050 502 8888
Man loopt weg

Waarom je je scherm altijd moet vergrendelen op kantoor

Foto van Hylke Bosma met een beige achtergrond. Auteur blog

Hylke Bosma

Hoofd marketing

19 maart 2026
6 minuten om te lezen
Veel datalekken ontstaan niet alleen door hackers of zwakke software, maar ook door menselijk gedrag op de werkvloer. Een scherm dat niet wordt vergrendeld, geeft anderen direct toegang tot alles waar een medewerker op dat moment mee werkt. Dat maakt onbeheerde werkstations een groter risico dan vaak wordt gedacht. In deze blog kijken we naar de gevaren van open schermen, de mogelijke gevolgen voor organisaties en waarom een simpele gewoonte een groot verschil kan maken.

Op veel kantoren gebeurt het dagelijks: iemand staat even op om koffie te halen, een collega te helpen of snel een vergadering bij te wonen. De computer blijft aan staan, het scherm ontgrendeld. Het lijkt onschuldig en vaak denkt men: “Ik ben toch maar twee minuten weg.” Maar juist in die paar minuten kan er veel gebeuren. Waar organisaties vaak investeren in firewalls, antivirussoftware en complexe toegangscontroles, kan een onbeheerd scherm al deze beveiligingslagen in één klap omzeilen. Daarbij speelt ook mee dat acties die in zo’n situatie worden uitgevoerd, vaak niet direct opvallen. Alles gebeurt immers onder jouw account. Handelingen worden gelogd op jouw naam, waardoor achteraf lastig te achterhalen is wie er daadwerkelijk achter het apparaat zat.

Dit kan gevolgen hebben die verder gaan dan alleen het inzien van informatie. Denk aan het versturen van e-mails uit jouw naam, het aanpassen of verwijderen van bestanden, of het onbedoeld delen van gevoelige gegevens met externe partijen. In sommige gevallen kan dit zelfs leiden tot datalekmeldingen of reputatieschade voor de organisatie. Daarnaast ontstaat er een risico op keteneffecten. Als iemand via jouw sessie toegang krijgt tot andere systemen, kan de impact zich snel uitbreiden. Wat begint als een klein moment van onoplettendheid, kan daardoor uitgroeien tot een breder beveiligingsincident.

Praktijkvoorbeeld

 

Een praktijkvoorbeeld dat mij altijd is bijgebleven, komt nog uit mijn tijd in de retail. Ik liep langs een balie en zag dat de computer daar niet was vergrendeld. Op zich al niet ideaal, maar wat het extra opvallend maakte: er stond een klant achter die balie, die gewoon door het CRM-systeem zat te scrollen. Toen ik hem daarop aansprak, gaf hij heel nuchter aan: “Ja, er was niemand en ik had een vraag, dus ik dacht: ik zoek het zelf wel even op.” Vanuit zijn perspectief misschien logisch, maar ondertussen had hij wel volledige toegang tot systemen waar hij absoluut niet in hoort te zitten. Waarschijnlijk was het onschuldig bedoeld. Maar dat is precies het risico: intentie maakt in dit soort situaties eigenlijk niet uit.

In die paar minuten had er van alles kunnen gebeuren. Denk aan het aanpassen van gegevens of het plaatsen van een bestelling op eigen naam. Of het inzien en noteren van klantgegevens. Zelfs interne bedrijfsinformatie, zoals cijfers of orderhistorie, lag binnen handbereik. Het laat zien hoe klein het moment is waarop het mis kan gaan. Even je plek verlaten zonder je scherm te vergrendelen lijkt onschuldig, maar kan in de praktijk direct leiden tot datalekken of misbruik. Juist omdat het zo snel en ogenschijnlijk onschuldig gebeurt, wordt het risico vaak onderschat. Wat daarbij opviel: er was geen hack nodig. Alleen toegang tot een open, ingelogde computer. Dat soort situaties komen vaker voor dan veel organisaties denken. Niet omdat de beveiliging volledig ontbreekt, maar omdat menselijk gedrag een opening geeft die anders misschien gesloten was gebleven.

De feiten op een rijtje

Bij datalekken wordt vaak direct gedacht aan techniek: hackers, kwetsbaarheden of slechte wachtwoorden. In de praktijk speelt menselijk gedrag echter een minstens zo grote rol. Uit onderzoek van Verizon blijkt dat in ongeveer 60% van de onderzochte datalekken een menselijke factor meespeelt. Dat zie je ook terug op de werkvloer. In een onderzoek van CareerBuilder gaf meer dan de helft van de werknemers aan hun computer niet te vergrendelen wanneer ze hun werkplek verlaten. Het risico wordt pas echt concreet als je kijkt naar hoe snel iets mis kan gaan. In de praktijk zijn een paar minuten al voldoende om ongewenste toegang te krijgen tot systemen en gegevens. We hebben dit ook intern voorgelegd aan onze trainers. Hun ervaringen laten zien dat het niet gaat om theoretische risico’s, maar om situaties die daadwerkelijk kunnen voorkomen:

  • Binnen 30 seconden

    Iemand die langsloopt, hoeft vaak niet eens te gaan zitten om al informatie op te vangen. Openstaande e-mails, klantgegevens of interne documenten zijn direct zichtbaar. Zeker op drukke werkvloeren kan dit al leiden tot het onbedoeld delen van vertrouwelijke informatie, puur doordat het scherm nog open staat.

  • Binnen 1 minuut

    Wie even plaatsneemt achter het apparaat kan al snel handelingen uitvoeren. Denk aan het openen van een e-mail, het bekijken van bestanden of het doorsturen van informatie. Omdat alles al ingelogd is, zijn hier geen extra stappen of verificaties voor nodig.

  • Binnen 2 minuten

    In deze tijd kan iemand zich verder door systemen bewegen waarin je al bent aangemeld. Denk aan CRM-systemen, SharePoint-omgevingen of andere interne tools. Hierdoor wordt de toegang niet alleen breder, maar ook gevoeliger, omdat er vaak meer en diepere informatie beschikbaar is.

  • Binnen 5 minuten

    Er is voldoende tijd om daadwerkelijk wijzigingen door te voeren. Bestanden kunnen worden aangepast of verwijderd, gegevens kunnen worden geëxporteerd en acties kunnen worden uitgevoerd die impact hebben op processen of data. Omdat dit onder jouw account gebeurt, is het achteraf lastig te herleiden.

     

Niet elke situatie loopt meteen uit op misbruik, en niet op ieder apparaat is alles zomaar mogelijk. Maar dat is precies het punt: je hoeft geen uren weg te zijn voordat er risico ontstaat. Een paar minuten kan al genoeg zijn.

De gevolgen voor een organisatie

Voor een organisatie kunnen de gevolgen snel oplopen. Binnen de AVG wetgeving wordt ongeautoriseerde inzage in persoonsgegevens officieel al gezien als datatel. Als zo’n incident waarschijnlijk een risico oplevert voor de rechten en vrijheden van betrokkenen, moet het in principe binnen 72 uur worden gemeld. Geloof me maar als ik zeg dat dit geen uitzondering is. De Autoriteit Persoonsgegevens verwerkte in 2024 bijna 40.000 datalekmeldingen.

De impact is bovendien niet alleen juridisch, maar ook financieel en operationeel. Volgens het IBM liggen de gemiddelde wereldwijde kosten van een datalek in 2025 op 4,44 miljoen dollar per bedrijf dat met een datalek te maken krijgt.

Die kosten zitten niet alleen in boetes. Ze ontstaan juist in de hele nasleep eromheen. Denk aan onderzoek naar het incident, het herstellen van systemen, het informeren van betrokkenen, juridische ondersteuning en het verlies van vertrouwen bij klanten en partners. Vaak komt daar ook nog interne tijd bij kijken van medewerkers en management die zich moeten bezighouden met de afhandeling.

Loopt jouw organisatie gevaar?

En geloof me… niet elke situatie loopt meteen uit op misbruik, en niet op ieder apparaat is alles zomaar mogelijk. Maar dat is precies het punt: je hoeft geen uren weg te zijn voordat er risico ontstaat. Het probleem zit hem vooral in dat organisaties denken dat ze geen interessant doelwit zijn. Dat is een misvatting. Vrijwel elk bedrijf beschikt over informatie die waarde heeft. Denk aan klantgegevens, offertes, facturen, interne communicatie of accounts die toegang geven tot meerdere systemen.

De vraag is dan ook niet óf die informatie interessant is, maar voor wie. Stel jezelf eens de vraag:
Zou het direct opvallen als iemand achter een open laptop plaatsneemt en even meekijkt? In een retailomgeving staan systemen vaak al dicht bij klanten. Een balie is toegankelijk, er is beweging en aandacht ligt ergens anders. Iemand die even op een scherm kijkt, valt daar niet altijd direct op.

In een kantooromgeving lijkt het misschien veiliger, maar ook daar geldt: mensen lopen in en uit, zitten op flexplekken of wachten even bij een bureau. Als iemand kort achter een laptop zit, wordt dat lang niet altijd direct opgemerkt — zeker niet als het “lijkt te kloppen”. Juist dat maakt het risico zo verraderlijk. Het gaat niet om iemand die zichtbaar iets verkeerd doet, maar om momenten die normaal ogen.

Een open werkplek, een onbeheerde laptop en een actieve sessie. Meer is er vaak niet nodig. Daarvoor hoeft een organisatie niet groot te zijn. Toegang tot bruikbare informatie is vaak al voldoende. Het risico zit dus niet alleen bij grote bedrijven, maar overal waar met informatie wordt gewerkt. En precies daar kan een open scherm het verschil maken.

Bewustwording maakt het verschil.

Op het moment dat medewerkers zich realiseren dat een open scherm eigenlijk hetzelfde is als een open voordeur, verandert er iets.

Zodra mensen dit begrijpen, wordt vergrendelen geen ”moetje” meer, maar gewoon onderdeel van je routine. Juist daar ligt de grootste winst. Niet in complexe maatregelen, maar in simpele gewoontes die dagelijks worden toegepast. Daarom zijn wij het initiatief Sluitjeschermaf.nl gestart. Met dit initiatief willen we organisaties en medewerkers bewust maken van de risico’s van onbeheerde schermen en laten zien hoe eenvoudig het is om die risico’s te verkleinen.

Bekijk hier onze Cybersecurity trainingen

  • Twee mannen en twee vrouwen volgen een training.
    Swipe voor meer
    Certified Security Awareness 1 en 2 Workshop (CSA 1 en 2)
    • 1 dag
    Deze training heeft als doel om jou bewust te maken van de verschillende soorten cyberbedreigingen waarmee jij te maken kunt krijgen en om jou te voorzien van praktische kennis en vaardigheden om deze bedreigingen te herkennen en te voorkomen.
    Bekijk deze training
  • Vier mannen volgen een training.
    Swipe voor meer
    Certified Security Awareness 1 and 2 (CSA 1 and 2) E-Learning and Exam
    • 2 dagen
    This self-study package from Mile2 contains: Course video, e-book, e-prep Guide, Exam Simulator, 1 Year Courseware Access and 1 Year Exam Voucher. This self-study package is suitable for anyone that uses a computer on the internet. CSA 1 provides the fundamental knowlegde of cyber security. CSA2 fol
    Bekijk deze training
  • Twee mannen en twee vrouwen volgen een klassikale training.
    Swipe voor meer
    Microsoft Security, Compliance, and Identity Fundamentals (SC-900)
    • 1 dag
    De Microsoft Security, Compliance, and Identity Fundamentals (SC-900) training biedt een stevige basis voor iedereen die zich wil verdiepen in cybersecurity en identiteitsbeheer. Deze SC-900 cursus is de ideale eerste stap om je kennis van deze essentiële onderwerpen te vergroten en je voor te bere
    Bekijk deze training
Bekijk alle trainingen

Op de hoogte blijven van de laatste IT ontwikkelingen? Schrijf je dan in voor onze nieuwsbrief.

© 2026 Startel

Terugbelverzoek

Wil je meer weten, maar nu even geen tijd?

Laat je gegevens achter, dan nemen wij binnen 2 werkdagen contact met je op

Dé IT-opleider van het noorden

  • Klanten geven ons een 9.2
  • Erkende trainers
  • Ontvang een certificaat na deelname
  • Train op één van onze drie locaties of vanuit huis

Terugbelverzoek

Vul hieronder jouw gegevens in, zodat wij telefonisch contact met je kunnen opnemen.

"*" geeft vereiste velden aan

Laat ons jou terugbellen
Velden met een * zijn verplicht

Vragen of direct contact nodig, bezoek onze contactpagina.

Eliano Patty.

Eliano Patty

Hoofd sales