Wie verantwoordelijk is voor training in een organisatie, krijgt vroeg of laat twee termen door elkaar gemikt: beveiligingstraining en compliance-training. Ze lijken in een platform op elkaar (modules, voortgang, voltooiing), maar ze hebben een verschillend doel, een ander succescriterium, en in 2026 een verschillende positie ten opzichte van wetten als de Cbw en de AI Act. Waar zit het verschil precies, en waarom werkt een organisatie die ze door elkaar gooit aantoonbaar minder veilig?
Compliance-training: vinkjes en aantoonbaarheid
Compliance-training is gericht op het kunnen aantonen dat de organisatie aan een externe verplichting voldoet. Een module die uitlegt wat de AVG inhoudt, een cursus over geldelijke sancties, een verplichte bekendmaking van een nieuwe gedragscode: dit zijn klassieke compliance-trainingen. De voltooiing is het bewijs, en het bewijs is wat de toezichthouder vraagt.
In de praktijk hebben compliance-trainingen vaste kenmerken: ze zijn jaarlijks of bij wetswijziging, ze zijn voor iedereen gelijk, ze worden afgesloten met een korte toets, en de resultaten gaan naar HR of een compliance-team. Het succescriterium is het percentage medewerkers dat de training heeft afgerond.
Dit werkt voor het doel waarvoor het is bedoeld: aantonen dat de organisatie haar plicht heeft genomen. Het werkt aantoonbaar minder voor het doel "gedragsverandering". Dat hoeft ook niet, mits het maar duidelijk is dat dit niet hetzelfde is als beveiligingstraining.
Beveiligingstraining: gedrag en weerbaarheid
Beveiligingstraining is gericht op het veranderen van gedrag op het moment dat dat gedrag onder druk staat. Een korte module over phishing met praktische voorbeelden, een phishing-simulatie waaruit microleren volgt, een herinnering aan een verificatieroutine bij betalingen: dit zijn beveiligingstrainingen. Het succescriterium is een meetbare gedragsverandering, niet een vinkje.
In de praktijk hebben beveiligingstrainingen heel andere kenmerken: ze zijn frequent en kort (microlearning), ze zijn rolgebaseerd, ze worden gevolgd door observeerbare metingen (klikpercentage, meldpercentage, tijd tot melding), en de uitkomst is een trend over zes tot twaalf maanden.
Wie beveiligingstraining op compliance-wijze meet (alleen voltooiing), krijgt eindeloze vinkjes en geen veiligheid. Wie compliance-training op security-wijze meet (alleen gedrag), kan de toezichthouder niet bedienen. Beide functies bestaan, beide kennen eigen meetwaarden, en ze moeten naast elkaar bestaan zonder zich te vervangen.
De drie verschillen die er praktisch toe doen
Kort samengevat:
- Doel. Compliance bewijst naleving aan derden; beveiliging verandert gedrag. Dat verschil bepaalt elke ontwerpkeuze.
- Frequentie. Compliance jaarlijks of bij wetswijziging; beveiliging maandelijks of vaker, in microlearning.
- Meting. Compliance meet voltooiing; beveiliging meet klikpercentage in phishing-simulaties, meldpercentage en tijd tot melding.
Waar een mengvorm wel werkt: aantoonbare gedragstraining
Onder de Cbw, DORA en AI Act kunnen beide functies niet meer losstaan. Toezichthouders willen niet alleen voltooiing zien, maar ook effectiviteit. Daarmee komt een mengvorm in beeld: beveiligingstraining die compliance-aantoonbaarheid levert.
De aanpak: bouw een basisprogramma dat aan compliance-vereisten voldoet (jaarlijks, voor iedereen, met toets en registratie), maar ontwerp de modules zelf als beveiligingstraining (korte microlearning, rolgebaseerd, met phishing-simulaties en gedragsmetingen). Het platform levert dan zowel het complianceverslag (welke medewerker heeft welke module gevolgd) als het gedragsverslag (welk klikpercentage in de simulaties, welk meldpercentage).
Onder DORA artikel 13 is dit zelfs de expliciete eis: "training moet aangepast zijn aan rol en risico, effectiviteit moet worden gemeten". Pure compliance-aanpak voldoet daar niet aan.
Veel voorkomende fouten in de praktijk
Drie patronen die u regelmatig tegenkomt in organisaties:
Eén lange jaartraining die compliance-stempels combineert met security-onderwerpen, zonder rolgebaseerde verdieping. Resultaat: hoge voltooiing, geen gedragsverandering. Het bestuur ziet groene vinkjes, IT-security ziet geen daling in incidenten.
Phishing-simulaties zonder follow-up training. Het klikpercentage wordt gemeten, maar er volgt geen microleren bij klikken. Resultaat: medewerkers leren niet wat ze fout deden, en het klikpercentage daalt niet. Dit is geen beveiligingstraining maar een teststand.
Compliance-trainingen die op security-deadlines worden gepland. Een organisatie die "snel" een module rolt rond een nieuwe wet, levert vinkjes maar mist de gedragsoefening die er ook bij hoort. Beide tracks horen apart te lopen met eigen ritme.
Hoe u dit verankert in een awareness-programma
Maak in beleid en programma expliciet onderscheid tussen beide functies. Een werkbaar model:
Compliance-laag. Jaarlijkse basismodule over AVG, AUP, Cbw-essentials, AI Act art. 4. Voor iedereen, met afsluitende toets en registratie. Dit dekt de toezichthoudersverplichtingen.
Beveiligingslaag. Maandelijkse microlearning over phishing, social engineering, wachtwoorden, cloud, AI. Rolgebaseerd. Gevolgd door vier tot zes phishing-simulaties per jaar met meting van klik- en meldpercentage. Bestuurstraining apart, een keer per kwartaal.
Eén centraal platform dat beide tracks parallel registreert, met aparte rapportages: compliance-voortgang voor HR en privacy-officer, gedragsmetingen voor CISO en bestuur. Daarmee voldoet u zowel aan formele eisen als aan het werkelijke doel van het programma.
Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar programma met training, phishing simulatie en managementrapportage.
Bekijk de NIS2-paginaGerelateerde artikelen
- Compliance-eisen voor awareness-training
- Beleid voor aanvaardbaar gebruik (AUP)
- Waarom awareness-programma's mislukken
- Security awareness KPI's voor CISO's
Bronnen
FAQ
Wat is het verschil tussen beveiligingstraining en compliance-training?
Compliance-training bewijst dat de organisatie aan een wettelijke verplichting voldoet (jaarlijks, voor iedereen, met toets). Beveiligingstraining verandert gedrag (kort, frequent, rolgebaseerd, met simulaties en gedragsmetingen). Beide nodig, niet inwisselbaar.
Dekt compliance-training de Cbw?
Gedeeltelijk. De Cbw eist een informatiebeveiligingsbeleid mét awareness-training. Pure compliance-vinkjes voldoen aan de letter maar niet aan de eis tot aantoonbaar effectiviteit, vooral onder DORA art. 13 expliciet.
Kan ik één track laten draaien?
Niet aan te raden. Doe je alles als compliance, dan ontstaat geen gedragsverandering. Doe je alles als beveiliging, dan mis je aantoonbaarheid voor de toezichthouder. Twee parallel sporende lagen werken het best.
Hoe meet ik effectiviteit van beveiligingstraining?
Drie cijfers: klikpercentage in phishing-simulaties (lager is beter), meldpercentage (hoger is beter), tijd tot eerste melding (sneller is beter). Beweging over zes tot twaalf maanden is belangrijker dan absoluut niveau.
Wat met DORA?
DORA artikel 13 vraagt expliciet dat training "aangepast is aan rol en risico" en dat "effectiviteit wordt gemeten". Pure compliance volstaat niet; rolgebaseerde beveiligingstraining met gedragsmeting is verplicht voor financiële instellingen.
Mag compliance-training jaarlijks zijn?
Ja, voor de compliance-laag is jaarlijks goed. Voor de beveiligingslaag werkt jaarlijks aantoonbaar slechter dan maandelijkse microlearning. Behandel beide met eigen ritme.
Wie is verantwoordelijk voor welke laag?
Compliance-laag meestal HR samen met de privacy-officer of compliance-officer. Beveiligingslaag bij de CISO of het security-team. Beide rapporteren aan het bestuur, maar met verschillende metrieken.
Externe bron: Digital Trust Center - NIS2