Skip to content
Beveiliging calendar_today Bijgewerkt: 6 april 2026 schedule 5 min leestijd

De Menselijke Factor: Waarom de Meeste Datalekken bij je Medewerkers Beginnen

80 tot 90 procent van alle datalekken heeft een menselijke oorzaak. Dit artikel bespreekt de meest voorkomende scenario's, van phishing tot verkeerde e-mails, en geeft praktische tips om je team weerbaarder te maken.

summarize Kernpunten
  • check_circle 80 tot 90 procent van alle datalekken heeft een menselijke oorzaak, niet een technische
  • check_circle De meest voorkomende scenario's zijn phishing, verkeerde e-mailontvangers, verloren apparaten en zwakke wachtwoorden
  • check_circle Bewustzijnstraining en duidelijke procedures zijn effectiever dan alleen technische maatregelen
  • check_circle Een no-blame cultuur zorgt ervoor dat incidenten sneller worden gemeld

Het probleem zit niet in de techniek

Je kunt de beste firewall hebben, de sterkste encryptie en de duurste beveiligingssoftware. Maar als een medewerker op een phishinglink klikt, een e-mail naar de verkeerde persoon stuurt of zijn laptop in de trein laat liggen, helpt dat allemaal niet.

De cijfers liegen niet: 80 tot 90 procent van alle datalekken begint bij menselijk handelen. Niet bij briljante hackers, maar bij gewone fouten van gewone mensen op een drukke werkdag.

De GDPR (in Nederland ook wel AVG genoemd) verwacht dat je hier iets aan doet. Artikel 32 vereist niet alleen technische maatregelen, maar ook organisatorische. En training van je medewerkers is daar een essentieel onderdeel van.

De vijf meest voorkomende scenario’s

1. Phishing

Een medewerker ontvangt een e-mail die eruitziet alsof hij van een collega, klant of leverancier komt. De e-mail bevat een link naar een nagemaakte inlogpagina of een bijlage met malware. Een klik en de aanvaller heeft toegang tot inloggegevens of je netwerk.

Phishing wordt steeds geraffineerder. Met AI-tools kunnen aanvallers overtuigende, persoonlijke berichten maken in perfect Nederlands. De tijd van slechte grammatica en Nigeriaanse prinsen is voorbij.

2. Verkeerde ontvanger

Een van de meest voorkomende datalekken bij MKB-bedrijven: een e-mail met persoonsgegevens die naar de verkeerde persoon gaat. De autocomplete-functie van je e-mailprogramma vult het verkeerde adres aan, of je stuurt een CC in plaats van BCC naar een groep klanten.

Simpel, alledaags en toch een volledig datalek.

3. Verloren of gestolen apparaten

Een laptop die in de trein achterblijft. Een telefoon die uit een jaszak valt op een terras. Een USB-stick die kwijtraakt in een la bij een klant. Als het apparaat onversleutelde persoonsgegevens bevat, heb je een datalek.

4. Zwakke wachtwoorden en wachtwoord-hergebruik

“Welkom123” op het CRM. Hetzelfde wachtwoord voor de bedrijfsmail en het persoonlijke Netflix-account. Geen tweefactorauthenticatie ingeschakeld. Het zijn menselijke keuzes die de deur openzetten voor aanvallers.

5. Social engineering

Een telefoontje van “de IT-afdeling” die vraagt om inloggegevens. Een berichtje van “de directeur” die vraagt om snel een betaling te doen. Social engineering speelt in op vertrouwen, autoriteit en tijdsdruk. Medewerkers die niet getraind zijn, trappen hier eerder in.

Wat kun je doen?

Bewustzijnstraining

Train je medewerkers regelmatig, maar maak het praktisch en kort. Niemand zit te wachten op een PowerPoint van twee uur over informatiebeveiligingsbeleid.

Effectieve aanpakken:

  • Korte maandelijkse tips via e-mail of een intern kanaal
  • Concrete voorbeelden uit je eigen branche, niet abstracte dreigingsscenario’s
  • Interactieve sessies waarin medewerkers phishing-mails leren herkennen
  • Onboarding-module voor nieuwe medewerkers

Gesimuleerde phishing

Stuur periodiek nep-phishingmails naar je medewerkers. Niet om ze te betrappen, maar om ze te trainen. Wie klikt, krijgt direct een korte uitleg over wat de signalen waren. Dit is een van de meest effectieve manieren om het bewustzijn te vergroten.

Duidelijke procedures

Zorg dat medewerkers weten wat ze moeten doen als er iets misgaat:

  • Bij wie meld je een verdachte e-mail?
  • Wat doe je als je op een verkeerde link hebt geklikt?
  • Hoe meld je een verloren apparaat?
  • Wat als je per ongeluk een e-mail naar de verkeerde persoon hebt gestuurd?

Maak deze procedures eenvoudig en toegankelijk. Een korte handleiding van een pagina die iedereen kent is effectiever dan een beveiligingshandboek van 50 pagina’s dat niemand leest.

No-blame cultuur

Dit is misschien wel het belangrijkste punt. Als medewerkers bang zijn voor straf, melden ze incidenten niet of te laat. En bij datalekken telt elke minuut.

Creeer een cultuur waarin fouten gemeld mogen worden zonder consequenties. Een medewerker die binnen vijf minuten meldt dat hij op een phishinglink heeft geklikt, geeft je de kans om snel te handelen. Een medewerker die het drie dagen verzwijgt uit angst, maakt de schade vele malen groter.

De kosten van niets doen

Een datalekmelding bij de toezichthouder. Een boete. Verlies van klantvertrouwen. Kosten voor herstel en onderzoek. Een enkel moment van onoplettendheid kan duizenden euro’s kosten.

Een bewustzijnstraining kost een fractie daarvan. Investeer in je mensen, want zij zijn zowel je grootste risico als je beste verdediging.

auto_awesome Je team meenemen in GDPR?

GDPRWise maakt GDPR-compliance concreet en begrijpelijk voor je hele team. Van bewustwording tot documentatie, stap voor stap.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.