2LRN4 security awareness platform
← Terug naar kennisbank

De deelnameparadox

Waarom verplichte security- en privacytraining de deelname omhoogbrengt maar het gedrag niet vanzelf verandert, en welke aanpak volgens de wetenschap wél werkt.

Recent bijgewerkt

Van inzicht naar actie

Ontdek hoe je dit onderwerp omzet in een concreet awarenessprogramma met training, phishing simulaties en heldere managementrapportage.

Plan demo Bekijk de primaire oplossingspagina
Alain Rees
Oprichter & Security Awareness Specialist · 2LRN4

In het kort

  1. Een verplichting verhoogt betrouwbaar het aantal medewerkers dat de training afrondt, maar de voltooiingsgraad is een maat voor activiteit en niet voor uitkomst. De winst die organisaties vieren, een voltooiing van bijna honderd procent, is niet de winst die zij zoeken, namelijk veiliger gedrag.
  2. Vrijwilligheid is geen alternatief. Zonder verplichting blijft de deelname zo laag dat er weinig valt te veranderen. De tegenstelling tussen moeten en willen is daarmee een schijntegenstelling: de verplichting levert het noodzakelijke bereik, maar doet het eigenlijke werk niet.
  3. Of de opgelegde deelname zich vertaalt naar gedrag, hangt af van het type motivatie dat de verplichting oproept. Dat type bepaal je met het ontwerp van de training, niet met de verplichting zelf. Een verplichting die de autonomie, de competentie en de verbondenheid van de medewerker ondersteunt, beweegt richting eigen keuze, terwijl een louter controlerende verplichting weerstand, vermoeidheid en het wegredeneren van regels in de hand werkt.

Verantwoording

Type
Literatuurstudie op basis van peer-reviewed onderzoek en gezaghebbende standaarden.
Bronnen
Een meta-analyse van 69 onderzoeken, grootschalige veldstudies, en empirisch werk uit de gedragswetenschap en de informatiebeveiliging, waaronder de zelfbeschikkingstheorie, de reactantietheorie, en onderzoek naar beveiligingsmoeheid en neutralisatie.
Peildatum
Juni 2026.

01 · BevindingDe deelname stijgt, de uitkomst beweegt niet mee

Een verplichting is een doeltreffend middel om de aantallen op orde te krijgen. Wie de jaarlijkse e-learning verplicht stelt en koppelt aan een herinnering en een afrondingstermijn, ziet de voltooiingsgraad vrijwel altijd richting honderd procent kruipen. Het ongemakkelijke is alleen dat die voltooiingsgraad iets anders meet dan waar het programma voor bedoeld is. De voltooiing laat zien dat de training heeft plaatsgevonden, niet dat het gedrag van de medewerker is veranderd. Het is een maat voor activiteit, terwijl het programma een uitkomst nastreeft.

Dat onderscheid is geen woordenspel, want het wordt door de cijfers bevestigd. De meta-analyse van 69 onderzoeken door de Universiteit Leiden laat zien dat training een groot effect heeft op de kennis en de houding van medewerkers, maar dat het gemiddelde effect op het feitelijke gedrag klein is (Prümmer, van Steen en van den Berg, 2024). Een medewerker kan de module dus volledig doorlopen, de quiz halen en aantoonbaar meer weten, zonder dat zijn of haar gedrag op het beslissende moment verandert. De voltooiing is reëel, de gedragsverandering blijft uit. Precies in dat gat valt de organisatie die honderd procent voltooiing rapporteert en daaruit afleidt dat het programma werkt.

Deze kloof tussen weten en doen is geen eigenaardigheid van security awareness, maar een bekend gegeven uit de gedragswetenschap. Het Behaviour Change Wheel maakt duidelijk dat kennis een voorwaarde is voor gedrag, maar op zichzelf niet genoeg. Naast het kunnen zijn ook de motivatie om het goede te doen en de gelegenheid daartoe nodig (Michie, van Stralen en West, 2011). Een verplichting raakt vooral aan de eerste voorwaarde, het overdragen van kennis, en laat de motivatie en de gelegenheid grotendeels onaangeroerd. Daarmee is meteen verklaard waarom de deelname kan stijgen terwijl de uitkomst stil blijft staan.

Groot effect op kennis, klein effect op gedrag

Effectgrootte (Cohen's d) van security awareness training

Figuur 1 Een groot effect op kennis en houding tegenover een klein gemiddeld effect op gedrag. De voltooiingsgraad benadert de linkerkolom, terwijl het programma de rechterkolom nastreeft. Bron: Prümmer, van Steen en van den Berg (2024). Cohen's d is een gestandaardiseerde maat voor de sterkte van een effect, waarbij ongeveer 0,2 klein is, 0,5 middelgroot en 0,8 groot.

02 · BevindingWaarom vrijwilligheid geen uitweg is

De voor de hand liggende reactie op het bovenstaande is om de dwang los te laten en in te zetten op vrijwilligheid, in de veronderstelling dat wie uit eigen beweging deelneemt, ook gemotiveerder leert. Het probleem is dat die redenering strandt op een eenvoudig feit: zonder verplichting neemt bijna niemand deel. In grootschalig veldonderzoek bleek dat vrijwillige, niet-verplichte training te weinig medewerkers bereikte om een meetbaar effect te kunnen hebben (Lain, Kostiainen en Čapkun, 2022). Wat niemand doet, kan ook niemands gedrag veranderen.

Daarmee komt de tegenstelling tussen moeten en willen in een ander licht te staan. Het is een schijntegenstelling. Vrijwilligheid bereikt te weinig mensen om iets te kunnen verschuiven, en een verplichting levert juist het bereik dat nodig is om überhaupt aan gedragsverandering te kunnen werken. De verplichting is in die zin geen kwaad dat je moet vermijden, maar een vloer die je nodig hebt. Het werkelijke probleem zit niet in de vraag of je verplicht stelt, maar in de stilzwijgende aanname die er vaak achter schuilgaat, namelijk dat de verplichting het werk doet. Zodra de deelname is afgedwongen, beschouwt de organisatie de opdracht als volbracht, terwijl het eigenlijke werk dan pas begint.

De juiste vraag is dus niet of de training verplicht moet zijn, maar wat een verplichting met de motivatie van de medewerker doet, en onder welke voorwaarden de afgedwongen deelname zich vertaalt naar ander gedrag.

03 · VerklaringWat een verplichting met de motivatie doet

Om te begrijpen waarom de ene verplichte training wel beklijft en de andere niet, is de zelfbeschikkingstheorie (self-determination theory) van Deci en Ryan een bruikbaar kader (Ryan en Deci, 2000). Die theorie onderscheidt motivatie niet simpelweg in veel of weinig, maar in soorten. Aan de ene kant staat gedrag dat volledig van buitenaf wordt afgedwongen, bijvoorbeeld omdat er anders een sanctie volgt. Aan de andere kant staat gedrag dat de medewerker als zijn of haar eigen keuze ervaart, omdat het aansluit bij wat hij of zij belangrijk vindt. Daartussen ligt een geleidelijke overgang die de theorie internalisatie noemt: het proces waarin iets dat aanvankelijk werd opgelegd, langzaam van de medewerker zelf gaat voelen.

De theorie wijst drie psychologische behoeften aan die deze internalisatie voeden. De eerste is autonomie, het gevoel dat je uit eigen wil handelt in plaats van dat het je wordt opgedrongen. De tweede is competentie, het gevoel dat je het kunt en dat je inspanning ergens toe leidt. De derde is verbondenheid, het gevoel deel uit te maken van een groter geheel waarin het gedrag betekenis heeft. Onderzoek naar de naleving van beveiligingsbeleid bevestigt dat deze drie behoeften de nalevingsintentie positief beïnvloeden, en dat medewerkers het beleid het duurzaamst volgen wanneer zij dat als hun eigen keuze ervaren (Alzahrani en Johnson, 2019).

Hier wordt ook zichtbaar waarom dwang een tweesnijdend zwaard is. Een verplichting kan de autonomie van de medewerker juist ondermijnen, en dan treedt het mechanisme op dat in de psychologie reactantie heet: een ervaren inperking van de eigen vrijheid roept weerstand op, en die weerstand richt zich tegen precies het gedrag dat werd opgelegd (Wall, Palvia en Lowry, 2013). De medewerker rondt de module dan wel af, want dat moet, maar het type motivatie dat eronder zit, blijft volledig extern. Zodra de druk wegvalt, valt ook het gedrag terug. Dat is de kern van de paradox: de verplichting koopt deelname, maar het type motivatie dat zij oproept, bepaalt of er na de aftiteling nog iets overblijft.

Het motivatiecontinuüm: van opgelegd naar eigen keuze

Naar de zelfbeschikkingstheorie (Ryan en Deci, 2000)

Figuur 2 Het continuüm van motivatie, van volledig opgelegd gedrag naar gedrag dat de medewerker als eigen keuze ervaart. Een verplichting plaatst de medewerker aan de linkerkant, en alleen een ontwerp dat de drie psychologische behoeften ondersteunt, beweegt hem of haar naar rechts. Naar Ryan en Deci (2000).

04 · VerklaringDe bijwerkingen van een louter controlerende aanpak

Wanneer een verplichting puur als controlemiddel wordt ingericht, dus als een lijst af te vinken modules met een sanctie aan het eind, treden er bijwerkingen op die het programma ondergraven. De eerste is beveiligingsmoeheid, in de literatuur bekend als security fatigue. Onderzoekers van het Amerikaanse normalisatie-instituut NIST beschreven hoe medewerkers, overladen met beveiligingseisen, een gevoel van berusting en verlies van controle ontwikkelen, waardoor zij beslissingen gaan vermijden en adviezen naast zich neerleggen (Stanton, Theofanos, Prettyman en Furman, 2016). Een verplichting die elk jaar opnieuw hetzelfde van iedereen eist, voedt precies die moeheid in plaats van de waakzaamheid.

De tweede bijwerking is subtieler en heet neutralisatie. Dit is het verschijnsel waarbij iemand een overtreding voor zichzelf goedpraat voordat hij of zij haar begaat, bijvoorbeeld met de gedachte dat het deze ene keer geen kwaad kan of dat de regel toch niet voor deze situatie is bedoeld (Sykes en Matza, 1957). In de informatiebeveiliging is neutralisatie een belangrijke voorspeller gebleken van het bewust overtreden van beveiligingsbeleid (Moody, Siponen en Pahnila, 2018). Het verband met dwang en moeheid is direct, want onderzoek laat zien dat de kans op zulk wegredeneren toeneemt naarmate de met beveiliging samenhangende stress en uitputting hoger oplopen (D'Arcy en Teh, 2019). Een programma dat vooral op druk en herhaling leunt, levert dus niet alleen moeheid op, maar reikt de medewerker ook de mentale ruimte aan om de regels alsnog te omzeilen.

Hier past wel een belangrijke nuance, want het bewijs over dwang en sancties is gemengd en niet eenduidig. Een deel van het onderzoek vindt dat een ervaren strafdreiging de nalevingsintentie juist verhoogt, terwijl een ander deel geen of zelfs een averechts verband aantreft. Een toonaangevende analyse van de afschrikkingsliteratuur concludeert dan ook dat de resultaten elkaar tegenspreken en sterk afhangen van de context (D'Arcy en Herath, 2011). De juiste conclusie is daarom niet dat dwang altijd averechts werkt, maar dat de motivatie die dwang oproept fragiel is, en dat een louter controlerende inrichting bijwerkingen heeft die de beoogde gedragsverandering ondermijnen.

Een veelgehoorde gedachte verdient hier een aparte kanttekening. Het idee dat medewerkers zich na het afronden van hun verplichte module als gevaccineerd wanen en daardoor juist minder alert worden, is aantrekkelijk en niet onaannemelijk, maar het ontbeert vooralsnog een stevige onderbouwing in het beveiligingsonderzoek. Het leunt op het bredere psychologische verschijnsel van morele licentie (moral licensing), dat in deze specifieke context nog niet hard is aangetoond. Wij nemen het daarom op als hypothese en niet als bevinding, en de wel onderbouwde mechanismen van beveiligingsmoeheid en neutralisatie dragen de redenering op dit punt voldoende.

05 · AanpakEen verplichting inrichten zodat de deelname gedrag wordt

Als de verplichting de vloer levert en het ontwerp het verschil maakt, dan ligt de opgave bij dat ontwerp. Het onderzoek wijst op een aantal keuzes die de afgedwongen deelname helpen omslaan in motivatie die de medewerker als eigen keuze ervaart.

  1. Leg uit waarom, niet alleen wat.Een verplichting die louter voorschrijft wat moet, ondersteunt de autonomie niet. Een toelichting die duidelijk maakt waarom het gedrag ertoe doet, juist voor deze medewerker en deze organisatie, helpt om de externe regel tot een eigen overtuiging te laten internaliseren (Ryan en Deci, 2000).
  2. Geef keuze waar het kan.De verplichting betreft het dát van de deelname, maar laat ruimte in het hoe en het wanneer. Enige zeggenschap over het moment, het tempo of de volgorde herstelt een deel van de autonomie zonder dat het bereik in gevaar komt.
  3. Maak het relevant per rol.Eén verplichte module voor de hele organisatie negeert dat de risico's en de context per functie verschillen. Inhoud die aansluit bij het dagelijkse werk versterkt zowel het gevoel van competentie als de ervaren relevantie, en daarmee de motivatie om het geleerde toe te passen.
  4. Bouw aan competentie in plaats van aan kennis alleen.Korte, herhaalde en op de praktijk afgestemde oefening werkt beter dan een lange jaarlijkse module, omdat zij het gevoel geeft dat je het kunt en de stof levend houdt zonder de medewerker uit te putten.
  5. Stuur op gedrag, niet op voltooiing.Zolang de organisatie de voltooiingsgraad als maatstaf neemt, optimaliseert zij voor de verkeerde uitkomst. Maatstaven die het feitelijke gedrag benaderen, zoals het melden van verdachte berichten of het correct omgaan met gegevens, houden het zicht op wat het programma werkelijk beoogt.

De rode draad onder deze keuzes is dat de verplichting wordt gebruikt om mensen binnen te krijgen, en het ontwerp om hen te bewegen. Een programma dat enkel op de verplichting leunt, laat de motivatie extern en daarmee vluchtig. Een programma dat de drie psychologische behoeften ondersteunt, geeft de afgedwongen deelname een kans om uit te groeien tot gedrag dat ook standhoudt wanneer niemand meer kijkt.

06 · ConclusieDe verplichting bepaalt de deelname, het ontwerp bepaalt de verandering

De deelnameparadox laat zich kort samenvatten. Een verplichting verhoogt betrouwbaar de deelname, maar deelname is niet het doel. Het doel is ander gedrag, en dat volgt niet vanzelf uit het afronden van een module. Vrijwilligheid is geen uitweg, want zij bereikt te weinig mensen om iets te kunnen veranderen. De verplichting bepaalt daarmee wie er in de zaal zit, terwijl het ontwerp van de training bepaalt of er iets verandert.

De tegenstelling tussen moeten en willen is dus vals. Het gaat niet om moeten of willen, maar om moeten en willen, verbonden door het proces van internalisatie. Een verplichting die de autonomie, de competentie en de verbondenheid van de medewerker ondersteunt, gebruikt de dwang als startpunt en niet als eindpunt, en geeft de opgelegde deelname een kans om eigen keuze te worden. Een verplichting die enkel controleert, levert aanwezigheid op met moeheid en wegredeneren als bijwerking. De winst zit niet in een hogere voltooiingsgraad, maar in de vraag of die voltooiing zich vertaalt naar gedrag, en dat is geen kwestie van strenger verplichten, maar van beter ontwerpen.

Beperkingen

  • Dit rapport is een literatuurstudie die bestaand wetenschappelijk onderzoek samenvat, en bevat geen nieuw eigen onderzoek.
  • De aangehaalde studies zijn uitgevoerd in uiteenlopende organisaties en contexten, waardoor de effecten per omgeving kunnen verschillen.
  • Het bewijs over de werking van dwang en sancties is gemengd, en dit rapport vat die spreiding samen in plaats van haar op te lossen.
  • Het zogenoemde vaccinatie-effect is in dit rapport opgenomen als hypothese en niet als bevinding, omdat een directe onderbouwing in het beveiligingsonderzoek vooralsnog ontbreekt.

Bronnen

  1. Alzahrani, A., en Johnson, C. (2019). AHP-based Security Decision Making: How Intention and Intrinsic Motivation Affect Policy Compliance. International Journal of Advanced Computer Science and Applications, 10(6). dx.doi.org/10.14569/IJACSA.2019.0100601
  2. D'Arcy, J., en Herath, T. (2011). A review and analysis of deterrence theory in the IS security literature: making sense of the disparate findings. European Journal of Information Systems, 20(6), 643 tot 658. doi.org/10.1057/ejis.2011.23
  3. D'Arcy, J., en Teh, P. L. (2019). Predicting employee information security policy compliance on a daily basis: The interplay of security-related stress, emotions, and neutralization. Information & Management, 56(7), 103151. doi.org/10.1016/j.im.2019.02.006
  4. Lain, D., Kostiainen, K., en Čapkun, S. (2022). Phishing in Organizations: Findings from a Large-Scale and Long-Term Study. IEEE Symposium on Security and Privacy, 842 tot 859. arxiv.org/abs/2112.07498
  5. Michie, S., van Stralen, M. M., en West, R. (2011). The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation Science, 6:42. doi.org/10.1186/1748-5908-6-42
  6. Moody, G. D., Siponen, M., en Pahnila, S. (2018). Toward a unified model of information security policy compliance. MIS Quarterly, 42(1), 285 tot 311. doi.org/10.25300/MISQ/2018/13853
  7. Prümmer, J., van Steen, T., en van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
  8. Ryan, R. M., en Deci, E. L. (2000). Self-determination theory and the facilitation of intrinsic motivation, social development, and well-being. American Psychologist, 55(1), 68 tot 78. doi.org/10.1037/0003-066X.55.1.68
  9. Stanton, B., Theofanos, M. F., Prettyman, S. S., en Furman, S. (2016). Security Fatigue. IT Professional, 18(5), 26 tot 32. doi.org/10.1109/MITP.2016.84
  10. Sykes, G. M., en Matza, D. (1957). Techniques of Neutralization: A Theory of Delinquency. American Sociological Review, 22(6), 664 tot 670. doi.org/10.2307/2089195
  11. Wall, J. D., Palvia, P., en Lowry, P. B. (2013). Control-Related Motivations and Information Security Policy Compliance: The Role of Autonomy and Efficacy. Journal of Information Privacy & Security, 9(4), 52 tot 79. doi.org/10.1080/15536548.2013.10845690
Volgende stap

Gebruik dit artikel als basis en bekijk daarna hoe 2LRN4 dit onderwerp praktisch vertaalt naar doelgroepsegmentatie, training en rapportage.

Plan demo Download gids Meer artikelen