Wat gebeurt er als werknemers geen beveiligingstraining volgen?

Gevolg 1: vergroot incidentrisico, niet alleen voor de medewerker

Het eerste gevolg van overgeslagen training is gewoon meer incidenten. Een medewerker die niet weet hoe modern phishing eruitziet, klikt eerder. Een medewerker die niet weet wat een AitM-aanval is, voert MFA-codes in op een nepwebsite. Een medewerker die niet weet wat datalek-meldroutes zijn, verzwijgt een fout in plaats van te melden, en daarmee groeit een geïsoleerd incident uit tot een organisatiebreed probleem.

In de praktijk is dit het belangrijkste gevolg, en het treft niet alleen de overslager zelf. Een klik in finance kan leiden tot een wachtwoorddiefstal, vandaaruit tot een gewijzigd leveranciersrekeningnummer, vandaaruit tot een betaling van tienduizenden euro's naar een aanvaller. Eén overgeslagen module, één incident, de hele afdeling lijdt.

Daarom werkt zelfbescherming als argument zelden. "U doet het voor uzelf" raakt niet. "U doet het voor uw team en uw klanten" raakt wel. Een goed awareness-programma maakt dit verband zichtbaar.

Gevolg 2: aansprakelijkheid voor organisatie en bestuur

Toezichthouders kijken bij een datalek of incident expliciet naar het awareness-programma. Onder de Cbw vragen RDI, IGJ, DNB en AFM bij elk onderzoek of training is gegeven, of die actueel was, of medewerkers de meldweg kenden. Een organisatie zonder aantoonbaar programma riskeert bovenop de schade van het incident ook een bestuurlijke boete.

Onder de Cbw artikel 24 kan bestuurstraining bovendien tot persoonlijke aansprakelijkheid leiden. Een bestuurder die de verplichte training niet heeft afgerond en bij wiens organisatie vervolgens een incident plaatsvindt met aantoonbaar verzuim, kan persoonlijk worden aangesproken voor relevante schade. Dit is geen theoretische bedreiging meer; sinds gefaseerde inwerkingtreding van de Cbw in 2024-2025 worden zaken voorbereid.

Voor de AVG geldt dat een datalek dat is veroorzaakt door een medewerker zonder bewustwording, een aparte verzwarende omstandigheid is bij sanctievaststelling door de Autoriteit Persoonsgegevens. De organisatie kan dan een aanvullende boete krijgen uitsluitend op grond van onvoldoende bewustmaking.

Gevolg 3: gevolgen voor de medewerker zelf

Wat geldt er voor de medewerker die training overslaat? Dat verschilt per organisatie, maar drie patronen komen vaak voor:

• Toegangsbeperking tot specifieke systemen of rollen totdat de basistraining is afgerond. Werkt het beste bij nieuwe medewerkers (onboarding) en bij rolwijziging. Proportioneel en geaccepteerd wanneer in beleid vastgelegd.
• Niet meetellen in beoordelingsgesprekken negatief, maar wel als reflectiepunt bij persoonlijke ontwikkeling. Een leidinggevende die merkt dat een medewerker structureel verplichte modules overslaat, bespreekt dat als ontwikkelvraag, niet als sanctie.
• Arbeidsrechtelijke maatregel bij volharde weigering. Zeldzaam, maar mogelijk wanneer training in beleid is gekoppeld aan blijvende geschiktheid voor de functie. Vereist zorgvuldige juridische beoordeling; een schorsing of ontslag op grond van "niet getraind" alleen is in Nederland niet makkelijk en zelden verstandig.

Wat zelden of nooit werkt als gevolg

Een paar maatregelen worden in de praktijk vaak overwogen maar zijn aantoonbaar schadelijk:

Naming and shaming. Een lijst in het intranet met "medewerkers die de training nog niet hebben afgerond" creëert weerstand zonder gedragsverandering. Geaggregeerde cijfers per afdeling werken wel.

Verplichte heropleiding bij phishing-klik. Bestraffing van een leermoment. Verlaagt de meldcultuur, en de meldcultuur is uw belangrijkste verdediging tegen echte aanvallen. Een korte uitleg ter plekke (microlearning na klik) werkt; verplichte heropleiding niet.

Salariskorting of bonusinhouding. Zelden in een arbeidsovereenkomst goed onderbouwd, en bij geschil aantoonbaar onevenredig. Behalve bij specifieke contractuele afspraken in zware regelgevingscontexten (financieel) niet werkbaar.

Publieke vermelding van medewerkers met laag klikgedrag in phishing-simulaties. Combineert twee fouten: bestraffing van fout gedrag plus zichtbaarheid van individuele klikken. Schadelijk voor de cultuur, illegaal onder AVG als doorlevering individuele gegevens.

Wat werkt wel: een werkbaar palet van gevolgen

Een werkbare aanpak heeft drie lagen:

Voor de meeste medewerkers (90 procent): herinneringen met uitleg, redelijke deadlines, en automatische escalatie naar de leidinggevende voor opvolggesprek bij structureel uitstellen. Geen sanctie, wel zichtbaarheid en gesprek.

Voor specifieke rollen of systemen: toegangsbeperking tot bepaalde applicaties totdat de basistraining is afgerond. Goed werkbaar bij onboarding en rolwijziging, en bij hoge-risico-functies (administratie van klantgegevens, financiële autorisaties).

Voor bestuurders onder Cbw artikel 24: harde verplichting met dossier. Aantoonbare voltooiing per bestuurder, periodiek geactualiseerd. Niet als sanctie maar als compliance-eis.

En ten slotte: maak zichtbaar wat goed gaat. Een afdeling met hoog meldpercentage in nieuwsbericht prijzen werkt veel beter dan een afdeling met lage voltooiing schamelend zichtbaar maken.

Hoe u dit verankert in een awareness-programma

Maak het gevolgenstelsel expliciet in beleid en communicatie. Praktische opbouw:

In de AUP en het trainingsbeleid: noem welke gevolgen bestaan (toegangsbeperking, gesprek, voor bestuur aansprakelijkheid). Geen verrassingen achteraf.

Bij onboarding: koppel basistraining aan vrijgave van bepaalde applicaties. Voorkomt dat nieuwe medewerkers maandenlang zonder bewustwording aan werkdata zitten.

Voor het bestuur: aparte registratie van Cbw artikel 24-training, periodiek geactualiseerd en bestuursagenda-vermelding. Aantoonbaarheid bij persoonlijke aansprakelijkheid.

Geen jaarlijkse "afrekening" maar continue zichtbaarheid. Maandelijkse herinneringen, kwartaalrapportage op afdelingsniveau, jaarlijkse audit-readiness. Gevolgen worden zelden ingezet maar zijn aantoonbaar consistent toegepast wanneer het nodig is.

Gerelateerde artikelen

• Compliance-eisen voor awareness-training
• Moet beveiligingstraining verplicht zijn?
• Cbw artikel 24: bestuurstraining
• Voltooiing van training bijhouden

Bronnen

• Cyberbeveiligingswet (officiële tekst)
• Autoriteit Persoonsgegevens
• RDI: toezicht NIS2/Cbw

FAQ

Wat zijn de gevolgen voor een werknemer die training overslaat?

Drie sporen: vergroot incidentrisico (voor team en klanten, niet alleen voor de werknemer), aansprakelijkheid voor organisatie en bestuur, en directe gevolgen voor de werknemer zelf (toegangsbeperking, gesprek, in zeldzame gevallen arbeidsrechtelijke maatregel).

Kan een werknemer worden ontslagen voor weigeren van training?

In Nederland alleen in uitzonderlijke gevallen na zorgvuldige juridische beoordeling, meestal in regulated sectors. Een organisatie kan beter sturen op zichtbaarheid, gesprek en toegangsbeperking dan op ontslag.

Mag ik salaris of bonus inhouden bij niet-volgen?

Praktisch zelden werkbaar zonder specifieke arbeidsovereenkomst-clausules. Bij geschil aantoonbaar onevenredig. Sturing op proportionele consequenties (toegang, gesprek) werkt beter.

Wat met bestuurders?

Onder Cbw artikel 24 verplichte training, met persoonlijke aansprakelijkheid bij niet-naleving. Hier is documentatie cruciaal en geen culturele kwestie.

Werkt verplichte heropleiding bij phishing-klikken?

Nee, juist averechts. Verplichte heropleiding na klik ondermijnt de meldcultuur. Een korte uitleg ter plekke werkt; sanctie niet.

Wat kan ik bij een afdeling met structureel lage voltooiing?

Niet zichtbaar maken op individueel niveau, wel op afdelingsniveau. Gesprek met de leidinggevende, gericht op werkdruk en relevantie van inhoud. Vaak ligt de oorzaak in planning of inhoudelijke fit, niet in onwil.

Hoeveel risico loop ik als organisatie zonder programma?

Onder Cbw en AVG aanzienlijk. Bovenop de schade van een incident kunnen bestuurlijke boetes komen, en bestuurders kunnen onder artikel 24 persoonlijk aansprakelijk worden gesteld voor relevante schade.