De digitale veiligheid van burgers is nog steeds een groot probleem. Het aantal slachtoffers van online bedreiging, bankhelpdeskfraude en hacking blijft toenemen, ondanks de diverse publiekcampagnes van de overheid en particuliere organisaties om de burger weerbaarder te maken. De CSR heeft naar de effecten van deze campagnes uitgebreid bronnenonderzoek uitgevoerd. De belangrijkste bevindingen zijn:

  • Preventie: er bestaat een structurele kloof tussen wat burgers zeggen te doen en wat zij daadwerkelijk doen. Waar campagnes zijn geëvalueerd op gedragsuitkomsten, is geen direct substantieel effect gevonden met gebruikte meetwaarden. Technische interventies (verplichte tweefactorauthenticatie, security by design) zijn effectiever.
  • Slachtofferschap en meldingsgedrag: slechts 7 tot 17 procent van de slachtoffers doet aangifte. De kloof tussen intentie en gedrag is groot (65% vs. 13–14%). Het meldpuntenlandschap telt meer dan 30 organisaties zonder centrale regie. Meer dan de helft van de slachtoffers herkent zichzelf niet als slachtoffer van een strafbaar feit.
  • Handelingsperspectief: het overheidsaanbod na een cyberincident sluit niet aan op de hulpvraag van het slachtoffer. Voor het bedrijfsleven bestaat het NCSC/DTC-loket; voor burgers ontbreekt een vergelijkbare voorziening.

Deze bevindingen zijn reden voor de CSR om een advies over digitale veiligheid van burgers te ontwikkelen, met als voorlopige onderdelen:

  1. Weerbaarheid: naast een effectievere coördinatie van bewustwording en campagnes op het juiste moment ook een grotere focus op technische interventies en achtergrondbescherming, met bijzondere aandacht voor kwetsbare doelgroepen en kwetsbare momenten.
  2. Slachtofferschap en meldgedrag: het verkleinen van de kans dat burgers indirect slachtoffer worden door onvoldoende gegevensbescherming bij bedrijven en overheden, inclusief de spanning tussen dataminimalisatie en wettelijke bewaarplichten.
  3. Nazorg: het verbeteren van zicht op incidenten en het wegnemen van drempels in het gefragmenteerde meldlandschap, met aandacht voor de doorwerking in de strafrechtketen. Het bieden van concrete, vindbare hulp en advies aan burgers die slachtoffer zijn geworden.
  4. Datalekken: bij een datalek meer verantwoordelijkheid leggen bij de organisatie, niet het individu. Het versimpelen van compensatiemechanismes voor mensen die slachtoffer zijn va neen datalek, met aandacht voor kwetsbare personen en mensen die onevenredig hard geraakt worden door een datalek.

Het adviestraject loopt nog. Het sluit aan bij meerdere beleidsinitiatieven, waaronder de Nederlandse Cybersecuritystrategie 2022–2028 (Pijler IV), de Nederlandse Digitaliseringsstrategie, de Integrale Aanpak Online Fraude, de Cyber Resilience Act en lopende trajecten van de ministeries van Justitie en Veiligheid en Binnenlandse Zaken en Koninkrijksrelaties.