Gedragsverandering cybersecurity via inzicht in motivaties en barrières van ondernemers
Een flink deel van het Nederlandse bedrijfsleven neemt nog onvoldoende beschermende maatregelen tegen cyberdreigingen. Het Digital Trust Center (DTC) heeft onderzoeksinstituut TNO daarom gevraagd om te onderzoeken hoe de actiebereidheid vergroot kan worden bij de ruim 2,3 miljoen bedrijven die tot de doelgroep van het DTC behoren. Het doel van dit onderzoek is om inzicht te geven in de motivaties en barrières die verschillende bedrijven ervaren bij veilig digitaal ondernemen.
TNO onderzocht op welke organisaties het DTC zich zou moeten richten, waarom deze bedrijven niet de noodzakelijke maatregelen nemen en hoe het DTC hierop kan reageren. Het onderzoeksrapport "Veilig digitaal ondernemen - Inzicht in motivaties en barrières door doelgroepsegmentatie" bevat deze inzichten en enkele aanbevelingen voor effectieve gedragsverandering bij ondernemers.
Aanpak onderzoek
Via psychografische segmentatie is onderzocht welke groepen bedrijven onvoldoende beschermende maatregelen nemen. Traditionele segmentatie op basis van bedrijfseconomische of geografische kenmerken (bijvoorbeeld omzet, bedrijfstak, vestigingsplaats) schiet tekort in het begrijpen van de redenen achter het gedrag van ondernemers. Psychografische segmentering verdeelt bedrijven op basis van motivaties en barrières. Dit geeft inzicht in waarom ondernemers (on)voldoende veilig digitaal ondernemen. De segmentatie is gedaan op basis van interviews en een uitgebreid vragenlijstonderzoek onder een steekproef van de DTC-doelgroep, waarna verschillende statistische analyses hebben geleid tot 5 gesegmenteerde groepen.
Resultaten: 5 doelgroepen met elk hun eigen weerbaarheidsniveau en onderliggende gedragsbepalers
De doelgroep van het DTC is op te delen in 5 subdoelgroepen. Deze subdoelgroepen verschillen van elkaar wat betreft de mate van veilig digitaal ondernemen en onderliggende gedragsbepalers.
Voor webtoegankelijke grafieken, zie het onderzoeksrapport.
Bedrijven binnen deze groep laten een patroon zien van het nemen van alle vereiste beschermende maatregelen. Ze zijn in staat om deze maatregelen te nemen, hebben de hulpbronnen om dat te doen en zijn zeer gemotiveerd. Bedrijven in deze groep kunnen worden aangemoedigd om nog vaker een wachtwoordmanager te gebruiken om hun wachtwoorden te beheren. Daarnaast kunnen deze bedrijven een belangrijke rol spelen bij het ondersteunen van andere bedrijven, bijvoorbeeld door hun kennis door te delen via het online platform van de DTC Community.
Ook bedrijven in deze groep scoren hoog op veilig digitaal ondernemen, maar niet zo hoog als de Voorlopers. Ze zijn qua gedragsbepalers vergelijkbaar met Voorlopers, maar zijn van mening dat het nemen van beschermende maatregelen niet de verantwoordelijkheid is van hun eigen organisatie, en besteden hun cybersecurity in grote mate uit aan externe IT-serviceproviders (72%). Het DTC kan bedrijven in deze groep helpen met producten en diensten die hen ondersteunen bij het uitbesteden van IT-diensten, zoals sjablonen voor service level overeenkomsten en richtlijnen voor gesprekken met IT-dienstverleners. Ook kunnen bedrijven in deze groep worden aangemoedigd om nog vaker een wachtwoordmanager te gebruiken om hun wachtwoorden te beheren.
Overmoedigen vertonen een patroon van het nemen van beschermende maatregelen, maar in mindere mate dan Voorlopers en Uitbesteders. Ze onderschatten de gevolgen van een cyberbeveiligingsincident. Deze organisaties geven niet veel om hoe hun organisatie bekend staat bij hun klanten en relaties wat betreft de mate van cyberveiligheid in hun bedrijfsvoering en denken dat de kans om slachtoffer te worden klein is. Bedrijven in deze groep kunnen worden aangemoedigd om hun response op een cyberincident uit te werken. Ook kan het DTC het gebruik van een wachtwoordmanager stimuleren.
Machtelozen nemen onvoldoende beschermende maatregelen. Ze hebben weinig kennis, vaardigheden en hulpbronnen om zichzelf te beschermen. Ze onderschatten de gevolgen van een cyberbeveiligingsincident echter niet, en denken dat de kans om slachtoffer te worden aanwezig is. Voor bedrijven in deze groep kan het DTC benadrukken dat het invoeren van tweefactorauthenticatie om accounts te beschermen van grote waarde is. Daarnaast is het belangrijk om regelmatige updates van software en systemen aan te moedigen.
Machtelozen nemen onvoldoende beschermende maatregelen. Ze hebben weinig kennis, vaardigheden en hulpbronnen om zichzelf te beschermen. Ze onderschatten de gevolgen van een cyberbeveiligingsincident echter niet, en denken dat de kans om slachtoffer te worden aanwezig is. Voor bedrijven in deze groep kan het DTC benadrukken dat het invoeren van tweefactorauthenticatie om accounts te beschermen van grote waarde is. Daarnaast is het belangrijk om regelmatige updates van software en systemen aan te moedigen.
Onverschilligen nemen onvoldoende beschermende maatregelen. Tegelijkertijd zijn ze niet overtuigd dat het nemen van aanbevolen maatregelen daadwerkelijk de dreiging zal verminderen, ze zijn niet gemotiveerd om hun organisatie te beschermen en denken dat de kans om slachtoffer te worden klein is. Het DTC kan bedrijven in deze groep ondersteunen bij het identificeren van kwetsbaarheden in hun systemen. Ook is het van belang om hen aan te moedigen om hun response op een cyberincident uit te werken. Bovendien is het nodig om het gebruik van zowel tweefactorauthenticatie als een wachtwoordmanager te stimuleren.
Van segmenten naar interventies
Deze segmentering biedt inzicht in de behoeften en uitdagingen van de verschillende groepen op het gebied van veilig digitaal ondernemen. Met deze kennis kunnen deze groepen gerichter ondersteund worden bij het nemen van beschermende maatregelen. Op het gebied van het treffen van maatregelen voor veilig digitaal ondernemen zijn er 3 doelgroepen die achterblijven, de Overmoedigen, Machtelozen en Onverschilligen, samen vormen zij 66% van de bedrijven. Het is van belang om deze groepen gericht aan te moedigen om specifieke cyberbeschermingsmaatregelen te treffen. Bedrijven in deze groepen hebben te maken met verschillende factoren die het daadwerkelijke nemen van maatregelen belemmeren.
Het onderzoek heeft aangetoond welke specifieke motivaties en barrières er zijn voor bepaalde doelgroepen, zoals gebrek aan kennis en hulpbronnen voor de subdoelgroep Machtelozen. In het rapport zijn daarnaast verschillende interventies te vinden die bedrijven binnen deze doelgroepen kunnen motiveren om stappen te zetten om hun eigen cyberweerbaarheid te vergroten óf anderen te helpen. Hierbij blijft het een uitdaging om ook die ondernemers te bereiken die in eerste instantie geen reden zien om actie te ondernemen. Het toepassen van maatwerk en nadenken over voorwaarden zoals het kiezen van de juiste communicatiekanalen is hierbij cruciaal.
Meer weten?
Ben je benieuwd naar meer details over de bovengenoemde groepen, de bijpassende interventies of de analyses die gedaan zijn om tot deze segmenten te komen? Bekijk dan het hele rapport via de onderstaande link.
Dit bericht is oorspronkelijk gepubliceerd op de website van het Digital Trust Center. Sinds 1 januari 2026 is het Digital Trust Center een onderdeel van het Nationaal Cyber Security Centrum (NCSC).