“Cybersecurity draait om mensen”
4 juni 2025
Twintig jaar lang stond Marcel Spruit aan het roer van het lectoraat Cyber Security & Safety. Tijdens zijn afscheidsseminar blikte hij terug op twintig jaar onderzoek naar menselijk gedrag in de digitale wereld.
Cybersecurity gaat vooral over mensen en hun gedrag – en precies daarvoor zette Marcel Spruit zich jarenlang in als lector Cyber Security & Safety aan De Haagse Hogeschool. Op 22 mei nam hij afscheid tijdens een speciaal seminar. Marcel deelde inzichten uit twintig jaar praktijkgericht onderzoek naar digitale veiligheid. Zijn centrale boodschap? Menselijk gedrag is dé sleutel tot digitale weerbaarheid in een steeds verder gedigitaliseerde wereld.
Tijdloze inzichten
Peter Vroom, directeur van de faculteit IT & Design van De Haagse Hogeschool, opende het seminar met een vraag aan het publiek: “Had deze tekst gisteren geschreven kunnen zijn?” Vrijwel alle handen gingen de lucht in. De tekst bleek echter 22 jaar oud, afkomstig uit Marcels intreerede in 2003. “Blijkbaar is het heel gewoon om niets te doen tot het te laat is,” citeerde hij. “En als er dan wel maatregelen getroffen worden, dan is het vooral om huis en haard te beschermen. Maar hoe zit het dan met de informatiesystemen en de peperdure informatie daarin?”
Peter herkende hierin de kern van Marcels werk: “Je liet toen al zien hoe complex het is om mens en machine goed op elkaar af te stemmen. Hoe we patronen zien die er niet zijn. En hoe we soms miljoenen investeren om een dubbeltje te beschermen, terwijl we echte risico’s over het hoofd zien. Alles valt of staat uiteindelijk met gedrag.”
De invloed van data op politiewerk
Gastspreker Wouter Stol (lector Cybersafety bij NHL Stenden & Politieacademie en hoogleraar Politiestudies bij de Open Universiteit) blikte terug op zijn samenwerking met Marcel: “We begonnen ongeveer tegelijkertijd en kruisten vaak elkaars pad. Opvallend hoe iemand met een achtergrond in natuurkunde en informatica zó scherp oog had voor menselijk gedrag.”
Wouter vertelde over zijn onderzoek naar de digitalisering van politiewerk. Vroeger waren agenten afhankelijk van meldkamers, nu kunnen ze direct via hun telefoon informatie opvragen. Dat verhoogt de snelheid, maar brengt ook risico’s met zich mee, zoals dataprofilering. “Is dataprofilering professioneel politieoptreden? Is het rechtvaardig? En: wanneer is informatie écht nodig om je werk goed te kunnen doen?” vroeg hij het publiek. Volgens Wouter is het hoog tijd voor duidelijke kaders. “Data is niet neutraal. Het beïnvloedt hoe politiemensen handelen én hoe burgers de politie ervaren. We moeten beter nadenken over wat, wanneer en voor wie informatie relevant is.” Zijn oproep: werk toe naar contextafhankelijke databeschikbaarheid, voorkom willekeur en bewaak de rechtvaardigheid van het politiewerk. “We hebben als politie al veel digitale problemen opgelost. Maar deze discussie moeten we nu met elkaar voeren.”
Pionier in het hbo
Arend Hardorff, lid van het College van Bestuur van De Haagse Hogeschool, noemde Marcel een pionier. Toen hij in 2003 lector werd, was cybersecurity nog nauwelijks een thema binnen het hbo. Marcel zette het onderwerp stevig op de kaart, hielp het lectoraat groeien en verbreedde het naar ‘Cyber Security & Safety’. “Onder zijn leiding ontstonden vernieuwende opleidingen en praktijkgericht onderzoek dat impact heeft – binnen en buiten het onderwijs.”
De menselijke maat in digitale veiligheid
Daarna nam Marcel zelf het woord. In zijn afscheidsrede leidde hij het publiek langs het centrale thema van zijn werk: mensen en hun gedrag. “We hebben talloze technologische oplossingen, maar gedrag blijft bepalend voor digitale weerbaarheid. En dat laat zich niet zomaar sturen.”
Met voorbeelden uit de praktijk, zoals verloren usb-sticks of slecht ingestelde firewalls, liet hij zien dat incidenten vaak ontstaan door gewone menselijke fouten. Niet uit onwil, maar door onduidelijke regels, slechte voorbeelden of onwerkbare systemen. “De meeste incidenten worden veroorzaakt doordat managers of stafmedewerkers fouten maken. Daardoor nemen medewerkers onbewust risico’s.”
Marcel waarschuwde voor maatregelen die te licht zijn, of juist te belastend. Goede cybersecurity vraagt immers om een evenwichtige combinatie van preventie en vangnetten. “Maar dan moet je wel het juiste evenwicht vinden,” benadrukt hij. En juist daarin schuilt een uitdaging: hoe zorg je dat beveiligingsmaatregelen effectief zijn, zonder het dagelijkse werk te frustreren of te vertragen? “Te weinig beveiligen is gevaarlijk, maar te veel belemmert het werk.” Met een zelfontwikkelde serious game illustreerde hij hoe lastig het is om die balans in de praktijk te vinden. “In de game gaat de organisatie meestal failliet. Blijkbaar is het niet zo makkelijk om steeds de juiste keuzes te maken.” Het vinden van de juiste balans vraagt om een risicogerichte benadering. “Spam levert per keer weinig schade op, maar door de enorme frequentie is het risico alsnog groot. Dáárom moet je maatregelen nemen.” Alleen door goed te begrijpen waar de risico’s liggen, kun je effectieve én werkbare beveiligingsstrategieën ontwerpen die mensen daadwerkelijk kunnen volgen.
Gedragsmodellen
Marcel ontwikkelde in de loop der jaren meerdere modellen om menselijk gedrag inzichtelijk te maken. Het oorspronkelijke gedragsmodel – opgenomen in het standaardwerk Informatiebeveiliging onder controle – werd in 2024 vervangen door een praktischer toepasbare versie. “We wilden een model dat álle relevante factoren meeneemt, maar ook hanteerbaar is voor professionals. En dat is gelukt.”
Het model laat zien dat onveilig gedrag lang niet altijd het gevolg is van onwetendheid. “Het kan net zo goed komen door bias, attitudeproblemen of praktische belemmeringen.” Daarom ontwikkelde hij een uitgebreide tabel met passende verbeteraanpakken per oorzaak. “Geen one size fits all. Elke factor vraagt om een eigen aanpak.”
Onderwijs als fundament
Marcel pleitte ook voor beter en breder cybersecurityonderwijs. “Veilig omgaan met digitale informatie moet een basisvaardigheid zijn in de 21e eeuw. Maar in het onderwijs krijgt het vaak onvoldoende aandacht.” Hij lichtte toe hoe zijn lectoraat een bachelor, een master, meerdere minoren en cursussen ontwikkelde – altijd met aandacht voor de menselijke factor. Daarbij pleitte hij voor meer standaardisering van cybersecurityopleidingen: “We hebben behoefte aan duidelijkheid. Zodat het voor werkgevers en studenten helder is wat een opleiding inhoudt en welke competenties daarbij horen.”
De sleutel tot cybersecurity
De rode draad in zijn verhaal was helder: inhoud boven franje, degelijkheid boven hypes. Marcel maakte duidelijk dat de digitale wereld nog lang niet veilig is, maar dat echte vooruitgang binnen handbereik ligt als we beter begrijpen hoe mensen denken en handelen. “Dáár ligt de echte sleutel tot cybersecurity,” benadrukte hij, overtuigd dat duurzame digitale weerbaarheid alleen bereikt wordt door deze menselijke focus, niet door snelle oplossingen of voorbijgaande trends.
Meer weten?
- Lees de volledige afscheidsrede van Marcel Spruit
- Lees meer over het lectoraat Cyber Security and Safety
- Lees meer over het Centre of Expertise Cyber Security
