De kunst van het foutenrapportage: van schuldvraag naar leermoment

In de traditionele wereld van cybersecurity en veiligheidsmanagement wordt een fout vaak gezien als een faalmoment. Iemand heeft niet opgelet, een procedure werd niet gevolgd, en de reflex is om te vragen: "wie heeft dit gedaan?" Dit is wat Erik Hollnagel 'Safety-I' noemt: de focus op het voorkomen van dat dingen misgaan, vaak door strengere regels en controle.

Maar er is een betere, veerkrachtigere manier. Laten we kijken hoe we foutenrapportage kunnen transformeren van een strafmaatregel naar een krachtig leermiddel, door de lens van Safety-II, flow en positieve psychologie.

Safety-II: kijk naar wat er wél goed gaat In Safety-II verschuiven we de focus van 'work-as-imagined' (hoe we denken dat het werk gedaan wordt) naar 'work-as-done' (hoe het werk in de praktijk écht gebeurt). Wanneer er een fout wordt gemaakt, is de mens zelden de enige oorzaak. De mens is vaak degene die het systeem op het laatste moment nog probeert recht te breien.

Een gerapporteerde fout is geen bewijs van incompetentie, maar een waardevol signaal over een zwakke plek in ons systeem, onze tooling of onze processen. Als we dit begrijpen, verandert de vraag van "wie is er fout?" naar "hoe heeft ons systeem deze persoon in een positie gebracht waarin deze keuze logisch leek, en hoe maken we het systeem veerkrachtiger?"

Flow en de friction van rapportage Positieve psychologie leert ons over het belang van 'flow': die staat van volledige absorptie en productiviteit waarin mensen hun beste werk leveren. Een fout melden mag deze flow niet onnodig breken.

Helaas zien we in de praktijk vaak het tegenovergestelde. Een medewerker ontdekt een beveiligingslek of een procesfout, maar wordt geconfronteerd met een ingewikkeld ticketingsysteem, lange formulieren en de angst voor een formele audit. Deze 'frictie' zorgt ervoor dat mensen besluiten hun mond te houden. Shadow IT en verborgen risico's zijn het directe gevolg van een rapportageproces dat te veel wrijft met de dagelijkse realiteit van de gebruiker.

Een goed meldsysteem is daarom laagdrempelig. Denk aan een simpele knop in de applicatie, een dedicated slack-kanaal, of een gesprek van vijf minuten met een vertrouwenspersoon. Maak het melden van een fout makkelijker dan het verbergen ervan.

Psychologische veiligheid als fundament Niets van dit alles werkt zonder psychologische veiligheid. Dit is het geloof dat je niet wordt gestraft of vernederd voor het uiten van ideeën, vragen, zorgen of fouten.

Als leidinggevende of security professional is je reactie op de eerste melding bepalend voor alle toekomstige meldingen. Reageer je met frustratie en een zoektocht naar de schuldige? Dan is de kraan dichtgedraaid. Reageer je met oprechte nieuwsgierigheid en dankbaarheid? Dan bouw je aan een cultuur van transparantie.

Een gemelde fout is geen falen, het is een geschenk aan de organisatie. Het is gratis data die ons helpt om een groter incident in de toekomst te voorkomen.

Praktische stappen naar een lerende organisatie Hoe brengen we dit in de praktijk?

  1. Maak melden moeiteloos: Zorg voor een rapportagemethode die past bij de flow van de medewerker. Geen lange formulieren, maar snelle, informele kanalen.
  2. Voer blameless post-mortems uit: Analyseer incidenten zonder namen te noemen. Focus op de opeenvolging van systeemkeuzes die tot de uitkomst leidden, niet op de persoon die de laatste handeling verrichtte.
  3. Vier het melden: Bedank mensen expliciet voor het aandragen van fouten of near-misses. Maak dit zichtbaar in teammeetings. Beloon de moed om transparant te zijn. John-Paul Archibald voorkom dat je te veel hoofdletters gebruikt. Dit is in het Nederlands niet gewoon
  4. Sluit de feedbackloop: Laat de melder altijd weten wat er met hun melding is gedaan. Als mensen zien dat hun melding leidt tot een daadwerkelijke verbetering in het systeem, zullen ze de volgende keer sneller geneigd zijn om opnieuw te melden.

Tot slot Veiligheid is niet de afwezigheid van fouten. Veiligheid is de aanwezigheid van het vermogen om te leren, aan te passen en veerkrachtig te blijven. Door foutenrapportage te benaderen vanuit empathie, flow en systeemdenken, bouwen we geen cultuur van angst, maar een cultuur van continue verbetering. En dat is de sterkste beveiliging die er bestaat.