Cybersecurity bij Gemeenten: Waarom de Overheid een Menselijk Probleem Heeft

In december 2023 werd de gemeente Hof van Twente platgelegd door een ransomware-aanval. Maandenlang konden inwoners geen paspoort aanvragen, geen vergunning indienen en geen contact opnemen met hun eigen gemeente. De totale schade: miljoenen euro's. De oorzaak: een medewerker die op de verkeerde link klikte.

Dit is geen incident. Het is een patroon.

De Overheid als Doelwit

Nederlandse gemeenten beheren een schat aan persoonsgegevens. BSN-nummers, medische dossiers, belastinggegevens, bijstandsaanvragen — het zijn gegevens die op het dark web duizenden euro's per record opbrengen. Tegelijkertijd worstelen veel gemeenten met verouderde IT-infrastructuur, beperkte budgetten en een chronisch tekort aan cybersecurity-expertise.

Uit onderzoek van de Informatiebeveiligingsdienst (IBD) blijkt dat meer dan 60% van de cybersecurity-incidenten bij gemeenten een menselijke oorzaak heeft. Niet een technisch lek, niet een zero-day exploit — maar een mens die een fout maakt.

De Menselijke Factor: Meer dan 'Awareness'

Veel gemeenten investeren inmiddels in security awareness-trainingen. Medewerkers krijgen een jaarlijkse e-learning, er wordt een phishing-simulatie uitgevoerd, en het management vinkt de compliance-checkbox af. Maar werkt het?

Het eerlijke antwoord: onvoldoende.

Het probleem met traditionele awareness-programma's is dat ze uitgaan van een rationeel mensmodel. "Als mensen weten wat phishing is, zullen ze er niet intrappen." Maar gedragswetenschap laat iets heel anders zien.

Mensen klikken niet op phishing-links omdat ze dom zijn. Ze klikken omdat ze:

• Onder tijdsdruk staan — een wethouder die snel een document moet goedkeuren
• Gewoontegedrag vertonen — honderden e-mails per dag verwerken op automatische piloot
• Autoriteitsdruk ervaren — een mail van 'de gemeentesecretaris' die direct actie vraagt
• Cognitieve vermoeidheid hebben — aan het eind van een lange werkdag is het oordeelsvermogen verminderd

Waarom Q-Method Gedragsanalyse Werkt

Bij Nexus-7 hanteren we een fundamenteel andere aanpak. In plaats van iedereen dezelfde training te geven, brengen we eerst het daadwerkelijke gedragsrisico in kaart met onze Q-Method gedragsanalyse.

Deze methodiek identificeert niet alleen wat mensen weten over cybersecurity, maar hoe ze zich gedragen in de dagelijkse praktijk. Welke afdelingen nemen shortcuts? Waar is de weerstand tegen beveiligingsmaatregelen het grootst? Welke gedragspatronen maken uw organisatie kwetsbaar?

Voor gemeenten levert dit verrassende inzichten op:

Het Baliemedewerker-Risico

Baliemedewerkers bij gemeenten hebben vaak uitgebreide toegang tot persoonsgegevens. Ze werken onder hoge druk, moeten snel schakelen tussen systemen en worden dagelijks geconfronteerd met complexe informatieverzoeken. Ons onderzoek toont aan dat deze groep disproportioneel kwetsbaar is voor social engineering — niet door gebrek aan kennis, maar door werkdruk en systeemcomplexiteit.

Het Bestuurlijke Blinde Vlak

Wethouders en gemeentesecretarissen beschouwen cybersecurity vaak als een IT-aangelegenheid. Maar met de komst van NIS2 en de Cyberbeveiligingswet is digitale veiligheid een bestuurlijke verantwoordelijkheid geworden. Bestuurders die cyberrisico's niet actief managen, lopen persoonlijk aansprakelijkheidsrisico.

De Schaduw-IT Epidemie

Gemeenteambtenaren gebruiken regelmatig ongeautoriseerde tools om hun werk gedaan te krijgen. WeTransfer voor het delen van documenten, persoonlijke Gmail-accounts voor werkgerelateerde communicatie, WhatsApp-groepen voor gevoelige informatie. Niet uit kwade wil, maar omdat de officiële systemen te traag of te complex zijn.

BIO en NIS2: Dubbele Compliance-Druk

Gemeenten moeten voldoen aan de Baseline Informatiebeveiliging Overheid (BIO), gebaseerd op ISO 27001. Daar komt nu de NIS2-richtlijn bij, die via de Nederlandse Cyberbeveiligingswet naar verwachting eind 2025 van kracht wordt.

De combinatie van deze frameworks vereist:

• Risicomanagement — inclusief de menselijke factor
• Incidentmelding — binnen 24 uur bij ernstige incidenten
• Supply chain security — toezicht op leveranciers en dienstverleners
• Bestuurlijke verantwoordelijkheid — de directie is aanspreekbaar

Veel gemeenten hebben de technische maatregelen grotendeels op orde. Firewalls, antivirussoftware, back-upsystemen — het staat er. Maar de menselijke component blijft de achilleshiel.

Wat Kunt U Vandaag Al Doen?

U hoeft niet te wachten op een incident om actie te ondernemen:

1. Breng het menselijke risico in kaart — Niet met een standaard vragenlijst, maar met gedragsanalyse die daadwerkelijk laat zien hoe medewerkers omgaan met digitale risico's.

2. Maak cybersecurity bespreekbaar in het college — Zorg dat wethouders begrijpen dat dit geen IT-kwestie is, maar een bestuurlijke verantwoordelijkheid.

3. Investeer in continue bewustwording — Eénmalige trainingen werken niet. Gedragsverandering vereist herhaling, relevantie en persoonlijke feedback.

4. Controleer uw leveranciers — Gemeenten werken met tientallen softwareleveranciers. Elk van hen is een potentieel toegangspunt.

5. Oefen uw incident response — Wanneer heeft u voor het laatst een cybercrisis-oefening gedaan? Weet iedereen wat te doen als het misgaat?

Conclusie

Cybersecurity bij gemeenten is geen technisch probleem dat met technologie wordt opgelost. Het is een menselijk probleem dat een menselijke aanpak vereist. De organisaties die dit begrijpen — die investeren in het begrijpen en veranderen van gedrag — zijn de organisaties die overeind blijven wanneer de aanval komt.

En de aanval komt. De vraag is niet of, maar wanneer.

Nexus-7 helpt gemeenten en overheidsorganisaties met het in kaart brengen en verbeteren van hun cybersecurity-gedrag. Onze Q-Method gedragsanalyse geeft inzicht waar traditionele methoden tekort schieten.