2LRN4 security awareness platform
← Terug naar kennisbank

De kwetsbare eerste maanden

Waarom de eerste maanden van een dienstverband een kwetsbare periode vormen, over de volle breedte van het beveiligingsbewustzijn, en wat de wetenschap zegt over het moment en de vorm van de eerste opleiding.

Recent bijgewerkt

Van inzicht naar actie

Ontdek hoe je dit onderwerp omzet in een concreet awarenessprogramma met training, phishing simulaties en heldere managementrapportage.

Plan demo Bekijk de primaire oplossingspagina
Alain Rees
Oprichter & Security Awareness Specialist · 2LRN4

In het kort

  1. Beveiligingsbewustzijn omvat veel meer dan e-mail en phishing. Een wetenschappelijk getoetste vragenlijst (de HAIS-Q) onderscheidt zeven gebieden, van het beheer van wachtwoorden en het omgaan met informatie tot het melden van incidenten, en juist een nieuwe medewerker moet zich op al die gebieden tegelijk een weg vinden (Parsons e.a., 2014).
  2. De eerste maanden zijn aantoonbaar een aanpassingsperiode. Weten wat er van je wordt verwacht, vertrouwen in je eigen handelen en bekendheid met de organisatie bouwen pas over weken tot maanden op (Bauer en Erdogan, 2011). Die onbekendheid maakt nieuwkomers kwetsbaar, omdat zij nog niet weten wat normaal is, wie zij kunnen vertrouwen en waar zij terechtkunnen.
  3. Kennis alleen verandert het gedrag weinig. Het zijn vooral de vorm en het moment van de opleiding die de doorslag geven (Prümmer, van Steen en van den Berg, 2024; Murre en Dros, 2015). Tegelijk is er opvallend weinig stevig bewijs uit onderzoek dat nieuwe medewerkers langere tijd heeft gevolgd, en circuleren er stellige getallen zonder controleerbare bron.

Phishing is een groot en hardnekkig risico, en het is terecht dat er veel aandacht naar uitgaat. In een eerder rapport in deze reeks, Het aandachtsprobleem, hebben we laten zien wat de wetenschap zegt over phishingsimulaties en de aanpak die daarbij past. Beveiligingsbewustzijn is echter breder dan e-mail alleen, en nergens komt die breedte zo samen als in de eerste periode na indiensttreding.

Een nieuwe medewerker richt in korte tijd accounts en apparaten in, leert welke gegevens gevoelig zijn, gebruikt voor het eerst de systemen van de organisatie, en moet ondertussen inschatten welke berichten en verzoeken normaal zijn. Dat alles gebeurt terwijl die persoon de mensen, de processen en de manier waarop je iets meldt nog niet kent. De afstand tussen de startdatum en het moment waarop iemand zich echt thuis voelt, vormt een periode waarin het risico hoger ligt dan daarna. Dit rapport zet op een rij wat het wetenschappelijk onderzoek over die periode laat zien, en welke lessen daaruit volgen voor het moment en de vorm van de eerste opleiding.

Verantwoording

Type
Literatuurstudie op basis van wetenschappelijk onderzoek (door vakgenoten beoordeeld) en gezaghebbende richtlijnen.
Bronnen
Een wetenschappelijk getoetste vragenlijst voor beveiligingsbewustzijn, overzichtsstudies over het inwerken van nieuwe medewerkers en over training, de vergeetcurve van Ebbinghaus, en cijfers van ENISA, Eurostat en het CBS.
Peildatum
Juni 2026.

01 · KADERBewustzijn is breder dan phishing

Wie aan beveiligingsbewustzijn denkt, denkt al snel aan het herkennen van een verdachte e-mail. Dat is begrijpelijk, want phishing is een reëel en veelvoorkomend risico. Het is echter maar één onderdeel van een breder geheel. Een medewerker neemt dagelijks veel kleine beslissingen die met veiligheid te maken hebben, en die reiken verder dan de inbox.

Het meest gebruikte wetenschappelijk getoetste meetinstrument op dit gebied, de Human Aspects of Information Security Questionnaire (HAIS-Q), brengt dat bredere geheel onder in zeven gebieden: het beheer van wachtwoorden, het gebruik van e-mail, het gebruik van internet, het gebruik van sociale media, mobiel werken, het omgaan met informatie, en het melden van incidenten (Parsons e.a., 2014). Phishing valt binnen het gebied e-mailgebruik en is daarmee één van de zeven, niet de optelsom. De waarde van dit kader is dat het bewustzijn meetbaar maakt over de hele breedte, en dat blijkt te werken: wie hoger scoort op de HAIS-Q, presteert beter in een experimentele phishingtest (Parsons e.a., 2017).

De zeven aandachtsgebieden van beveiligingsbewustzijn

Bewustzijn over de volle breedte

Wachtwoorden
Sterke wachtwoorden, niet hergebruiken, veilig delen.
E-mailgebruik
Omgaan met links en bijlagen, afzenders beoordelen.
Internetgebruik
Veilig downloaden en betrouwbare websites.
Sociale media
Wat je deelt en wat dat verraadt over werk.
Mobiel werken
Apparaten, openbare netwerken, onderweg werken.
Omgaan met informatie
Classificeren, opslaan en delen van gegevens.
Incidenten melden
Iets verdachts of een fout tijdig doorgeven.

Figuur 1 De zeven aandachtsgebieden van het beveiligingsbewustzijn volgens de HAIS-Q. Naar Parsons e.a. (2014).

02 · BEVINDINGDe eerste maanden zijn een aanpassingsperiode

Dat de start van een dienstverband bijzonder is, is in de organisatiepsychologie goed onderbouwd. Onderzoek naar hoe nieuwe medewerkers worden ingewerkt en hun draai vinden, laat zien dat zaken als weten wat er van je wordt verwacht, vertrouwen in je eigen handelen en geaccepteerd worden door collega's niet meteen aanwezig zijn, maar zich opbouwen over de eerste maanden van het dienstverband (Bauer en Erdogan, 2011). Een omvangrijke overzichtsstudie die veel onderzoeken samenvat, bevestigt dat beeld en benadrukt dat juist de vroege ervaringen bepalend zijn voor hoe goed iemand zich uiteindelijk aanpast (Bauer e.a., 2025).

Voor de veiligheid is vooral die beginperiode van onbekendheid relevant. Een medewerker die nog niet weet wat in de organisatie gebruikelijk is, mist het houvast om te merken dat iets afwijkt van wat normaal hoort te zijn. Datzelfde mechanisme speelt bij het naleven van beveiligingsbeleid: medewerkers die beter zijn ingewerkt en zich sterker met de organisatie verbonden voelen, houden zich aantoonbaar beter aan de regels (Ifinedo, 2014). De eerste maanden zijn met andere woorden niet alleen een leerperiode voor de functie zelf, maar ook voor het veilig handelen daarbinnen.

De kwetsbare periode neemt af naarmate iemand ingewerkt raakt

Aanpassing tegenover risico over de eerste twaalf maanden

beveiligingsrisico aanpassing maand 0 eerste maanden maand 12

Figuur 2 Gestileerde weergave van een in de literatuur terugkerend patroon: het ingewerkt raken van nieuwe medewerkers, zoals weten wat er van je wordt verwacht en zelfvertrouwen, neemt over de eerste maanden toe, terwijl het beveiligingsrisico in die beginperiode juist het hoogst is en daarna afneemt. Naar Bauer e.a. (2007) en Bauer en Erdogan (2011).

03 · VERKLARINGWaarom onbekendheid een risico is

De onbekendheid van de eerste maanden is precies wat een aanvaller kan uitbuiten. Wie de gebruikelijke werkwijze nog niet kent, kan moeilijker beoordelen of een verzoek klopt. Een nieuwe medewerker weet vaak nog niet wie bevoegd is om een betaling goed te keuren, hoe inloggegevens horen te worden gedeeld, of hoe een bericht van de leiding er normaal uitziet. Tel daarbij op dat een nieuwkomer graag een goede indruk wil maken en daarom snel en behulpzaam reageert, en het wordt duidelijk waarom misleiding in deze periode meer kans maakt.

Het gaat daarbij om meer dan alleen e-mail. Misleiding kan net zo goed per telefoon, via een bericht of in persoon plaatsvinden, en raakt verschillende van de zeven aandachtsgebieden tegelijk. Het onveilig delen van een wachtwoord bij de eerste aanmelding raakt het beheer van toegang, het verkeerd inschatten van een verzoek om gegevens raakt het omgaan met informatie, en het niet weten waar je iets verdachts meldt raakt het melden van incidenten. Onderzoek naar weerstand tegen sociale manipulatie laat zien dat een hoger beveiligingsbewustzijn samenhangt met een grotere kans dat iemand zo'n poging weerstaat (Grassegger en Nedbal, 2021). Voor wie net binnen is, is dat bewustzijn over de volle breedte nog in opbouw.

Een nieuwe medewerker mist niet zozeer de kennis dat iets gevaarlijk kan zijn, maar het houvast om te zien dat een verzoek afwijkt van wat normaal is.

Op basis van het onderzoek naar het inwerken van nieuwe medewerkers en naar beveiligingsbewustzijn

04 · VERKLARINGKennis is niet genoeg, zeker niet bij de start

Het ligt voor de hand om die kwetsbaarheid te bestrijden met zo vroeg mogelijk zoveel mogelijk kennis. De wetenschap nuanceert dat. Een overzichtsstudie die de resultaten van veel onderzoeken samenvat, laat zien dat het effect van trainingen op kennis en houding groot is, maar dat het gemiddelde effect op het feitelijke gedrag klein blijft (Prümmer, van Steen en van den Berg, 2024). Dat verschil is geen toeval. Een bekend model voor gedragsverandering, het Behaviour Change Wheel, beschrijft dat gedrag pas verandert wanneer kennis en vaardigheid, motivatie en de gelegenheid om het goede te doen samenkomen (Michie, van Stralen en West, 2011).

Juist die laatste voorwaarde, de gelegenheid, ontbreekt bij een nieuwe medewerker. Iemand kan weten dat een wachtwoord nooit telefonisch hoort te worden gevraagd, maar zonder kennis van de gebruikelijke processen is het lastig om in te schatten of een concreet verzoek verdacht is. Onboarding die alleen kennis overdraagt, vult dus maar één van de drie voorwaarden. Passieve voorlichting waarin enkel informatie wordt verspreid, verandert het gedrag dan ook nauwelijks (Bada, Sasse en Nurse, 2015), terwijl actieve, herhaalde en op de context afgestemde vormen wel effect hebben (Prümmer, van Steen en van den Berg, 2024).

Daar komt de factor tijd bij. Kennis die in één keer wordt aangeboden, zakt snel weg: de vergeetcurve, in 1885 beschreven door de Duitse psycholoog Hermann Ebbinghaus en in herhaald onderzoek bevestigd (Murre en Dros, 2015), laat zien dat een groot deel van nieuw geleerde stof al binnen dagen tot weken vervaagt zonder herhaling. Een enkele opleiding op de eerste werkdag is daarom niet genoeg, hoe goed bedoeld ook. Wat de literatuur suggereert is een opleiding die vroeg begint, kort en herhaald is, en die niet alleen kennis bijbrengt maar ook helpt om de werkwijze van de organisatie te leren kennen en te weten waar je iets kunt melden.

05 · CONCLUSIEVroeg, breed en gericht op gedrag

De onboarding-periode laat zich goed verklaren. De eerste maanden zijn een aanpassingsperiode waarin een medewerker de organisatie nog niet kent, en die onbekendheid is over de volle breedte van het beveiligingsbewustzijn een kwetsbaarheid die aanvallers kunnen uitbuiten. De literatuur wijst niet op meer kennisoverdracht alleen, maar op een opleiding die vroeg begint, die over de volle breedte gaat in plaats van alleen over phishing, en die op gedrag is gericht door kort, herhaald en in de context van het werk te zijn. Even belangrijk is dat een organisatie de nieuwkomer de gelegenheid geeft om veilig te handelen, door de werkwijze, de bevoegdheden en de manier waarop je iets meldt vanaf het begin duidelijk te maken.

Tegelijk past bescheidenheid. De onderbouwing voor deze periode komt grotendeels uit verwant onderzoek, naar het inwerken van nieuwe medewerkers, naar gedrag en naar het wegzakken van kennis, en veel minder uit studies die het cyberrisico van juist de eerste weken rechtstreeks en over langere tijd hebben gemeten. De stellige getallen die hierover in vakpublicaties circuleren, zijn nauwelijks tot controleerbaar onderzoek te herleiden. Hier ligt een duidelijke leemte, die zou kunnen worden ingevuld door nieuwe medewerkers vanaf hun eerste werkdag langere tijd te volgen met geanonimiseerde gedragsdata.

Beperkingen

  • Dit rapport is een literatuurstudie die bestaand onderzoek samenvat, en bevat geen nieuw eigen onderzoek.
  • De onderbouwing voor deze beginperiode is grotendeels indirect: zij leunt op onderzoek naar het inwerken van nieuwe medewerkers, gedrag en het wegzakken van kennis, en minder op metingen van het cyberrisico in juist de eerste weken.
  • Een vragenlijst als de HAIS-Q meet bewustzijn, en dat is iets anders dan een telling van werkelijke incidenten.
  • De aangehaalde studies zijn in uiteenlopende organisaties en landen uitgevoerd, waardoor de effecten per omgeving kunnen verschillen.

Bronnen

  1. Bada, M., Sasse, A. M., en Nurse, J. R. C. (2015). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. arxiv.org/abs/1901.02672
  2. Bauer, T. N., en Erdogan, B. (2011). Organizational socialization: The effective onboarding of new employees. In APA Handbook of Industrial and Organizational Psychology. researchgate.net/publication/285000696
  3. Bauer, T. N., Erdogan, B., Ellis, A. M., e.a. (2025). New Horizons for Newcomer Organizational Socialization: A Review, Meta-Analysis, and Future Research Directions. Journal of Management. doi 10.1177/01492063241277168
  4. Ebbinghaus, H. (1885). Über das Gedächtnis: Untersuchungen zur experimentellen Psychologie. Het oorspronkelijke onderzoek naar de vergeetcurve, ruim een eeuw later gerepliceerd door Murre en Dros (2015).
  5. Grassegger, T., en Nedbal, D. (2021). The Role of Employees' Information Security Awareness on the Intention to Resist Social Engineering. Procedia Computer Science, 181, 59-66. doi.org/10.1016/j.procs.2021.01.103
  6. Ifinedo, P. (2014). Information systems security policy compliance: an empirical study of the effects of socialisation, influence, and cognition. Information & Management, 51(1), 69-79. academia.edu/20387560
  7. Michie, S., van Stralen, M. M., en West, R. (2011). The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation Science, 6:42. doi.org/10.1186/1748-5908-6-42
  8. Murre, J. M. J., en Dros, J. (2015). Replication and Analysis of Ebbinghaus' Forgetting Curve. PLOS ONE, 10(7), e0120644. Universiteit van Amsterdam. doi.org/10.1371/journal.pone.0120644
  9. Parsons, K., McCormac, A., Butavicius, M., Pattinson, M., en Jerram, C. (2014). Determining employee awareness using the Human Aspects of Information Security Questionnaire (HAIS-Q). Computers & Security, 42, 165-176. sciencedirect.com/.../S0167404813001235
  10. Parsons, K., Calic, D., Pattinson, M., e.a. (2017). The HAIS-Q: Two further validation studies. Computers & Security, 66, 40-51. doi.org/10.1016/j.cose.2017.01.004
  11. Prümmer, J., van Steen, T., en van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
  12. ENISA (2024). Reframing Cybersecurity Awareness Raising: exploring the human factor. European Union Agency for Cybersecurity. enisa.europa.eu
  13. Eurostat (2024). ICT security in enterprises (survey 2024, incidenten in 2023). ec.europa.eu/eurostat
  14. CBS (2023). Bijna 6 op 10 baanwisselaars korter dan twee jaar in dienst. Centraal Bureau voor de Statistiek. cbs.nl
  15. NCSC-NL. Handreikingen over incidentrespons en het melden van incidenten. ncsc.nl
Volgende stap

Gebruik dit artikel als basis en bekijk daarna hoe 2LRN4 dit onderwerp praktisch vertaalt naar doelgroepsegmentatie, training en rapportage.

Plan demo Download gids Meer artikelen