Hoe vaak moeten medewerkers een beveiligingstraining volgen? De korte versie: niet één keer per jaar, en niet elke week. De praktijk wijst aantoonbaar uit dat een ritme van korte modules (maandelijks of tweewekelijks) plus enkele phishing-simulaties per jaar beter werkt dan de klassieke jaarcursus. Maar wat is werkbaar voor uw organisatie, wat zegt de wet, en hoe kiest u een tempo dat past zonder uw mensen te verzuipen?
Waarom de jaarlijkse training niet meer voldoet
De klassieke aanpak was simpel: één keer per jaar een uur cursus, vinkje, klaar. Voor compliance werkt dat nog steeds in de boekhouding, maar voor gedrag werkt het al lang niet meer. Onderzoek (en de praktijk van organisaties die hun klikpercentages serieus volgen) toont dat een module die in januari wordt gevolgd, in mei vrijwel niet meer beklijft. Cybercriminelen rekenen daarop.
Bovendien is het dreigingslandschap te dynamisch geworden voor jaarlijkse updates. AI-gegenereerde phishing, deepfake-stemmen, quishing, MFA-bypass: dit zijn aanvalsvormen die in 2026 routinematig zijn maar in jaartrainingen uit 2024 ontbreken. Een medewerker die jaarlijks wordt geïnstrueerd, leert per definitie met een jaar vertraging.
Onder DORA artikel 13 is dit zelfs expliciet vastgelegd: training moet "regelmatig" zijn en de effectiviteit moet meetbaar zijn. Het woord "regelmatig" wordt door toezichthouders inmiddels gelezen als minstens elk kwartaal contact met de medewerker, niet één keer per jaar.
Wat onderzoek en praktijk aanwijzen als optimaal
Op basis van gepubliceerde benchmarks en wat in de Nederlandse en Europese praktijk werkbaar blijkt:
- Korte modules van vier tot acht minuten elke maand, opgeknipt in thema's (phishing, wachtwoorden, fysieke beveiliging, AI, gegevensbescherming). Twaalf modules per jaar van een paar minuten landt aantoonbaar beter dan één jaarcursus van een uur.
- Twee tot vier phishing-simulaties per jaar. Vaker leidt tot trainingsmoeheid en lagere meldgehalten; minder vaak geeft te weinig oefenmomenten. Eén per kwartaal is een gezonde middenweg.
- Eén keer per jaar een formele "basistraining" die compliance-eisen dekt (AVG, Cbw, AUP-acceptatie). Vaak een onderdeel van onboarding bij nieuwe medewerkers, jaarlijks herhaald voor de hele organisatie.
- Rolspecifieke verdieping één of twee keer per jaar voor risicogroepen: finance (CEO-fraude), IT (incident response), HR (AVG bij werving), bestuur (Cbw art. 24-onderwerpen).
- Direct microleren na een phishing-klik. Wie klikt op een simulatie, krijgt een korte uitleg ter plekke. Geen formele module, wel een leermoment van een minuut.
Sectorverschillen en compliance-ritmes
Verschillende sectoren hebben verschillende vereisten en cadansen:
Financiële instellingen vallen onder DORA. Artikel 13 vraagt expliciet om frequentie en meting van effectiviteit; in de praktijk betekent dit minimaal maandelijkse contactmomenten voor risicofuncties (treasury, betalingen, compliance) plus halfjaarlijkse verdieping. Voor de bredere medewerkerspopulatie volstaat het maandelijkse microlearning-ritme.
Zorg en publieke sector vallen onder Cbw en NEN 7510 in de zorg. Frequentie is minder hard vastgelegd, maar IGJ en RDI vragen aantoonbare regelmaat. Vier microlearning-modules per kwartaal plus jaarlijkse compliance-basis is in de praktijk werkbaar.
Onderwijs en MKB hebben meer ruimte, maar een grof ritme van zes tot tien modules per jaar plus twee simulaties is in vrijwel elke organisatie haalbaar. Onder het MKB met beperkte capaciteit kan de aansluiting bij collectieve sectorale platforms (FI-ISAC, Z-CERT, NL-CERT) helpen om kosten te delen.
Wat te vermijden: trainingsmoeheid en hollow completion
Wie de frequentie te hoog zet, krijgt twee problemen die de praktijk veel ziet:
Trainingsmoeheid. Wekelijkse verplichte modules worden door medewerkers ervaren als bureaucratie, niet als zorg. Voltooiingspercentages dalen, en in extremere gevallen ontstaat actieve weerstand tegen het programma. Maandelijks of tweewekelijks ligt het maximum voor de meeste organisaties.
Hollow completion ("zinloos doorklikken"). Wanneer modules elkaar te snel opvolgen of te kort zijn om iets te leren, gaan medewerkers ze afronden zonder lezen. Voltooiing blijft hoog, maar gedragsmetingen (klikpercentage in simulaties) verbeteren niet. Het programma lijkt te werken op papier maar niet in de praktijk.
Een goede graadmeter is het meldpercentage in phishing-simulaties. Stijgt het over zes tot twaalf maanden? Dan zit u op het juiste tempo. Stagneert het of daalt het? Dan is uw frequentie of inhoud niet in balans, en is "vaker" zelden het juiste antwoord: eerder "anders".
Hoe u dit verankert in een awareness-programma
Een werkbaar jaarprogramma ziet er ongeveer zo uit:
Onboarding bij indiensttreding: basismodule (15-20 minuten in microlearning-blokken) over AUP, AVG, phishing-basis. Acceptatie en registratie automatisch via het platform.
Maandritme: één microlearning-module per maand, thema afhankelijk van jaarkalender (januari AVG, februari wachtwoorden, maart phishing, april AI-gebruik, etc.). Opgeknipt in vier tot acht minuten, gevolgd door een korte toets of acceptatie.
Kwartaalritme: een phishing-simulatie per kwartaal, afgewisseld in vorm (klassieke mail, smishing, quishing, AitM). Met directe microleren-feedback na klikken.
Halfjaarritme: rolspecifieke verdieping voor finance, IT, HR, zorgmedewerkers. Aanvullend op het basisritme, niet vervangend.
Jaarritme: bestuurstraining onder Cbw artikel 24 (jaarlijks basis plus twee tabletops), audit-readiness-check op het hele programma.
Aantoonbare administratie op alle niveaus. Het platform legt automatisch vast wat wanneer is gevolgd en levert kwartaalrapportage aan bestuur en, op verzoek, aan toezichthouders.
Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar programma met training, phishing simulatie en managementrapportage.
Bekijk de trainingspaginaGerelateerde artikelen
- Microlearning voor medewerkers met weinig tijd
- Security awareness roadmap voor 12 maanden
- Hoe werken phishing-simulaties in trainingen?
- Moet beveiligingstraining verplicht zijn?
Bronnen
FAQ
Hoe vaak moet ik medewerkers trainen?
Maandelijks korte modules (microlearning, vier tot acht minuten), plus twee tot vier phishing-simulaties per jaar, plus een jaarlijkse basistraining voor compliance. Dit ritme werkt aantoonbaar beter dan één jaarcursus.
Is jaarlijkse training voldoende voor compliance?
Voor AVG-basis vaak wel; voor de Cbw en DORA niet meer. DORA artikel 13 vraagt expliciet om regelmatige training met meetbare effectiviteit. Maandelijkse microlearning is het werkbare minimum.
Wat is een goede frequentie voor phishing-simulaties?
Twee tot vier per jaar. Vaker leidt tot moeheid; minder vaak geeft te weinig oefening. Eén per kwartaal is een veilige middenweg, met variatie in vorm (e-mail, smishing, quishing).
Hoe voorkom ik trainingsmoeheid?
Hou modules kort (vier tot acht minuten), wissel onderwerpen af, koppel ze aan actuele incidenten of wetgeving, en vermijd verplichte modules op slechte momenten (vlak voor bonusuitkering, tijdens reorganisatie).
Verschilt het ritme per rol?
Ja. Risicofuncties (finance, IT, bestuur, zorgmedewerkers met patiëntdata) krijgen extra rolspecifieke modules een tot twee keer per jaar. De algemene populatie volgt het maandritme zonder verdieping.
Wat zegt DORA over frequentie?
Artikel 13 vraagt "regelmatige" training met meetbare effectiviteit. In de praktijk wordt dit door DNB en AFM gelezen als minstens kwartaalfrequentie voor risicofuncties, plus jaarlijkse basistraining.
Hoe meet ik of mijn frequentie goed is?
Drie cijfers samen: voltooiingspercentage (boven 90% gezond), klikpercentage in simulaties (dalend over 6-12 maanden), meldpercentage (stijgend). Stagnerende klik- of meldgehalten duiden op een onbalans, en dan helpt "anders" meestal beter dan "vaker".
Externe bron: NIST - Security awareness and training