaamte, maar tot leren. Door melders actief te bedanken.
Wanneer medewerkers merken dat een melding nooit tegen hen wordt gebruikt, maar altijd vóór de organisatie werkt, verandert alles. Meldingen worden eerder gedaan, sneller gedaan, en met meer details. Precies daar ontstaat het gedrag dat organisaties écht veiliger maakt.
Meldbereidheid is geen communicatievraagstuk maar een cultuurvraagstuk. Een veilige meldcultuur is de ruggengraat van awareness. En zonder die cultuur kun je trainen wat je wilt, maar dan blijft zwijgen altijd veiliger dan melden.
Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar security-awarenessprogramma met meetbare resultaten.
Bekijk de programmapaginaGerelateerde artikelen
- Incidenten melden zonder schaamte
- Phishing simulaties werken averechts
- Hoe je een security-cultuur opbouwt
FAQ
Hoe meet je meldcultuur?
Drie indicatoren: report rate bij phishing simulatie, het aantal vrijwillige meldingen per kwartaal, en de tijd tussen incident en melding. Alle drie groeien = goede cultuur.
Wat doe je met een vals-positieve melding?
Bedanken, korte uitleg waarom het ditmaal geen issue was, en uitnodigen om het volgende keer weer te doen. Nooit ontmoedigen.
Hoe ga je om met "ik heb mijn wachtwoord gedeeld" meldingen?
Reset, log review, geen sanctie. Een sanctie hier = einde van meldcultuur voor jaren. De waarde van toekomstige meldingen is exponentieel hoger.
Hoe overtuig je managers om "fout" niet te bestraffen?
Toon de tegen-data: organisaties met sancties hebben 60-80% lagere meldrate. Het is een keuze tussen blame en safety, niet tussen blame en niets.