Kantyra Kantyra

← Alle artikelen

Oplossen

Verandert awarenesstraining het gedrag echt?

Alain Rees · 10-07-2026 · 7 min leestijd

Vrijwel elke organisatie heeft een jaarlijkse awarenesstraining, een phishingsimulatie per kwartaal en een poster bij de koffieautomaat. De vraag die daar zelden bij wordt gesteld, is of het gedrag erdoor verandert. De afgelopen jaren is die vraag eindelijk op grote schaal onderzocht, met tienduizenden medewerkers in echte organisaties, en het antwoord is ontnuchterend. Voor de gangbare aanpak, de jaarlijkse verplichte training met een lesje na elke misklik, vindt het onderzoek nauwelijks effect. Voor een paar andere aanpakken vindt het dat juist wel. Opvallend veel van dit onderzoek komt bovendien van Nederlandse universiteiten.

Dit artikel hoort bij de fase Oplossen uit het model achter Kantyra. Gedrag is een maatregel, en net als elke maatregel moet hij niet alleen bestaan maar ook werken.

Waarom weet iedereen na de training hoe het moet, en klikt er toch iemand?

Het fundamentele probleem heet de kloof tussen kennis en gedrag. Maria Bada, Angela Sasse en Jason Nurse analyseerden waarom awarenesscampagnes falen en kwamen tot een simpele diagnose. Weten wat veilig is vertaalt zich niet vanzelf in veilig doen, en campagnes die vooral bang maken werken eerder averechts. Het Australische valideringsonderzoek rond de HAIS-Q, een veelgebruikte vragenlijst die kennis, houding en gedrag afzonderlijk meet, bevestigt dat beeld. Kennis van het beleid hangt sterker samen met houding dan met gedrag. Wie na de training alleen de kennis toetst, meet dus het verkeerde.

Tommy van Steen van de Universiteit Leiden legde met collega's de vinger op de oorzaak. Zij analyseerden zeventien awarenesscampagnes van overheden met het instrumentarium van de gedragswetenschap en stelden vast dat die campagnes vrijwel volledig leunen op informatie geven, terwijl ze de bewezen technieken voor gedragsverandering nauwelijks benutten. De meeste awareness is, kortom, niet ontworpen om gedrag te veranderen. Dan is het geen verrassing dat zij dat ook niet doet.

Wat zeggen de grote veldstudies?

Twee recente studies, allebei uitgevoerd in echte organisaties over vele maanden, hebben de discussie op scherp gezet. Onderzoekers van de ETH Zürich volgden vijftien maanden lang ruim veertienduizend medewerkers van een groot bedrijf en testten de aanpak die vrijwel elke leverancier verkoopt, waarbij wie op een gesimuleerde phishingmail klikt ter plekke een lespagina krijgt. Het resultaat was dat die lesjes de klikkers niet beter maakten, en hen zelfs vatbaarder konden maken. Een vervolgstudie van hetzelfde team ontrafelde waarom. Het weinige effect van zulke simulaties komt van de periodieke herinnering dat phishing bestaat, en niet van de lesinhoud, die medewerkers door tijdgebrek nauwelijks lezen. Beloningen voor goed gedrag hielpen evenmin.

De tweede studie is zo mogelijk nog directer. Grant Ho en collega's voerden bij een grote Amerikaanse zorgorganisatie een acht maanden durend gerandomiseerd experiment uit onder ruim negentienduizend medewerkers en vonden geen significant verband tussen het recent afgerond hebben van de jaarlijkse awarenesstraining en de kans om voor een phishingsimulatie te vallen. Hun conclusie laat weinig ruimte. De gangbare anti-phishingtraining biedt in de praktijk waarschijnlijk weinig beschermende waarde.

Er was in het Zürichse onderzoek één uitgesproken positieve bevinding, en die is leerzaam. Een meldknop waarmee medewerkers verdachte mails konden doorsturen werkte wél. Het collectief van medewerkers bleek een snel en schaalbaar detectiemechanisme voor nieuwe phishingcampagnes, met beheersbare werklast voor het securityteam. De winst zat niet in het voorkomen van elke klik, maar in het vroeg zien van de aanval. Dat sluit naadloos aan op wat ik eerder schreef over meldgedrag.

Wat verandert het gedrag dan wél?

Het Nederlandse onderzoek geeft het antwoord meer reliëf. Jan-Willem Bullee en Marianne Junger van de Universiteit Twente voerden een meta-analyse uit over negentien studies met ruim drieëntwintigduizend deelnemers en vonden grote verschillen tussen interventies, want sommige werken goed en andere doen helemaal niets. Het patroon was steeds hetzelfde. Intensieve interventies verslaan lichte, en een smalle focus verslaat een breed verhaal. Eerder Twents veldonderzoek liet al zien dat vluchtige middelen falen. Waarschuwingen en het aanstippen van gevaren vlak voor het risicomoment verminderden het weggeven van persoonlijke gegevens niet, en konden dat zelfs vergroten. En een Twents experiment met anti-phishingles op basisscholen toonde het houdbaarheidsprobleem. Direct na de training steeg de herkenning duidelijk, maar na vier weken was het effect alweer verdwenen. Eén keer per jaar trainen is daarmee eerder een ritueel dan een maatregel.

Wat wél werkt, is actief en herhaald. Van Steen en Deeleman lieten zien dat een serious game niet alleen de houding maar ook het zelfgerapporteerde gedrag verbeterde, waar informatiefolders dat niet deden. Amerikaans onderzoek voegde daar een verrassende factor aan toe. Wie de boodschap brengt, doet ertoe. Feitelijke adviezen landden het best vanuit een security-expert, terwijl verhalen over incidenten juist het sterkst werkten wanneer collega's ze vertelden, mensen zoals jijzelf. De rode draad door dit alles is herhaling. Korte, gerichte prikkels met enige regelmaat verslaan de jaarlijkse zit van een uur.

Hoe maak je van awareness een gedragsstrategie?

De conclusie uit twintig jaar onderzoek is niet dat je moet stoppen met awareness, maar dat je moet stoppen met awareness als losstaande verplichting. Van Steen publiceerde daarvoor onlangs een bruikbaar vijfstappenkader. Begin bij het gedrag dat je wilt veranderen en niet bij het lesmateriaal dat je toevallig hebt, kies interventies met een bewezen werkzaam mechanisme, en meet gedrag in plaats van deelname. Dat is ook hoe ik er bij Kantyra naar kijk. Awareness is in het register een maatregel als elke andere, met een eigenaar, een effectiviteitstest en een testdatum. De vraag bij die test is niet of iedereen de e-learning heeft afgerond, maar of het gedrag verschuift: daalt het aantal geslaagde phishingpogingen, stijgt het aantal meldingen, en hoe snel komt de eerste melding van een nieuwe campagne binnen? Wie met een trainingspartner werkt, zoals wij met 2LRN4, kan die vragen ook gewoon aan de partner stellen; een goede partner wil erop afgerekend worden.

Wat betekent dit voor jouw organisatie?

Als je één ding uit dit artikel onthoudt, laat het dan zijn dat je awareness moet afrekenen op gedrag in plaats van op deelname. Stel jezelf drie vragen. Meet je na de training iets anders dan aanwezigheid en een kennisquiz? Stijgt het aantal gemelde verdachte mails, en hoe snel wordt een nieuwe phishingcampagne door je eigen mensen gesignaleerd? En als een awarenessactiviteit al twee jaar geen meetbaar gedragseffect laat zien, wat is dan de reden om haar te verlengen? Dezelfde euro's kunnen naar korte, gerichte en herhaalde interventies, naar een meldknop met snelle terugkoppeling, en naar technische maatregelen die de klik minder erg maken. Het onderzoek is daarover eensgezind. Liever een klein effect dat er echt is, dan een groot programma dat vooral geruststelt.

Verantwoording en bronnen

Dit artikel is een onderbouwde synthese van bestaand wetenschappelijk onderzoek en geen zelfstandig onderzoek dat door vakgenoten is beoordeeld. Waar ik duid of interpreteer, komt die interpretatie voor mijn rekening.

  1. Bullee, J.-W. & Junger, M. (2020). How effective are social engineering interventions? A meta-analysis. Information & Computer Security, 28(5). https://doi.org/10.1108/ICS-07-2019-0078
  2. Junger, M., Montoya, L. & Overink, F.J. (2017). Priming and warnings are not effective to prevent social engineering attacks. Computers in Human Behavior, 66. https://doi.org/10.1016/j.chb.2016.09.012
  3. Lastdrager, E., Carvajal Gallardo, I., Hartel, P. & Junger, M. (2017). How Effective is Anti-Phishing Training for Children? Proceedings of SOUPS 2017, USENIX. https://www.usenix.org/conference/soups2017/technical-sessions/presentation/lastdrager
  4. Van Steen, T., Norris, E., Atha, K. & Joinson, A. (2020). What (if any) behaviour change techniques do government-led cybersecurity awareness campaigns use? Journal of Cybersecurity, 6(1). https://doi.org/10.1093/cybsec/tyaa019
  5. Van Steen, T. & Deeleman, J.R.A. (2021). Successful Gamification of Cybersecurity Training. Cyberpsychology, Behavior, and Social Networking, 24(9). https://doi.org/10.1089/cyber.2020.0526
  6. Prümmer, J., Van Steen, T. & Van den Berg, B. (2024). A systematic review of current cybersecurity training methods. Computers & Security, 136. https://doi.org/10.1016/j.cose.2023.103585
  7. Van Steen, T. (2025). Developing a behavioural cybersecurity strategy: A five-step approach for organisations. Computer Standards & Interfaces, 92. https://doi.org/10.1016/j.csi.2024.103939
  8. Lain, D., Kostiainen, K. & Capkun, S. (2022). Phishing in Organizations: Findings from a Large-Scale and Long-Term Study. 2022 IEEE Symposium on Security and Privacy. https://doi.org/10.1109/SP46214.2022.9833766
  9. Ho, G. en anderen (2025). Understanding the Efficacy of Phishing Training in Practice. 2025 IEEE Symposium on Security and Privacy. https://doi.org/10.1109/SP61157.2025.00076
  10. Lain, D., Jost, T., Matetic, S., Kostiainen, K. & Capkun, S. (2024). Content, Nudges and Incentives: A Study on the Effectiveness and Perception of Embedded Phishing Training. Proceedings of ACM CCS 2024. https://doi.org/10.1145/3658644.3690348
  11. Bada, M., Sasse, A.M. & Nurse, J.R.C. (2019). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? arXiv. https://arxiv.org/abs/1901.02672
  12. Kirlappos, I. & Sasse, M.A. (2012). Security Education against Phishing: A Modest Proposal for a Major Rethink. IEEE Security & Privacy, 10(2). https://doi.org/10.1109/MSP.2011.179
  13. Parsons, K. en anderen (2017). The Human Aspects of Information Security Questionnaire (HAIS-Q): Two further validation studies. Computers & Security, 66. https://doi.org/10.1016/j.cose.2017.01.004
  14. Wash, R. & Cooper, M.M. (2018). Who Provides Phishing Training? Facts, Stories, and People Like Me. Proceedings of CHI 2018. https://doi.org/10.1145/3173574.3174066
Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Oplossen