Hoe bouw ik een effectief security awareness programma?

Begin met een risicoanalyse en nulmeting, kies een platform met risicogericht lesmateriaal, stel een jaarcalendar op, combineer training met phishing-simulaties en meet elk kwartaal.

Hoe groot moet het budget zijn voor security awareness?

Europese benchmarks liggen op €5-20 per medewerker per jaar afhankelijk van platformen en begeleiding. Vergelijk dit met de gemiddelde kosten van een datalek (>€4M).

Hoe betrek ik het management bij security awareness?

Presenteer klikpercentages en risicocijfers in bestuurstaal (financieel risico, reputatieschade, wettelijke aansprakelijkheid). Laat het bestuur zelf een korte training volgen — dit vergroot urgentiebesef.

Hoelang moet een beveiligingstraining duren?

Hoelang moet een beveiligingstraining duren? De korte versie: korter dan u denkt. Een module van vier tot acht minuten landt aantoonbaar beter dan een sessie van een uur, en voor een jaarcyclus is twintig tot dertig minuten totaal vrijwel altijd genoeg. Maar de echte vraag is niet "hoelang" maar "hoe verdeeld" en "hoe relevant". Wat werkt, wat niet, en waar liggen de bovengrenzen?

Waarom korter aantoonbaar beter werkt

Onderzoek naar leerretentie wijst sinds jaren in dezelfde richting: korte modules met spreiding over de tijd (gedistribueerd leren) leveren meer blijvende kennis op dan één lange sessie (gemassed leren). Voor security awareness werkt het bovendien op gedrag, niet alleen op kennis: de medewerker moet op het juiste moment de juiste reflex hebben. Daarvoor zijn herhaalde korte momenten beter dan één diepe duik.

Praktisch: een module van zes minuten over phishing-herkenning, gevolgd door een kwartaalsimulatie, levert na een jaar een lager klikpercentage op dan een jaarlijkse module van zestig minuten over alles tegelijk. Het verschil zit niet in inhoud maar in landingstijd: de korte module wordt afgemaakt en kort herhaald; de lange wordt over-de-vingers genomen of doorgeklikt.

Cognitieve belasting speelt ook mee. Twintig minuten geconcentreerde aandacht voor een onderwerp dat de medewerker niet uit zichzelf interessant vindt, is de bovengrens. Daarboven daalt informatieopname snel. Modules van zeven minuten zitten ruim binnen die grens en houden de medewerker bij de les.

De richtcijfers per moduletype

Werkbare lengtes per type training:

Microlearning-module (één thema): 4-8 minuten. Het werkpaard van het jaarprogramma. Een korte introductie, een paar voorbeelden, een toetsvraag of twee. Niet langer.
Jaarlijkse basistraining (compliance): 20-30 minuten totaal. Opgeknipt in vier tot zes microlearning-blokken verspreid over enkele weken. AVG, AUP-acceptatie, Cbw-basis, AI-geletterdheid.
Rolspecifieke verdiepingsmodule: 8-15 minuten. Iets meer ruimte omdat de inhoud relevant is voor het dagelijkse werk en de medewerker er actief mee bezig is.
Bestuurstraining onder Cbw art. 24: 45-60 minuten jaarlijks plus twee tabletops. Andere doelgroep, andere cadans: bestuurders verwachten een dieper inhoudelijk gesprek en lossen kortere modules sneller af als oppervlakkig.
Onboarding voor nieuwe medewerkers: 15-25 minuten in de eerste week. Verdeeld in twee tot vier sessies, zodat het naast inwerken past zonder hem te verdringen.
Phishing-simulatie inclusief microleren bij klik: maximaal 2-3 minuten. De simulatie zelf is vrijwel onmiddellijk; de microleren-module die volgt op een klik moet kort en concreet zijn.

Wat juist te lang is en wat te kort

Twee uitersten waar de praktijk vaak in valt:

Te lang: één jaarcursus van een uur of langer voor alle medewerkers. Resultaat: hoge voltooiing in administratie, lage onthouding in gedrag. Medewerkers ervaren het als bureaucratie en klikken door zonder lezen.

Te kort: modules van één of twee minuten zonder echte leerinhoud. Resultaat: medewerkers krijgen het gevoel niets te leren, en het programma verliest geloofwaardigheid. Bij minder dan vier minuten kunt u meestal beter geen module aanbieden.

De zone van zes tot tien minuten per module is voor de meeste organisaties de sweet spot: lang genoeg voor een echt leermoment, kort genoeg om volledige aandacht vast te houden, en past binnen de meeste werkdagen zonder dat productiviteit eronder lijdt.

Hoe DORA, Cbw en AI Act omgaan met lengte

Geen enkel wettelijk kader specificeert hoelang training moet duren. Wat de wet wel vraagt:

DORA artikel 13 vraagt om "regelmatige" training met meetbare effectiviteit. In de praktijk leest de aufsicht dit als jaarlijks minimaal 30 minuten formeel plus aantoonbaar gedragsbewijs (phishing-simulaties).

Cbw artikel 21 vraagt om bewustwording en training als onderdeel van het informatiebeveiligingsbeleid. Geen specifieke duur, wel aantoonbare regelmaat en effectiviteit.

Cbw artikel 24 (bestuurstraining) vraagt om periodieke training; in de praktijk wordt 45-60 minuten jaarlijks plus deelname aan tabletops als zorgvuldigheidsmaatstaf geaccepteerd.

EU AI Act artikel 4 vraagt om AI-geletterdheid zonder specifieke duur. Een module van zes tot acht minuten als onderdeel van het basisprogramma is in de praktijk werkbaar.

De rode draad: aantoonbaarheid telt meer dan absolute duur. Een korte module die door iedereen wordt voltooid en gedragsverandering oplevert, weegt zwaarder dan een lange die de helft niet afmaakt.

Hoe u dit verankert in een awareness-programma

Een werkbare jaarcyclus met realistische tijdsbeslag:

Onboarding: 15-25 minuten in de eerste week voor nieuwe medewerkers, verspreid over twee tot vier blokken.

Maandelijks: één microlearning-module van 4-8 minuten per medewerker. Totaal jaarlijks 48-96 minuten, verspreid in 12 blokken.

Kwartaal: één phishing-simulatie (vrijwel geen extra tijdsbeslag) plus eventueel microleren bij klikken (2-3 minuten).

Halfjaar: een rolspecifieke verdiepingsmodule van 8-15 minuten voor risicogroepen, naast de algemene maandelijkse modules.

Jaarlijks: een formele basistraining van 20-30 minuten voor compliance (AVG, Cbw, AI Act, AUP). Soms vervangen door of geïntegreerd met onboarding bij nieuwe medewerkers.

Bestuur: 45-60 minuten formeel plus twee tabletops van een tot twee uur per jaar.

Totale tijdsbeslag voor een gemiddelde medewerker: ongeveer 1,5 tot 2,5 uur per jaar verspreid in korte blokken. Voor risicofuncties komt daar 20-40 minuten verdieping bij; voor bestuurders 2-4 uur. Dat is aantoonbaar genoeg voor compliance én voor gedragsverandering, zonder de werkdag te verstoren.

Van uitleg naar aanpak

Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar programma met training, phishing simulatie en managementrapportage.

Bekijk de trainingspagina

Bronnen

FAQ

Hoelang moet een module duren?

Vier tot acht minuten per microlearning-module is de praktijktoets. Langer dan tien minuten daalt de aandacht aantoonbaar, korter dan vier minuten landt geen echte leerinhoud.

Hoeveel tijd per jaar in totaal?

Voor de meeste medewerkers 1,5 tot 2,5 uur per jaar verspreid in twaalf microlearning-blokken plus jaarlijkse basistraining. Risicofuncties 20-40 minuten extra; bestuurders 2-4 uur.

Is één jaartraining van een uur niet efficiënter?

In administratieve zin lijkt het zo, maar gedragsmeting laat aantoonbaar het tegenovergestelde zien. Eén lange sessie blijft slechter hangen dan twaalf korte verspreid over het jaar.

Wat zegt de wet over duur?

Geen enkel kader (Cbw, DORA, AI Act, AVG, ISO 27001) noemt een specifieke duur. Aantoonbare regelmaat en effectiviteit (gedragsmeting) wegen zwaarder dan absolute tijdsbeslag.

Hoelang voor onboarding van een nieuwe medewerker?

15-25 minuten in de eerste week, verspreid in twee tot vier blokken. Vermijd één lange sessie naast alle andere inwerk-activiteiten.

Hoe lang voor bestuurstraining onder Cbw artikel 24?

45-60 minuten formele jaarlijkse training plus twee tabletops van een tot twee uur per jaar. Dat wordt door de aufsicht als zorgvuldigheidsmaatstaf geaccepteerd.

Wat als medewerkers vragen om langere of diepere modules?

Bied optionele verdiepingsmodules aan zonder ze verplicht te stellen. Vrijwillige deelname aan optionele content is een sterk signaal dat het programma resoneert.