Cyberbeveiliging en compliance blinken al sinds jaar en dag uit in één ding: onzekerheid omzetten in structuur.
We nemen iets abstracts, een dreiging, en maken het beheersbaar. We bepalen de waarschijnlijkheid en impact, definiëren de verantwoordelijkheid, implementeren beheersmaatregelen en monitoren continu. Door deze aanpak zijn cyberrisico's in de loop der tijd veranderd van iets ongrijpbaars naar iets dat organisaties actief kunnen beheren.
Burnout staat niet op de meeste risicoregisters, terwijl het wel degelijk wijdverbreid, meetbaar en steeds beter begrepen is. Het beïnvloedt de prestaties in functies waar kleine misstappen grote gevolgen kunnen hebben. Dat is geen vergissing. Het weerspiegelt een tekortkoming in de manier waarop organisaties risico's definiëren.
De aanname waar we het niet over hebben
De meeste beveiligings- en compliance-modellen zijn gebaseerd op een stilzwijgende aanname: dat de mensen die ze bedienen, volledig cognitief functioneren.
Steeds weer.
Alleen al in het VK Slechte geestelijke gezondheid kost werkgevers tegenwoordig jaarlijks £51 miljard., met meer dan 22 miljoen verloren werkdagen per jaar als gevolg van stress, angst en depressie. Bijna De helft van de HR-managers beschouwt burn-out nu als het grootste bedrijfsrisico voor 2026.In technologische functies, Maar liefst 82% van de werknemers geeft aan zich dicht bij een burn-out te voelen..
Tegen die achtergrond begint de aanname van consistent hoge menselijke prestaties minder op een basisnorm te lijken en meer op een kwetsbaarheid.
Zoals Maria Drakoula, specialist in geestelijke gezondheidszorg, het verwoordde: "Organisaties gaan uit van perfecte prestaties van hun werknemers, wat in principe een veiligheidsrisico op zich is."
De meeste beveiligingssystemen zijn ontworpen voor een personeelsbestand dat op volle capaciteit werkt. Dat personeelsbestand bestaat niet.
Burnout, hergeformuleerd als risico
Als organisaties burn-out met dezelfde discipline zouden behandelen als andere operationele risico's, denk ik dat het gesprek er heel anders uit zou zien. En het zou, zoals alle gesprekken over risico's, beginnen met de waarschijnlijkheid.
Binnen de technische en beveiligingsafdelingen is burn-out geen marginaal probleem of een incidentele piek; het is een aanhoudend probleem. ISACA-onderzoek Uit onderzoek bleek dat 73% van de Europese IT-professionals werkgerelateerde stress of een burn-out heeft ervaren, terwijl ander onderzoek aantoonde dat 91% van de CISO's meldt een matig of hoog stressniveau.In het Verenigd Koninkrijk, ongeveer Vier op de vijf werknemers zeggen dat ze dicht bij een burn-out zitten., met een hogere concentratie in technische functies.
Dit is geen uitzonderlijk risico. Het maakt deel uit van de operationele omgeving.
De impact is concreter dan vaak wordt gedacht. Burnout beïnvloedt drie zaken waar beveiliging van afhankelijk is: aandacht, beoordelingsvermogen en motivatie. Wanneer deze afnemen, neemt ook de effectiviteit van de controles af. Niet meteen dramatisch, maar geleidelijk: gemiste waarschuwingen, tragere besluitvorming, kleine fouten, inconsistente naleving van procedures.
Het cumulatieve effect is meetbaar. Bij een slechte geestelijke gezondheid kan de productiviteit met wel 35% dalen.Werknemers verliezen bijna vijf uur per week door stressgerelateerde inefficiëntie. Aanwezigheid op het werk ondanks ziekte: mensen die doorwerken terwijl ze zich niet goed voelen; dit kost organisaties twee tot drie keer meer dan afwezigheid.
Dit alles past niet bepaald in de categorie 'welzijn'. Het is in feite een aantasting van de menselijke factor binnen de gecontroleerde omgeving.
Burnout ontstaat niet als een eenmalige gebeurtenis. Korte periodes van druk, auditcycli en grote incidenten zijn beheersbaar. Maar wanneer deze omstandigheden aanhouden, zijn ze niet langer uitzonderlijk, maar structureel. Vooral beveiligingsteams werken onder constante druk: voortdurende waarschuwingen, periodieke auditpieken en reactieve responsmodellen. Na verloop van tijd leidt dit tot bekende patronen, waarschuwingsmoeheid, cognitieve overbelasting en het nemen van shortcuts in processen. Het systeem kan nog steeds audits doorstaan. Het kan nog steeds compliant lijken. Maar het wordt minder betrouwbaar.
Wat het zou betekenen om dit serieus te nemen
Het erkennen van burn-out als een eersteklas risico vereist geen nieuw kader. Het volstaat om het bestaande kader te gebruiken.
Een register voor burn-outrisico's zou niet misstaan naast andere operationele risico's. Het zou in eenvoudige bewoordingen de omstandigheden beschrijven die tot een burn-outrisico leiden: aanhoudend hoge werkdruk, gefragmenteerde tools, pieken als gevolg van audits en teams met te weinig middelen. Het zou belangrijke indicatoren bijhouden, niet alleen ziekteverzuim of personeelsverloop, maar ook signalen die operationele leiders al kennen:
- toenemende achterstanden en onopgeloste meldingen
- toenemende foutpercentages of herwerk
- verlengde werkuren buiten de contractuele afspraken
- afnemende betrokkenheid bij cruciale processen
De bedieningselementen die volgen, zien er ook opvallend vertrouwd uit:
- Werkbelasting- en capaciteitsmodellering afgestemd op bekende risicocycli
- Afstemming en prioritering van waarschuwingen om ruis te verminderen.
- automatisering van repetitieve taken met lage toegevoegde waarde
- Duidelijkere verantwoordelijkheid binnen gefragmenteerde systemen
- een verschuiving van piekgebaseerde audits naar meer continue benaderingen
Het doel is niet om burn-out te medicaliseren of te reduceren tot een meetbare indicator. Het doel is om het zichtbaar, verantwoordelijk en beheersbaar te maken, precies zoals organisaties dat al doen met elk ander risico dat een vergelijkbare mate van prevalentie en gevolgen met zich meebrengt.
Burnout als risicoversterker
Ik denk dat een van de redenen waarom burn-out zo slecht wordt aangepakt, is dat het zelden als een op zichzelf staand probleem optreedt. Het versterkt andere risico's.
Zoals Maria Drakoula benadrukt: "een burn-out ondermijnt de aandacht, het beoordelingsvermogen en de motivatie, waardoor niet alleen menselijke fouten, maar in extreme gevallen zelfs kwaadwillig gedrag mogelijk worden." In termen van beveiliging vertaalt zich dat in bekende faalmodi:
- vatbaarheid voor sociale manipulatie, waar vermoeidheid en urgentie botsen
- verkeerde configuraties veroorzaakt door cognitieve overbelasting of overhaaste beslissingen
- Alertheidsmoeheid leidt tot gemiste of genegeerde dreigingen.
- Toegangscontrole-snelkoppelingen die onder druk zijn genomen
- verstoringen in de naleving van procedures
Afzonderlijk gezien is elk van deze punten bekend. Samen vormen ze een patroon. Burnout introduceert geen nieuwe risico's. Het verhoogt de kans op de risico's die je al hebt.
Systemen, niet individuen.
Door burn-out te behandelen als een individueel probleem dat te maken heeft met persoonlijke veerkracht, copingmechanismen en welzijn, wordt het probleem weggehaald uit het systeem en de governance en naar de persoon zelf verplaatst. Dat is een ontwerpkeuze, en wel de verkeerde. De oorzaken: auditmodellen die onhoudbare pieken creëren, tools die workflows fragmenteren en de handmatige inspanning verhogen, operationele modellen die uitgaan van constante beschikbaarheid, en compliance-benaderingen die reactief in plaats van continu zijn, liggen stevig verankerd in de governance.
Dit zijn ontwerpbeslissingen. En ontwerpbeslissingen zijn beheersbaar.
Werken op afstand en gedistribueerd werken heeft niet alleen veranderd of een burn-out zich manifesteert, maar ook hoe het zich uitdrukt. Zoals Maria Drakoula opmerkt: "isolatie in combinatie met cognitieve belasting creëert omstandigheden waarin fouten kunnen ontstaan, zich kunnen verspreiden en langer onopgemerkt kunnen blijven." Vanuit een beveiligingsperspectief is dit minder een cultuurprobleem en meer een kwestie van detectie en veerkracht. Het risico zit hem niet in het feit dat mensen op afstand werken, maar in het feit dat het systeem minder natuurlijke onderbrekings- en correctiepunten heeft.
Het bredere ontwerpprobleem
Dit sluit aan bij een bredere discussie over hoe organisaties risico's in het algemeen beheren. Dezelfde organisaties die er niet aan zouden denken om één jaarlijkse beveiligingsaudit uit te voeren en dat 'continu risicomanagement' te noemen, beheren hun personeelsbestand op dezelfde manier: een jaarlijkse medewerkersenquête, een welzijnsweek en een eenmalige trainingscyclus.
De logica van continue monitoring, die van toepassing is op informatiebeveiliging, gegevensprivacy en AI-governance, geldt ook hier. Menselijke prestaties zijn een controlemechanisme. Ze verslechteren. Ze moeten worden gemodelleerd, niet alleen vastgelegd. Wanneer Informatiebeveiliging, privacyverplichtingen en AI-governance worden beheerd als een verbonden, continu systeem. In plaats van afzonderlijke, momentopnames worden organisaties daadwerkelijk moeilijker te ontwrichten. Het toepassen van diezelfde logica op de menselijke factor in de controleomgeving is geen grote stap. Het is hetzelfde principe, consequent toegepast.
De vraag naar leiderschap
Leiders op het gebied van beveiliging zijn al verantwoordelijk voor de effectiviteit van de controles, de naleving van de regelgeving en de operationele veerkracht. Burnout raakt alle drie. Maar het komt zelden voor binnen dezelfde bestuursstructuren, waardoor er een cruciale afhankelijkheid blijft bestaan van menselijk handelen, dat grotendeels wordt verondersteld in plaats van actief te worden beheerd.
De nuttigere vraag is niet: hoe verminderen we burn-out? Maar: waar in onze controleomgeving vertrouwen we op aanhoudende menselijke prestaties die we niet op een gestructureerde manier kunnen modelleren of beheren?
Het eerlijk beantwoorden van die vraag is hoe continu risicomanagement er in werkelijkheid uitziet. Geen jaarlijkse evaluatie. Geen welzijnsinitiatief. Een gestructureerde, beheersbare en gecontroleerde afhankelijkheid, zoals elke andere in het systeem.
Cyberbeveiliging is geëvolueerd door te leren systemen te ontwerpen die bestand blijven tegen storingen, met uitzondering van één aspect. We ontwerpen nog steeds alsof de menselijke factor stabiel, consistent en oneindig aanpasbaar is. Dat is niet het geval.
Als burn-out dezelfde eigenschappen zou hebben als een traditioneel cyberrisico – hoge prevalentie, meetbare impact en een toename in de loop der tijd – dan zou het allang gemodelleerd, gemonitord en beheerd worden. Het feit dat dit niet het geval is, maakt het niet minder reëel.
Het betekent simpelweg dat de beslissing om het onbeheerd te laten, op zichzelf een risicobeslissing is. Een beslissing die de meeste organisaties niet bewust hebben genomen.
Breid je kennis uit
Blog: Cybersecurity kampt met een mentale gezondheidscrisis – zo los je het op
