Door bijvoorbeeld standaard veiligere opties aan te vinken, is de kans groter dat mensen ook daadwerkelijk de veilige keuze maken. Als gebruikers zelf moeten kiezen om tweestapsverificatie in te schakelen bij het inloggen in een applicatie, is de kans kleiner dat ze dit effectief doen. De nudge bestaat er hier uit om deze optie vooraf al aan te vinken.

Er zijn talloze nudges te bedenken. De volgende indeling in enkele categorieën kan helpen om te bepalen wat je in je eigen project kunt toepassen:

Als je informatie krijgt over wat relevante anderen kiezen, word je aangemoedigd om hetzelfde te doen. We verwijzen hierbij naar de beroemde (of beruchte?) experimenten van Solomon Asch uit de jaren 50 van de vorige eeuw. Daarin moesten proefpersonen lijnstukken vergelijken terwijl ze omringd waren door acteurs die opzettelijk het foute antwoord gaven. De groepsdruk zorgde ervoor dat veel proefpersonen dat foute antwoord overnamen. Normatieve sociale beïnvloeding is dus een krachtig mechanisme om gedrag te sturen of te veranderen.

Toon bijvoorbeeld hoeveel procent van de mensen een bepaalde, gewenste keuze maakt.

Een optie die vooraf al is aangevinkt, blijft vaak zo - uit gemakzucht. Dit is een bijzonder krachtige nudge die ondertussen goed gekend is en veel wordt toegepast. Denk aan het principe van safety by design, waarbij gebruikers veilige keuzes moeten uitvinken in plaats van ze zelf aan te zetten.

Wil je een minder veilige keuze maken, dan moet je daarvoor een extra handeling stellen.

Een voorbeeld van opt-in: de GDPR verplicht dat bezoekers van websites expliciet toestemming geven voor het gebruik van tracking cookies.

In veel landen buiten de EU is het omgekeerde het geval: de opt-out wordt toegepast. Cookies zijn daar standaard ingeschakeld en je moet ze actief verwijderen.

Een herkenbare en vaak vervelende opt-out is het automatisch inschakelen van het ontvangen van nieuwsbrieven of promotionele e-mails.

Door onmiddellijk te tonen wat een veiligere keuze is, vergroot je de kans dat mensen die keuze ook maken.

Denk bijvoorbeeld aan het tonen van de sterkte van een wachtwoord (los van de verplichte samenstelling, die vaak als storend wordt ervaren).

Over het algemeen is het geven van directe feedback een sterk gedragssturend principe. Zo hebben we in een team van ingenieurs het aantal gemaakte technische offertes per dag aanzienlijk verhoogd door simpelweg een teller toe te voegen die elke dag op nul begint. In een andere situatie konden we het gsm-gebruik (toen dat nog duur was) verminderen door het maandelijkse gebruik anoniem terug te koppelen aan alle gebruikers. Mensen konden zichzelf zo vergelijken met de groep – dat alleen al leidde tot gedragsverandering.

Bijvoorbeeld door applicaties logisch te ordenen, eventueel met kleurcodering op basis van veiligheidsrisico’s.
Of door de meest veilige keuze visueel het meest aantrekkelijk te maken, zoals via een grote, opvallend gekleurde knop voor automatische updates.

Nudging werkt – al is het geen wondermiddel. Een gedragsgerichte aanpak van cybersecurity vereist ook aandacht voor andere aspecten van gedrag en gedragsverandering. Daar komen we zeker nog op terug.

Ons advies: denk bij het ontwerpen van systemen goed na over welk gedrag je wil uitlokken en zoek daarbij gericht naar nudges die dit gedrag ondersteunen.

Omgekeerd raden we af om uitsluitend in te zetten op regels en verplichtingen. Dit kan werken, maar vereist doorgaans meer volgehouden inspanning en handhaving.

Tot slot: ook ethische vragen zijn relevant bij het gebruik van nudging. Waar ligt de grens met manipulatie? Over dit onderwerp bestaan uiteenlopende meningen. Denk hierover na en lok een visie hierover uit binnen je organisatie.

• Kennisartikels Cyber Response Team(opent in nieuw venster)