Guides

Alert fatigue bij MSP’s: het probleem zit niet in de alerts

~12 min leestijd

Alert fatigue bij managed service providers ontstaat wanneer het volume aan monitoring-meldingen de capaciteit van het team structureel overstijgt, waardoor kritieke alerts verdrinken in operationele ruis. Het probleem is niet dat MSPs te weinig filteren — het probleem is dat elke melding die wél relevant is, alsnog handmatig moet worden afgehandeld. Zolang de response-cyclus niet verandert, verschuift threshold-tuning alleen de grens van welke incidenten je mist.

1. Wat is alert fatigue, concreet?

Alert fatigue is het verschijnsel waarbij engineers meldingen gaan negeren, vertragen of structureel deprioriteren — niet uit onwil, maar omdat het volume aan alerts de cognitieve capaciteit overschrijdt. Het onderscheid met “druk zijn” is belangrijk: een druk team werkt veel maar behoudt overzicht. Een team met alert fatigue verliest het vermogen om onderscheid te maken tussen urgente en niet-urgente meldingen. Het resultaat is een vorm van monitoring overload die niet wordt opgelost door harder werken.

Bij MSPs is het effect versterkt door multi-tenancy. Een interne IT-afdeling beheert één omgeving. Een MSP met vijftig klanten beheert vijftig omgevingen die elk hun eigen monitoring-thresholds, baseline-waarden en ruis-patronen hebben. Die multiplicatie maakt alert fatigue bij MSPs een structureel probleem, niet een incidenteel piekmoment.

Herkenbare signalen:

Engineers scrollen door alertlijsten zonder de individuele meldingen te lezen
Meldingen worden in bulk gesloten aan het einde van de dag zonder triage
Herhaalincidenten worden pas opgepakt als de klant belt
Nieuwe engineers worden binnen weken gedesensibiliseerd voor de meldingenstroom
Het team ontwikkelt informele regels die nergens zijn vastgelegd

2. Waarom standaardoplossingen niet werken

De gangbare aanpak bij alert fatigue bestaat uit drie stappen: thresholds aanscherpen, alerts categoriseren op severity, en deduplicatie inschakelen. Die stappen zijn niet verkeerd — ze zijn onvolledig.

Threshold-tuning verplaatst de grens, niet het probleem

Als je de CPU-threshold van 80% naar 90% zet, krijg je minder meldingen. Maar de incidenten die je wél krijgt, vereisen nog steeds dezelfde handmatige response. Je hebt het volume verlaagd en de druk per melding verhoogd.

Severity-categorisatie werkt tot het niet meer werkt

In theorie reageert het team alleen op “critical” en “high.” In de praktijk escaleert de klant alsnog bij een “medium” die hun primaire applicatie raakt. Het resultaat: engineers behandelen alle severity-niveaus alsof ze critical zijn, waarmee de categorisatie functioneel verdwijnt.

Deduplicatie lost herhaling op, niet frequentie

Dezelfde disk-full alert vijf keer per uur ontvangen is een deduplicatieprobleem. Vijftig verschillende disk-full alerts voor vijftig klanten per dag — een alert storm die elke ochtend opnieuw begint — is een capaciteitsprobleem. Deduplicatie helpt bij het eerste, niet bij het tweede.

Het gemeenschappelijke probleem: alle drie de maatregelen optimaliseren het ontvangen van alerts. Geen van de drie verandert iets aan het afhandelen. En het afhandelen is waar de tijd verdwijnt. Beter alert management begint niet bij de inbox, maar bij de vraag wat er na de melding gebeurt.

3. De economie van een genegeerde alert

Alert fatigue heeft directe kosten die zelden worden gemeten omdat ze verspreid zitten over meerdere kostenposten.

Reactietijd loopt op

Een engineer die tweehonderd meldingen per dag verwerkt, heeft meer tijd nodig per melding dan een engineer die er dertig verwerkt — niet omdat de meldingen complexer zijn, maar omdat de cognitieve belasting van triage stijgt met het volume. Elke melding vereist een micro-beslissing: lezen, beoordelen, handelen of negeren. Die beslissingen kosten aandacht, en aandacht is eindig.

Herhaalincidenten genereren herhaaltickets

Als een disk-full-situatie bij een klant elke week terugkomt en elke keer handmatig wordt opgelost (schijf opschonen, logs roteren, temp-bestanden verwijderen), dan is dat geen incident meer — het is een operationele inefficiëntie die maandelijks uren kost. Bij vijftig klanten worden die uren een FTE.

Escalaties zijn duurder dan preventie

Een melding die op tijd wordt opgepakt, kost vijf tot vijftien minuten. Dezelfde melding die wordt gemist en tot een outage leidt, kost uren — plus de klantcommunicatie, de root cause analysis, en het vertrouwensherstel. De verhouding is niet lineair maar exponentieel.

Verloop en onboarding

Alert fatigue is een van de meest genoemde redenen voor burnout bij operations-engineers. Het vervangen van een vertrokken engineer kost wervingskosten, onboardingtijd, en productiviteitsverlies gedurende de inwerkperiode. Die kosten worden zelden teruggerekend naar de meldingenstroom die het verloop veroorzaakte.

Illustratieve rekensom

Een MSP met 40 klanten ontvangt gemiddeld 120 relevante alerts per dag. Als iedere alert gemiddeld 4 minuten triage en afhandeling vereist, kost dat 480 minuten per dag — 40 uur per week — ongeveer 1 FTE aan capaciteit. Zelfs wanneer slechts 25% van deze meldingen geautomatiseerd kan worden afgehandeld, ontstaat al een capaciteitswinst van circa 10 uur per week. Dit zijn richtgetallen, geen harde grenswaarden — maar de orde van grootte is herkenbaar voor elke MSP die met monitoring werkt.

4. Het echte probleem: monitoring zonder response-automatisering

De kern van alert fatigue bij MSPs is niet dat er te veel alerts zijn. Het is dat er te veel alerts zijn die handmatig moeten worden afgehandeld.

Een monitoring-stack die detecteert maar niet handelt, duwt elk gedetecteerd probleem naar een mens. Bij een beperkt aantal meldingen is dat werkbaar. Bij schaal — meer klanten, meer omgevingen, meer endpoints — ontstaat onvermijdelijk een kloof tussen het volume aan detectie en de capaciteit voor response.

Die kloof ís alert fatigue.

De oplossing zit niet in minder detecteren (dan mis je incidenten) en niet in meer mensen (dan stijgen je kosten sneller dan je omzet). De oplossing zit in het automatiseren van de response voor incidenten die voorspelbaar zijn en een bekende oplossing hebben.

Dat is geen theoretisch idee. De meeste tier-1 incidenten bij MSPs zijn herhaalbaar: service herstart, disk cleanup, certificate renewal, DNS flush, reboot na patch. Het zijn taken die engineers elke dag handmatig uitvoeren, niet omdat ze complex zijn, maar omdat er geen mechanisme is dat ze automatisch afhandelt.

In de context van policy-driven remediation betekent dit: voor elke melding die een bekende oplossing heeft, leg je een policy vast die de oplossing automatisch uitvoert. Het alert verdwijnt niet — het wordt afgehandeld voordat een mens het hoeft te zien.

5. De alert-fatigue-ladder: vier niveaus van volwassenheid

Niet elke MSP zit in dezelfde fase. Het is nuttig om alert fatigue te beoordelen langs een volwassenheidsmodel:

01

Niveau 1 — Alle meldingen, geen structuur

Elke monitoring-tool stuurt alerts naar dezelfde inbox of hetzelfde Slack-kanaal. Geen severity-indeling, geen routing, geen eigenaarschap. Engineers pakken op wat ze toevallig zien. Dit is het stadium waarin de meeste nieuwe MSPs starten en waarin alert fatigue het snelst toeslaat.

02

Niveau 2 — Gefilterd en gecategoriseerd

Thresholds zijn afgesteld, alerts zijn gecategoriseerd op severity, en er is een basis-routering naar de juiste persoon of het juiste team. De ruis is verminderd. Maar elke relevante melding vereist nog steeds handmatige actie. Dit is waar de meeste Nederlandse mkb-MSPs zich bevinden — en waar ze vastlopen.

03

Niveau 3 — Gestandaardiseerde response

Voor de meest voorkomende incidenttypen bestaan runbooks: vastgelegde procedures die beschrijven wat een engineer moet doen. De response is consistent, maar nog steeds handmatig. De winst zit in snelheid en kwaliteit, niet in capaciteit.

04

Niveau 4 — Geautomatiseerde response

De runbooks uit niveau 3 zijn omgezet naar policies die automatisch worden uitgevoerd bij het juiste type melding. De engineer wordt pas betrokken als de geautomatiseerde actie niet slaagt of als het incident buiten de policy valt. Het alert-volume voor het team daalt structureel, niet door minder te detecteren, maar door minder handmatig af te handelen.

De overgang van niveau 2 naar niveau 3 is een organisatievraagstuk (runbooks documenteren, processen standaardiseren). De overgang van niveau 3 naar niveau 4 is een technologievraagstuk — en het scharnierpunt waar alert fatigue structureel verdwijnt. In de praktijk betekent die overgang dat monitoring-signalen direct worden gekoppeld aan vooraf gedefinieerde response-policies, zodat bekende incidenten worden afgehandeld zonder menselijke tussenkomst.

Niveau Kenmerk Bottleneck
1 — Chaos Alle meldingen, geen structuur Overzicht
2 — Filtering Gecategoriseerd en gerouteerd Capaciteit
3 — Runbooks Gestandaardiseerde response Handmatige uitvoering
4 — Policies Geautomatiseerde response Governance

6. Waarom veel MSP’s niet voorbij niveau 3 komen

De grootste blokkade bij de stap van niveau 3 naar niveau 4 is vaak niet technologie maar governance. Veel organisaties weten welke incidenten geautomatiseerd kunnen worden afgehandeld, maar hebben geen vastgelegd beleid over wanneer automatische acties zijn toegestaan en wanneer menselijke goedkeuring vereist blijft.

De vragen die onbeantwoord blijven zijn steeds dezelfde: wie mag een automatische reboot autoriseren? Welke klanten staan autonome acties toe en welke niet? Wanneer moet een engineer goedkeuring geven voordat een policy uitvoert? Wat gebeurt er als een geautomatiseerde actie faalt — wie is dan verantwoordelijk?

Zonder antwoorden op die vragen blijven runbooks bestaan als documenten die engineers handmatig volgen, zonder ooit door te groeien naar geautomatiseerde uitvoering. Het resultaat is een operatie die de kennis heeft om te automatiseren, maar niet de governance om het daadwerkelijk te doen. Dat patroon is herkenbaar bij de meeste mkb-MSPs — en het is een organisatorische blokkade, geen technische.

7. Wat alert fatigue zegt over je operatie

Alert fatigue is een diagnostisch signaal. Het vertelt je iets over de volwassenheid van je operatie — niet alleen over de configuratie van je monitoring.

Als je team structureel tientallen alerts per dag per engineer verwerkt, heb je waarschijnlijk geen threshold-probleem maar een automatiseringsgat. De meldingen zijn relevant, maar de response is handmatig.

Als herhaalincidenten een substantieel deel van je ticketvolume uitmaken, heb je geen incident-probleem maar een structuurprobleem. Dezelfde problemen komen terug omdat de oplossing niet is geautomatiseerd.

Als je engineers informele regels hebben voor welke alerts ze negeren, heb je een governance-probleem. Er is geen gedeeld beleid over wat wél en niet wordt afgehandeld — en de beslissing is gedelegeerd aan individuele engineers onder druk.

Als nieuwe engineers binnen twee weken dezelfde negeerpatronen overnemen, is alert fatigue ingebakken in je cultuur. Het is geen individueel probleem meer maar een operationeel systeem dat zichzelf in stand houdt.

In elk van deze gevallen is de oplossing niet “beter filteren” maar een stap terug nemen en de vraag stellen: welke meldingen worden herhaaldelijk handmatig afgehandeld, en welke daarvan hebben een oplossing die standaard genoeg is om te automatiseren?

8. De verbinding met margedruk

Alert fatigue is geen geïsoleerd operationeel probleem. Het raakt direct aan de marge van een MSP.

MSPs werken doorgaans met vaste maandelijkse contracten. De omzet per klant is voorspelbaar; de kosten zijn het niet. Elke minuut die een engineer besteedt aan het handmatig afhandelen van een herhaalbaar incident is directe marge-erosie.

De rekensom is simpel: als een team van vier engineers gemiddeld twee uur per dag besteedt aan meldingen die geautomatiseerd hadden kunnen worden, dan is dat veertig uur per week — een volledige FTE aan capaciteit die opgaat aan werk dat geen mens hoeft te doen.

Dat is geen efficiëntieprobleem. Dat is een businessmodel-probleem.

Meer engineers aannemen — kosten stijgen, contractomzet blijft gelijk
Minder klanten aannemen — omzet daalt
Meldingen negeren — kwaliteit daalt

De vierde optie — de response automatiseren voor de incidenten die zich lenen voor automatisering — verandert de kostenstructuur structureel. Niet door minder te monitoren, maar door minder handmatig te handelen. Dat is de kern van wat ticketvolume verlagen in de praktijk betekent.

9. Veelgestelde vragen

Hoeveel alerts per dag is normaal voor een MSP?

Er is geen universeel getal, maar veel MSPs met tientallen klanten ontvangen dagelijks honderden tot duizenden monitoringmeldingen. Het relevante getal is niet het totale volume maar het percentage dat daadwerkelijk menselijke actie vereist. Als dat percentage boven de vijftig procent ligt, is er ruimte voor structurele verbetering.

Is alert fatigue hetzelfde als te veel monitoring?

Nee. Het tegenovergestelde kan waar zijn: te weinig monitoring creëert blinde vlekken die tot grotere incidenten leiden. Alert fatigue ontstaat niet door teveel detectie, maar door te weinig geautomatiseerde response. De monitoring is niet het probleem — de afwezigheid van actie na de melding is het probleem.

Helpt het om alerts naar een apart kanaal te routeren?

Routering helpt bij het organiseren van de stroom, niet bij het verkleinen ervan. Als je honderd meldingen per dag naar drie kanalen routeert, heb je drie kleinere stromen die samen nog steeds honderd meldingen bevatten. Het is een nuttige tussenstap — het is geen oplossing.

Kunnen we niet gewoon meer engineers aannemen?

Dat kan, maar het schaalt niet. Elke extra engineer verhoogt je operationele kosten terwijl je contractomzet gelijk blijft. Bovendien lost het het structurele probleem niet op: de nieuwe engineer gaat dezelfde herhaalbare taken handmatig uitvoeren. Je koopt tijd, geen oplossing.

Wat is het verschil tussen alert fatigue en burnout?

Alert fatigue is een specifieke vorm van cognitieve overbelasting gerelateerd aan meldingsvolume. Burnout is breder en omvat factoren als werkdruk, autonomie, en organisatiecultuur. Alert fatigue kan bijdragen aan burnout, maar burnout kan ook bestaan zonder alert fatigue. Het onderscheid is relevant omdat de interventies verschillen: alert fatigue los je op met operationele en technische maatregelen, burnout vereist ook organisatorische aanpak.

Wat is de eerste stap om alert fatigue structureel aan te pakken?

Begin met meten. Tel een week lang hoeveel meldingen je team ontvangt, hoeveel daarvan handmatige actie vereisen, en hoeveel daarvan herhaalincidenten zijn. Die drie getallen vertellen je of je een filterprobleem hebt (veel irrelevante meldingen), een automatiseringsprobleem (veel relevante meldingen die handmatig worden afgehandeld), of een structuurprobleem (veel herhaalincidenten). De aanpak volgt uit de diagnose.

Hoe UptimePilot hier past

UptimePilot is gebouwd rond de hypothese dat alert fatigue bij MSPs geen notificatieprobleem is, maar een response-probleem.

Het platform werkt volgens het Detect. Decide. Act. principe: monitoring-signalen worden gekoppeld aan vooraf gedefinieerde policies die bepalen of en hoe er automatisch wordt gehandeld. De engineer wordt pas betrokken wanneer de geautomatiseerde response niet slaagt of wanneer het incident buiten de scope van bestaande policies valt.

Minder escalaties — meldingen met een bekende oplossing worden afgehandeld voordat ze het ticketsysteem bereiken
Dezelfde monitoring-kwaliteit — het alert-volume daalt niet door minder te detecteren, maar door minder te escaleren
Focus op echte complexiteit — wat overblijft zijn de incidenten die daadwerkelijk menselijke expertise vereisen
Zie ook: Wat is policy-driven remediation? · Detect. Decide. Act. — het principe achter response-automatisering · Ticketvolume verlagen zonder klantervaring te schaden

Infra Health Report

Hoe scoort jouw operatie op alert-volume en response-automatisering?

De meeste MSPs weten hoeveel tickets ze verwerken. Veel minder MSPs weten hoeveel tijd verloren gaat aan herhaalalerts en handmatige response. Hoe langer alert fatigue onderdeel wordt van de dagelijkse operatie, hoe moeilijker het wordt om onderscheid te maken tussen ruis en echte risico’s.

Vraag een Infra Health Report aan →