Toegankelijkheid

Skip to main content

Wie is er verantwoordelijk voor onze Cybersecurity?

07 juli 2025

Over gedeelde verantwoordelijkheid en onduidelijke afspraken bij IT-dienstverleners en IT-afnemers

Cybersecurity is onmisbaar in een digitale werkomgeving. Maar wie is er eigenlijk verantwoordelijk voor? Uit onderzoek van Motivaction in opdracht van het Digital Trust Center (DTC, onderdeel van het Ministerie van Economische Zaken) blijkt dat zowel IT-dienstverleners als hun klanten vinden dat die verantwoordelijkheid gedeeld is. Toch blijft de voorbereiding op cyberincidenten vaak achter. Waarom lukt het niet om samen écht cyberweerbaar te worden? En hoe kan het DTC hierbij helpen?

Vertrouwen is goed, concrete afspraken zijn beter 

Niet iedereen zegt goed voorbereid te zijn op cyberincidenten. Twee op de tien dienstverleners (18%) geven aan dat zij matig tot niet voorbereid zijn op cyberincidenten samen met hun klanten. Onder afnemers is dit aandeel nog hoger. Zo geven drie op de tien afnemers (30%) aan dat hun bedrijf matig tot niet voorbereid is. Wanneer gevraagd wordt naar de concrete mate van voorbereiding zien we dit aandeel toenemen. 44% van afnemers geeft aan dat er matige tot geen concrete voorbereidingen zijn. Onder dienstverleners blijft dit aandeel vrijwel gelijk (20%).

De partijen die zich slecht of niet gezamenlijk voorbereiden op cyberincidenten, gaan vaker uit van een vertrouwensband tussen de IT-dienstverlener en de IT-afnemer. Vertrouwen in de (diensten van) de IT-dienstverlener en de inschatting dat de kans op incidenten gering is, zijn de meest genoemde redenen om niet of matig voor te bereiden op cyberincidenten: vier op de tien IT-afnemers (resp. 39% en 40%) en twee op de tien IT-dienstverleners (resp. 20% en 18%) noemen deze redenen.

De 4 basismaatregelen van het Digital Trust Center: veelal niet op orde 
Deze lage mate van voorbereiding zien we ook terug in de getroffen maatregelen. Het Digital Trust Center raadt aan in ieder geval 4 maatregelen op orde te hebben: 
1. Antivirus software 
2. Back-ups van systemen 
3. Beveiligingsupdates tijdig installeren 
4. Authenticatie- & Wachtwoordbeleid (multifactor authentificatie en sterke wachtwoorden)

Deze maatregelen worden echter door een groot deel van de IT-afnemers en IT-dienstverleners nog niet getroffen:

Infographic Cybersecurity


Wie doet wat? 

IT-afnemer en de IT-dienstverlener vinden dat zij gedeelde verantwoordelijkheid hebben voor de digitale veiligheid van het bedrijf van de IT-afnemer. Beide partijen zijn het erover eens dat de IT-dienstverlener voornamelijk verantwoordelijk is voor de digitale veiligheid op het gebied van de IT-services die zij leveren. Verder hangt het van de maatregel af wie verantwoordelijk is. IT-dienstverleners worden vaker verantwoordelijk gehouden voor technische maatregelen als netwerk segmentatie en actieve monitoring en detectie. IT-afnemers worden vaker gezien als verantwoordelijke voor het regelen van zaken als vergroting van bewustzijn onder medewerkers en het afsluiten van een cyberverzekering.

Drie tips voor goede samenwerking tussen IT-dienstverleners en IT-afnemers 

IT-afnemers en IT-dienstverleners zijn het erover eens dat ze samen verantwoordelijk zijn voor de cybersecurity van het afnemende bedrijf. Toch blijkt dat de mate van voorbereiding op cyberincidenten nog niet altijd voldoende is. DTC wil IT-afnemers en IT-dienstverleners helpen om zich samen beter voor te bereiden. Op basis van het onderzoek geeft Motivaction drie aanbevelingen:

  1. Voorkom blinde vlekken door overzicht en tips te bieden

Door het vertrouwen van IT-dienstverleners en IT-afnemers in zichzelf en elkaar, kunnen blinde vlekken ontstaan. De overheid zou hier een rol in kunnen spelen door het opstellen van een checklist van de zaken die afgestemd moeten worden en tips hoe de partijen dit goed kunnen afstemmen. 

> DTC heeft een checklist opgesteld die bedrijven ondersteunt bij het maken van afspraken met hun IT-dienstverlener.  

  1. Richt de communicatie op de IT-dienstverlener

Communicatie over cyberveiligheid vanuit de overheid kan het best gericht worden op IT-dienstverleners. Geef daarbij ook tips of versimpelde uitleg die IT-dienstverleners kunnen doorgeven aan hun IT-afnemers.

> Voor de communicatie tussen de overheid en IT-dienstverleners, en tussen IT-dienstverleners onderling, heeft DTC de DTC community, waar dienstverleners kennis kunnen uitwisselen en ervaringen te delen. Via deze community ontvangen IT-dienstverleners ook informatie over actuele kwetsbaarheden en dreigingen. 

  1. Help bij het nemen van de juiste maatregelen ter voorbereiding op een cyberincident

Help IT-dienstverleners en IT-afnemers bij het nemen van de juiste maatregelen. Dit kan de overheid doen door aan te geven welke maatregelen belangrijk zijn bij bepaalde dreigingen. 

> DTC heeft een praatplaat ontwikkeld met handvatten om de juiste afspraken te maken ter voorbereiding op alle fasen van een cyberincident: van voorkomen van een incident, tot respons, herstel en evaluatie.  


Meer weten?

Wil je meer weten over onderzoek op maat rondom IT-vraagstukken? Neem gerust contact op met Kevin Hengstz voor meer informatie of een vrijblijvend gesprek.


Onderzoeksverantwoording

Voor het online onderzoek is gebruikgemaakt van het StemPunt-panel van Motivaction en een partnerpanel. De doelgroep bestaat uit IT-dienstverleners en IT-afnemers uit het Nederlandse bedrijfsleven.  

IT-dienstverleners voldoen aan de selectiecriteria als zij: 

1. ICT-diensten leveren aan zakelijke klanten, en 
2. Invloed hebben in hun bedrijf op één of meer van de volgende onderdelen: het managen van de relatie met klanten; het opvangen/oplossen van cyber-calamiteiten bij klanten; het opstellen van de contracten/SLA’s waarin de verantwoordelijkheid voor digitale veiligheid met klanten is geregeld, en 
3. Minimaal één van de volgende diensten leveren: Cloud & Datacenter Services, Werkplek & End-user Services, Software Services, Security Services, Platform & Data Services  

IT-afnemers voldoen aan de selectiecriteria als zij:  

1. ICT-diensten afnemen bij IT-dienstverleners, en 
2. Invloed hebben in hun bedrijf op het managen van de IT beveiliging en de cyberveiligheid van de organisatie, en 
3. Minimaal één van de volgende diensten afnemen: Cloud & Datacenter Services, Werkplek & End-user Services, Software Services, Security Services, Platform & Data Services  

278 IT-dienstverleners en 420 IT-afnemers hebben de vragenlijst volledig ingevuld. Het veldwerk liep van 20 februari t/m 10 maart 2025.  

 

Deel dit artikel
Vragen?
Daniëlle van Velzen

Email  
Functie Researcher
Telefoon +31 20 58 98 316

Bekijk profiel Daniëlle
Kevin Hengst

Email 
Functie Senior Strategy Consultant
Telefoon +31 (0)20 589 82 14

Bekijk profiel Kevin
Gerelateerde artikelen

WK in Qatar niet populair onder Nederlanders

Sander Kluiters
19 mei 2022
Bekijk pagina

Onze online mogelijkheden voor kwalitatief onderzoek

Margré Nijkamp
14 mei 2020
Bekijk pagina

Nederlanders hebben weinig moeite met optie 'X' in paspoort

André Kamphuis
04 oktober 2022
Bekijk pagina

Waarom Nike’s anti-racismeadvertentie wel werkt - en die van Pepsi niet

Pieter Paul Verheggen
17 juni 2020
Bekijk pagina
Neem contact met ons op
Deze site wordt beschermd door reCAPTCHA en het Google privacybeleid en de servicevoorwaarden van Google zijn van toepassing.

Deze site wordt beschermd door reCAPTCHA en het Google privacybeleid en de servicevoorwaarden van Google zijn van toepassing.

Nieuwsbrief
Schrijf je in om up to date te blijven
Inschrijven
Expertise
Mentality
Methoden
Actualiteiten
Cases
Over ons
Werken bij
Contact
Privacy beleid
Algemene voorwaarden
Cookie policy

Copyright ©2024 Motivaction International B.V. All Rights Reserved

Powered by © Totoweb and Gonta Creative Agency