Wat is cyberschaamte?

Cyberschaamte is het gevoel dat mensen en organisaties tegenhoudt om open te zijn over cyberveiligheid. Het is de stem die zegt: "dit had ik moeten weten", "dit mag niet gebeurd zijn", of "als ik dit bespreek, wat denken ze dan van mij?"

Die schaamte is onzichtbaar, maar duur. Incidenten worden laat of niet besproken. Vragen blijven onuitgesproken. Beslissingen worden uitgesteld. Juist die stilte maakt organisaties kwetsbaar.

Cybersecuritywoord van het Jaar 2022

Cyberschaamte werd in 2022 verkozen tot Cybersecuritywoord van het Jaar. Toch blijft het in de meeste organisaties onbesproken. Mensen zwijgen over een verkeerde klik of een gemiste melding, uit angst om dom gevonden te worden. Die stilte is onzichtbaar, maar maakt organisaties kwetsbaar.

Bron: Nederland Digitaal — Cybersecuritywoord van het Jaar 2022

Drie vormen die je zelden apart benoemd ziet

Rapportageschaamte

Een medewerker klikt op een phishinglink en meldt het niet. Een ICT-afdeling ontdekt een datalek en wacht te lang met escaleren. Een bestuurder besluit een incident "intern op te lossen" in plaats van het extern te melden. Het gevolg: de organisatie leert niet, toezichthouders krijgen geen zicht, en de volgende aanvaller profiteert van hetzelfde gat.

Kennisschaamte

In de bestuurskamer gaat het over MFA, EDR, zero trust en NIS2. De commissaris knikt, maar snapt het niet helemaal. Die vraag stellen voelt gênant op dat niveau, dus wordt er geknikt, komt "besproken" in het verslag, en neemt niemand de echte regie. Cyberveiligheid wordt zo een onderwerp waar iedereen over praat en niemand over beslist.

Besluitvormingsschaamte

De afweging tussen twee securityinvesteringen ligt op tafel. De leidinggevende kan de nuance niet volgen, maar durft dat niet hardop te zeggen. Het besluit wordt uitgesteld, gedelegeerd, of genomen op basis van wie het overtuigendst praat in plaats van wie het inhoudelijk bij het rechte eind heeft.

Ook het NCSC benoemt cyberschaamte als reden waarom cyberincidenten onzichtbaar blijven. In onderzoek van het Digital Trust Center wordt gesteld dat incidenten lastig te meten zijn vanwege het ontbreken van een centraal meldpunt — óf cyberschaamte.

Lees het NCSC-artikel →

Waarom dit begrip nodig is

Cyberveiligheid wordt vaak technisch benaderd: meer tools, meer controles, meer beleid. Maar de echte bottleneck zit in gedrag. En gedrag wordt gestuurd door emotie. Zolang schaamte de onderstroom is, blijft elke technische investering half effectief.

Cyberschaamte erkennen is de eerste stap naar een cultuur waarin incidenten, onzekerheid en niet-weten bespreekbaar zijn. Pas dan ontstaat echte weerbaarheid.

Maak cyberschaamte bespreekbaar in uw organisatie

Boek Tom voor een lezing of sessie waarin de menselijke kant van cyberveiligheid centraal staat.