Welke onderwerpen horen in een goede beveiligingstraining voor medewerkers? In 2026 is dat een ander rijtje dan vijf jaar geleden. AI-geletterdheid en moderne phishing-vormen zijn erbij gekomen, en de oude lijstjes met "sterk wachtwoord, ververs elke 30 dagen" zijn niet alleen achterhaald maar in sommige gevallen schadelijk. Wat hoort er in 2026 zeker in een basisprogramma, wat in rolspecifieke verdieping, en wat hoort er juist niet meer in?
Het basisprogramma voor iedereen: zeven kernonderwerpen
Vrijwel elke medewerker in 2026 heeft dezelfde set basiskennis nodig, ongeacht functie of organisatie. De zeven onderwerpen die in elk basisprogramma thuishoren:
- Phishing en social engineering. Niet alleen e-mail maar ook smishing, vishing, quishing en BEC. AI-gegenereerde varianten erbij. Vuistregel: verifieer ongebruikelijke verzoeken via een tweede kanaal.
- Wachtwoordbeheer en authenticatie. Lengte boven complexiteit, wachtwoordmanager als standaard, MFA met voorkeur voor authenticator-app of hardware-sleutel, overgang naar passkeys en FIDO2.
- Gegevensbescherming en AVG. Wat zijn persoonsgegevens, de zes AVG-principes, doelbinding en bewaartermijnen, de meldroute bij een vermoedelijk datalek.
- Veilig gebruik van apparaten. Schermvergrendeling, schijfversleuteling, updates, scheiding werk en privé, snelle melding bij verlies of diefstal.
- Veilig gebruik van cloud en samenwerking. Bewust delen (geen "iedereen met de link"), MFA voor cloudaccounts, goedgekeurde diensten gebruiken, verdachte OAuth-toestemmingen herkennen.
- AI-geletterdheid. Sinds EU AI Act artikel 4 verplicht: wat is AI, welke risico's zijn er, welke goedgekeurde diensten zijn er, welke gegevens horen niet in publieke AI-systemen.
- Meldcultuur en incidentrespons. Hoe meldt u verdachte berichten of incidenten, waarom melden zonder schaamte cruciaal is, en wat de eerste reactie is bij vermoedelijk compromittering.
Rolspecifieke verdieping voor risicogroepen
Niet elke medewerker loopt hetzelfde risico. Een werkbare segmentatie:
Financiële afdelingen krijgen extra modules over CEO-fraude en BEC, verificatieprotocollen voor betalingen (terugbellen op bekend nummer, vier-ogen-principe boven drempelbedrag), herkenning van leveranciersmutaties als aanvalsvector, deepfake-stemmen bij ongebruikelijke financiële verzoeken.
IT-medewerkers krijgen aanvullend MFA-bypass-technieken (push bombing, AitM, SIM-swap), helpdesk-impersonatie en hoe medewerkers daartegen te beschermen, incident response op operationeel niveau, omgang met persoonlijke en gedeelde toegangscodes.
HR krijgt verdieping op AVG bij werving en selectie, AI Act bij gebruik van AI-tools in HR-processen, privégegevens van medewerkers, vertrouwelijkheid van interne meldingen.
Zorgmedewerkers krijgen NEN 7510-onderwerpen: medische persoonsgegevens, patiëntveiligheid, ketenafspraken met onderaannemers, fysieke beveiliging in patiëntomgevingen.
Bestuurders volgen het traject onder Cbw artikel 24: cybergovernance, persoonlijke aansprakelijkheid, dreigingslandschap op hoofdlijnen, tabletop-oefeningen.
Wat in 2026 nieuw is en wat verouderd
Vier onderwerpen die in 2026 essentieel zijn maar in oudere programma's vaak ontbreken:
- AI-geletterdheid en veilig AI-gebruik. Sinds februari 2025 verplicht onder de EU AI Act. Welke AI-diensten zijn goedgekeurd, welke gegevens nooit in publieke modellen, hoe herkent u risico's van AI-output (hallucinatie, vooringenomenheid).
- MFA-bypass en passkeys. Niet alleen MFA inschakelen, maar ook weten dat MFA-fatigue, adversary-in-the-middle en SIM-swap bestaan, en hoe passkeys daartegen beschermen.
- Quishing en QR-codes. Een aanvalsvorm die vrijwel ontbreekt in pre-2024 trainingen maar in 2026 routinematig is. E-mailfilters lezen geen QR-codes; medewerkers scannen op privételefoons buiten de bedrijfsbeveiliging om.
- Deepfake-stemmen en CEO-fraude 2.0. Stem-klonen voor minder dan tien minuten audio is in 2026 dagelijkse realiteit. Procesgebonden verificatie is de enige werkbare verdediging.
Onderwerpen die echt verouderd zijn
Drie patronen die nog vaak voorkomen in oudere modules maar weghoren:
"Sterke wachtwoorden = hoofdletter + cijfer + symbool, wijzig elke 30 dagen." NIST en het NCSC schrijven sinds jaren het tegenovergestelde voor: lengte boven complexiteit, geen verplichte rotatie. Een module die nog 30-dagen-rotatie predikt, leert mensen aantoonbaar onveiliger gedrag.
"Phishing herken je aan taalfouten." AI-phishing is foutloos. Een module die deze regel als leersignaal blijft gebruiken, leert mensen het verkeerde patroon en wiegt ze in slaap voor moderne aanvallen.
"Klik niet op een link in een mail." Te abstract; medewerkers klikken sowieso wel. Beter: controleer het domein, hover om de echte bestemming te zien, en log liever in via een bladwijzer dan via een link bij verificatie van een account.
Hoe u de onderwerpen verdeelt over een jaar
Een werkbare jaarplanning verdeelt de zeven basisonderwerpen plus eventuele rolspecifieke verdieping over twaalf maanden. Voorbeeld:
Januari AVG en gegevensbescherming, februari phishing en sociale manipulatie, maart wachtwoorden en authenticatie, april AI-geletterdheid, mei apparaten en thuiswerk, juni cloud en samenwerking, juli zomerpauze of optionele privé-module, augustus phishing-simulatie en evaluatie, september meldcultuur en incident response, oktober rolspecifieke verdieping per afdeling, november bestuursthema (Cbw artikel 24) en compliance, december year-in-review en vooruitblik.
Voor compliance-doelen koppelt u de jaarcyclus aan een formele basistraining bij onboarding plus jaarlijkse acceptatie van de AUP. Voor gedrag combineert u de maandritmes met phishing-simulaties (kwartaalcadans) en directe feedback bij klikken.
Variëer in vorm: niet alleen e-learning, maar ook posters, een korte video van de bestuurder, interne nieuwsberichten met geanonimiseerde voorbeelden uit eigen incidenten. Hybride werkt beter dan eenvormig.
Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar programma met training, phishing simulatie en managementrapportage.
Bekijk de trainingspaginaGerelateerde artikelen
- Hoe je security awareness content kiest
- E-mailbeveiliging en social engineering
- Best practices voor wachtwoordbeheer
- Hoe vaak moeten medewerkers training volgen?
Bronnen
FAQ
Welke onderwerpen horen in een basistraining?
Phishing en social engineering, wachtwoordbeheer en MFA, gegevensbescherming/AVG, apparaatbeveiliging, cloud en samenwerking, AI-geletterdheid, meldcultuur en incidentrespons. Zeven kernonderwerpen voor vrijwel elke organisatie.
Wat is rolspecifieke verdieping?
Extra modules voor risicogroepen: finance (CEO-fraude, BEC), IT (MFA-bypass, incident response), HR (AVG en AI Act bij werving), zorg (NEN 7510, medische data), bestuur (Cbw artikel 24).
Wat is in 2026 nieuw ten opzichte van oudere programma's?
AI-geletterdheid, MFA-bypass-bewustzijn, quishing/QR-phishing, en deepfake-stem-aanvallen. Allemaal niet of nauwelijks in pre-2024-modules aanwezig.
Welke onderwerpen zijn verouderd?
30-dagen wachtwoordrotatie, "phishing herken je aan taalfouten", en algemene "klik geen link". Onderzoek toont aan dat deze regels in 2026 averechts werken.
Hoeveel onderwerpen per jaar zijn realistisch?
Zeven kernonderwerpen verdeeld over twaalf microlearning-modules werkt voor de meeste organisaties goed. Eén thema per maand, met variatie in vorm en eventuele rolspecifieke verdieping.
Moet AI-geletterdheid echt in een basisprogramma?
Ja. Sinds 2 februari 2025 verplicht onder de EU AI Act artikel 4 voor elke organisatie die AI gebruikt. In de praktijk gebruikt vrijwel iedereen wel een AI-tool, dus een AI-module in het basisprogramma is geen optie meer.
Hoe combineer ik onderwerpen met phishing-simulaties?
Maandelijkse microlearning behandelt het thema; kwartaalsimulatie test het in de praktijk. Bij een klik volgt directe microleren-feedback met de drie kenmerken die de medewerker had kunnen herkennen.
Externe bron: NIST - Security awareness and training