2LRN4 security awareness platform
← Terug naar kennisbank

Het verschil tussen security awareness en privacy awareness

De wetenschap ontleedt beveiligingsbewustzijn in kennis, houding en gedrag, en privacybewustzijn in waarnemen, begrijpen en toepassen. Precies dat verschil verklaart waarom beveiliging om gedragsverandering vraagt en privacy om het toepassen van kennis, en waarom één trainingsvorm voor beide onderwerpen tekortschiet.

Recent bijgewerkt

Van inzicht naar actie

Ontdek hoe je dit onderwerp omzet in een concreet awarenessprogramma met training, phishing simulaties en heldere managementrapportage.

Plan demo Bekijk de primaire oplossingspagina
Alain Rees
Oprichter & Security Awareness Specialist · 2LRN4

In het kort

  1. Beveiligingsbewustzijn en privacybewustzijn komen uit verschillende onderzoekstradities. Beveiligingsbewustzijn wordt al twintig jaar gemeten als een drieluik van kennis, houding en gedrag (Kruger en Kearney, 2006; Parsons e.a., 2014), terwijl privacybewustzijn eerder wordt beschreven als situatiebewustzijn: zien dat een situatie om de toepassing van regels vraagt, en die regels vervolgens juist toepassen (Correia en Compeau, 2017).
  2. Bij beveiliging is de kloof tussen weten en doen goed gedocumenteerd: training verhoogt vooral de kennis en de houding, terwijl het gedrag veel minder meebeweegt. Dat komt doordat een aanvaller juist de snelle, automatische verwerking bespeelt; kennis helpt op dat moment alleen wanneer het juiste gedrag al een gewoonte is geworden (Vishwanath e.a., 2011; Prümmer, van Steen en van den Berg, 2024).
  3. De hypothese dat privacybewustzijn om kennistoepassing draait en beveiligingsbewustzijn om gedragsverandering, wordt door de literatuur grotendeels ondersteund, maar dan als een verschil in zwaartepunt en niet als een absolute tweedeling. Ook bij privacy lopen weten en doen uiteen (de privacyparadox), en de meest gemelde datalekken zijn juist routinefouten, zoals een brief of e-mail aan een verkeerde ontvanger (Autoriteit Persoonsgegevens, 2025).

In opleidingsprogramma's worden security awareness en privacy awareness vaak in één adem genoemd. Organisaties kopen ze samen in, plannen ze in dezelfde jaarlijkse ronde en gieten ze in dezelfde vorm, meestal een e-learning met een toets. Toch vragen de twee onderwerpen iets wezenlijk anders van een medewerker. De hypothese van dit onderzoek luidt dat het bij privacy vooral draait om het toepassen van kennis van regels en procedures op het juiste moment, en bij beveiliging vooral om het veranderen van het eigen gedrag, tot in de reflexen toe.

Dit rapport toetst die hypothese aan het wetenschappelijk onderzoek. Het sluit aan op twee eerdere rapporten in deze reeks: Het aandachtsprobleem, over wat phishingsimulaties wel en niet bereiken, en De kwetsbare eerste maanden, over het moment van de eerste opleiding. Die rapporten gingen over beveiliging; dit rapport zet beveiliging en privacy naast elkaar.

Verantwoording

Type
Literatuurstudie op basis van wetenschappelijk onderzoek (door vakgenoten beoordeeld) en publicaties van gezaghebbende instanties.
Hoofdvraag
Vragen beveiligingsbewustzijn en privacybewustzijn om een verschillende aanpak, waarbij privacybewustzijn vooral neerkomt op het toepassen van kennis en beveiligingsbewustzijn vooral op het veranderen van gedrag?
Subvragen
  1. Hoe definieert de literatuur beide begrippen en uit welke onderdelen bestaan ze?
  2. In hoeverre vertaalt kennis zich bij beveiliging in veilig gedrag?
  3. Bestaat er bij privacy eenzelfde kloof tussen weten en doen, en geldt die ook voor medewerkers die gegevens van anderen verwerken?
  4. Verschilt het soort situatie waarin beide vormen van bewustzijn zich moeten bewijzen?
  5. Wat betekent dit voor de inrichting van een opleidingsprogramma?
Bronnen
Meetinstrumenten voor beveiligingsbewustzijn (KAB-model, HAIS-Q), overzichtsstudies en een meta-analyse over securitytraining, het onderzoek naar de privacyparadox, conceptueel werk over privacybewustzijn, en cijfers van de Autoriteit Persoonsgegevens en ENISA.
Peildatum
Juni 2026.

01 · KADERTwee begrippen uit verschillende tradities

Wie de wetenschappelijke literatuur over beide vormen van bewustzijn naast elkaar legt, ziet meteen een verschil in herkomst. Het onderzoek naar beveiligingsbewustzijn is geworteld in de vraag hoe een organisatie ervoor zorgt dat medewerkers zich aan het beveiligingsbeleid houden. Het meest gebruikte fundament daarvoor is het KAB-model, dat bewustzijn opvat als een drieluik van kennis (wat je weet), houding (wat je vindt) en gedrag (wat je doet) (Kruger en Kearney, 2006). Het meest gevalideerde meetinstrument, de Human Aspects of Information Security Questionnaire (HAIS-Q), is expliciet op dat model gebouwd en meet de drie lagen over zeven aandachtsgebieden, van wachtwoorden tot het melden van incidenten (Parsons e.a., 2014). Gedrag is in deze traditie dus geen bijproduct van bewustzijn, maar een vast onderdeel van de definitie. Ook het invloedrijke nalevingsonderzoek van Bulgurcu, Cavusoglu en Benbasat (2010) bekijkt bewustzijn vanuit de vraag of medewerkers zich uiteindelijk naar het beleid gedragen.

Het onderzoek naar privacybewustzijn is jonger en anders van aard. Het brede overzicht van Smith, Dinev en Xu (2011) laat zien dat privacyonderzoek zich van oudsher concentreert op zorgen, houdingen en afwegingen rond het delen van gegevens, en veel minder op gedrag in een werkomgeving. Waar het begrip wel wordt uitgewerkt, gebeurt dat opvallend vaak als een vorm van kennis. De Online Privacy Literacy Scale (OPLIS) vat privacygeletterdheid nadrukkelijk op als kennis, zowel feitenkennis over regels en praktijken als kennis van handelwijzen om gegevens te beschermen (Trepte e.a., 2015). Correia en Compeau (2017) gaan een stap verder en omschrijven privacybewustzijn als een vorm van situatiebewustzijn, naar het model van Endsley: een situatie waarnemen, begrijpen wat zij betekent en voorzien wat er kan gebeuren. In die lezing is privacybewustzijn het vermogen om te zien dat er persoonsgegevens in het spel zijn en te begrijpen welke norm daarbij hoort, waarna de kennis kan worden toegepast.

Twee tradities met elk een eigen zwaartepunt

De opbouw van beide begrippen volgens de literatuur

BEVEILIGINGSBEWUSTZIJN drie lagen, naar Kruger en Kearney (2006) Kennis wat je weet Houding wat je vindt Gedrag wat je doet PRIVACYBEWUSTZIJN situatiebewustzijn, naar Correia en Compeau (2017) Waarnemen hier spelen persoonsgegevens Begrijpen welke norm geldt hier Toepassen kennis omzetten in handelen

Figuur 1 De opbouw van beide begrippen in de literatuur. Bij beveiligingsbewustzijn is gedrag een vast onderdeel van de definitie en in de praktijk de zwakste schakel; bij privacybewustzijn ligt het accent op het herkennen van de situatie en het toepassen van kennis. Naar Kruger en Kearney (2006) en Correia en Compeau (2017).

02 · BEVINDINGBij beveiliging zit het knelpunt niet in de kennis

Dat kennis en gedrag bij beveiliging niet samenvallen, bleek al in de eerste toepassing van het KAB-model. In de casestudy van Kruger en Kearney (2006) bij een internationaal mijnbouwbedrijf scoorden de medewerkers 77 procent op kennis en 76 procent op houding, maar slechts 54 procent op gedrag. Wat de medewerkers wisten en vonden, was dus ruim voldoende, maar wat zij in de praktijk deden, bleef daar ver bij achter. Latere validatiestudies bevestigen dat beeld. Bij vijfhonderd Australische werknemers hing kennis van beleid en procedures sterker samen met houding dan met het eigen veiligheidsgedrag, waaruit de onderzoekers concluderen dat training niet alleen moet uitleggen wat er verwacht wordt, maar ook waarom dat belangrijk is (Parsons e.a., 2014).

Het overzichtsonderzoek wijst in dezelfde richting. Een systematische overzichtsstudie van 142 onderzoeken naar securitytraining stelt vast dat de meeste studies hun effect afmeten aan kennis of intenties in plaats van aan feitelijk gedrag, dat effecten doorgaans na één enkele trainingssessie worden gemeten zonder vervolgmeting, en dat duurzame gedragsverandering daardoor niet met zekerheid kan worden vastgesteld, terwijl juist die verandering herhaling vergt, omdat gewoonten alleen door herhaling ontstaan (Prümmer, van Steen en van den Berg, 2024). De bijbehorende meta-analyse laat zien dat training de kennis en het bewustzijn van eindgebruikers duidelijk verbetert, maar dat het effect op het gedrag op langere termijn bescheidener is (Prümmer, van Steen en van den Berg, 2024). Al in 2015 concludeerden Bada, Sasse en Nurse dat voorlichting op zichzelf het gedrag niet verandert: mensen moeten het advies ook kunnen toepassen en gemotiveerd zijn om dat te doen. ENISA trekt daaruit dezelfde les en bepleit een verschuiving van voorlichting naar gedragsverandering en cultuur (ENISA, 2019).

Voor het deel van de hypothese dat over beveiliging gaat, is het bewijs daarmee stevig: het knelpunt zit niet in wat medewerkers weten, maar in wat zij onder druk van het moment doen. In Het aandachtsprobleem beschreven we al dat phishing eerder een aandachtsprobleem dan een kennisprobleem is, en dat een dalend klikpercentage weinig zegt over wat medewerkers werkelijk hebben geleerd.

Weten, vinden en doen lopen uiteen

Scores per dimensie in de casestudy van Kruger en Kearney (2006)

Kennis 77% Houding 76% Gedrag 54% 0% 50% 100%

Figuur 2 Scores op de drie dimensies van beveiligingsbewustzijn in de casestudy van Kruger en Kearney (2006): kennis 77 procent, houding 76 procent en gedrag 54 procent. De kloof tussen weten en doen is sindsdien in veel onderzoek teruggevonden.

03 · BEVINDINGOok bij privacy lopen weten en doen uiteen

Wie de hypothese letterlijk neemt, zou verwachten dat weten en doen bij privacy wél samenvallen. Het onderzoek laat iets anders zien, en het verschijnsel heeft zelfs een eigen naam: de privacyparadox. In het experiment waaraan het verschijnsel zijn naam dankt, verstrekten deelnemers aanzienlijk meer persoonlijke informatie dan zij vooraf zeiden te zullen doen (Norberg, Horne en Horne, 2007). Pötzsch (2009) beschrijft dezelfde kloof: ook wie privacybewust is, gedraagt zich daar lang niet altijd naar. Overzichtsstudies bevestigen dat houdingen en zorgen over privacy maar matig voorspellen wat mensen bij het delen van gegevens werkelijk doen, en verklaren dat onder meer uit afwegingen van gemak en voordeel, uit onzekerheid en uit de grote invloed van de context op privacyvoorkeuren (Kokolakis, 2017; Gerber, Gerber en Volkamer, 2018; Acquisti, Brandimarte en Loewenstein, 2015).

Toch is er een belangrijk verschil met de werkomgeving. Vrijwel al dit onderzoek gaat over mensen die over hun eigen gegevens beslissen, als consument die iets deelt in ruil voor gemak, korting of contact. Solove (2021) wijst er bovendien op dat uit dat gedrag weinig over houdingen valt af te leiden, omdat mensen in een concrete situatie iets anders afwegen dan in een algemene vraag. Een medewerker die persoonsgegevens van klanten, patiënten of collega's verwerkt, vervult een wezenlijk andere rol: het gaat niet om de eigen gegevens, het persoonlijke ruilvoordeel ontbreekt grotendeels, en de vraag is niet hoeveel iemand wil delen, maar of de verwerking binnen de regels van de organisatie en de wet past. Die rol vraagt vooral om herkennen en toepassen: zien dat iets een persoonsgegeven is, weten of er een grondslag is, een verzoek van een betrokkene herkennen en een datalek tijdig melden. Naar die werknemersrol is opvallend weinig onderzoek gedaan; de afbakening van het begrip privacybewustzijn verschilt bovendien per studie (Smith, Dinev en Xu, 2011; Correia en Compeau, 2017).

Eén nuance verdient daarbij nadruk. De praktijkcijfers laten zien dat privacyincidenten lang niet altijd kennisincidenten zijn. Van de 37.839 datalekken die in 2024 bij de Autoriteit Persoonsgegevens werden gemeld, vormden verkeerd verzonden brieven met persoonsgegevens net als in voorgaande jaren de grootste categorie (7.937 meldingen), en ook verkeerd verzonden e-mails behoren tot de meest gemelde typen. Cyberaanvallen zoals hacking, ransomware en phishing leverden 6.837 meldingen op, maar 5.407 daarvan kwamen voort uit één ransomware-aanval bij één dienstverlener; daarnaast telde de toezichthouder 1.430 afzonderlijke meldingen van cyberaanvallen (Autoriteit Persoonsgegevens, 2025). Een brief in de verkeerde envelop is geen gebrek aan kennis van de AVG, maar een routinefout, en daarmee bij uitstek een gedragsprobleem. Het toepassen van kennis en het inslijpen van zorgvuldige routines komen in de privacypraktijk dus naast elkaar voor.

Bij beveiliging moet ingeslepen gedrag het opnemen tegen een tegenstander die op de automatische piloot mikt; bij privacy moet iemand de situatie herkennen en daar de juiste kennis op toepassen.

Op basis van de besproken literatuur

04 · VERKLARINGDe tegenstander en het beslismoment verschillen

Het patroon uit de vorige twee hoofdstukken laat zich goed verklaren uit het soort situatie waarin beide vormen van bewustzijn zich moeten bewijzen. Beveiliging draait om het beschermen van informatie en systemen tegen opzettelijke aantasting (von Solms en van Niekerk, 2013). Er staat dus een denkende tegenstander tegenover de medewerker, en die tegenstander bepaalt het moment, de vorm en de druk. Onderzoek naar phishing laat zien dat de meeste phishingberichten langs de snelle, oppervlakkige route worden verwerkt: mensen beslissen op basis van eenvoudige signalen in het bericht, zonder grondige afweging, zeker wanneer de afzender inspeelt op urgentie en gezag (Vishwanath e.a., 2011). Op zo'n moment is er geen gelegenheid om kennis rustig toe te passen. Wat dan telt, is het gedrag dat iemand zich eigen heeft gemaakt: even pauzeren, het verzoek langs een ander kanaal controleren en afwijkingen melden. Daarom is beveiligingsbewustzijn in de kern een gedragsvraagstuk, en daarom werkt training die kort is, herhaald wordt en medewerkers in de context van het werk laat oefenen, beter dan eenmalige kennisoverdracht (Prümmer, van Steen en van den Berg, 2024).

Bij privacy ligt het beslismoment anders. De norm komt niet van een aanvaller, maar van de wet en het beleid van de organisatie, en de vragen dienen zich meestal aan in het gewone werk: mag ik dit bestand delen met deze collega, hoe lang bewaren we deze gegevens, is dit verzoek een inzageverzoek, en is dit voorval een datalek dat gemeld moet worden? Bij zulke vragen is er vrijwel altijd gelegenheid om na te denken, iets op te zoeken of de functionaris gegevensbescherming te raadplegen. Het knelpunt is hier niet de tijdsdruk van een tegenstander, maar het herkennen van de situatie: wie niet ziet dat iets een persoonsgegeven of een datalek is, komt aan het toepassen van kennis niet toe. Dat sluit precies aan bij de omschrijving van privacybewustzijn als situatiebewustzijn (Correia en Compeau, 2017).

De twee domeinen overlappen elkaar wel. Phishing vist vaak juist naar persoonsgegevens, waardoor een geslaagde aanval meteen ook een datalek is, en de verzendfouten uit de meldcijfers van de Autoriteit Persoonsgegevens zijn routinegedrag dat om dezelfde gedragsgerichte aanpak vraagt als beveiligingsgewoonten. Omgekeerd doet kennis er bij beveiliging wel degelijk toe: wie hoger scoort op de HAIS-Q, inclusief de kenniscomponent, presteert aantoonbaar beter in een experimentele phishingtest (Parsons e.a., 2017). Het verschil tussen beide domeinen is dus geen scherpe scheidslijn tussen kennis en gedrag; het verschil zit in de vraag welk van de twee in de beslissende situatie de doorslag geeft.

05 · CONCLUSIEEen verschil in zwaartepunt

Het antwoord op de hoofdvraag luidt: de hypothese wordt grotendeels ondersteund, mits zij wordt opgevat als een verschil in zwaartepunt. Beveiligingsbewustzijn is in de kern een gedragsvraagstuk: kennis is nodig, maar het onderzoek laat keer op keer zien dat kennis en houding ruim voorlopen op het gedrag, en dat de beslissende momenten zo kort zijn en zo bewust door de aanvaller worden uitgebuit dat alleen ingeslepen gewoonten houvast bieden. Privacybewustzijn in de werkomgeving is daarentegen vooral een kwestie van herkennen en toepassen: zien dat een situatie onder de regels valt, weten welke norm geldt en daarnaar handelen, met de tijd en de hulpmiddelen die er in die situaties meestal wel zijn.

Voor de inrichting van een opleidingsprogramma betekent dit dat één vorm voor beide onderwerpen tekortschiet. Securitytraining vraagt om korte, herhaalde en op gedrag gerichte oefening in de context van het werk, zodat gewoonten zich kunnen vormen. Privacytraining vraagt om herkenbare casuïstiek, duidelijke beslisregels en goed vindbare naslag en meldroutes, zodat de kennis beschikbaar is op het moment dat de situatie zich aandient. Voor beide geldt wat het onderzoek al langer zegt: het enkel verspreiden van informatie verandert weinig, want medewerkers moeten het advies ook kunnen en willen toepassen (Bada, Sasse en Nurse, 2015; ENISA, 2019).

Tegelijk past bescheidenheid. De privacyparadox laat zien dat weten en doen ook bij privacy niet vanzelf samengaan, en de meldcijfers laten zien dat een flink deel van de privacyincidenten uit routinefouten bestaat die juist om gedragsverandering vragen. Wie het onderscheid uit dit rapport gebruikt, doet er dus goed aan het op te vatten als een verschil in nadruk en niet als een strikte indeling: een volwassen programma traint bij beveiliging vooral het gedrag en onderhoudt daarnaast de kennis, en traint bij privacy vooral het herkennen en toepassen van de regels, zonder de zorgvuldige routines uit het oog te verliezen.

Beperkingen

  • Dit rapport is een literatuurstudie die bestaand onderzoek samenvat, en bevat geen nieuw eigen onderzoek.
  • Het onderzoek naar de privacyparadox betreft vrijwel uitsluitend consumenten die over hun eigen gegevens beslissen; de vertaling naar medewerkers die gegevens van anderen verwerken, is deels beredeneerd in plaats van direct gemeten.
  • Veel onderzoek naar beveiligingsbewustzijn meet zelfgerapporteerd gedrag of effecten op korte termijn, waardoor het zicht op duurzame gedragsverandering beperkt is.
  • De begrippen beveiligingsbewustzijn en privacybewustzijn worden in de literatuur niet eenduidig gedefinieerd; de vergelijking in dit rapport hangt af van de gekozen definities.
  • De meldcijfers van de Autoriteit Persoonsgegevens tellen gemelde datalekken; niet elk incident wordt herkend of gemeld, en de meldplicht weegt per type incident anders.

Bronnen

  1. Acquisti, A., Brandimarte, L., en Loewenstein, G. (2015). Privacy and human behavior in the age of information. Science, 347(6221), 509-514. doi.org/10.1126/science.aaa1465
  2. Bada, M., Sasse, A. M., en Nurse, J. R. C. (2015). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. arxiv.org/abs/1901.02672
  3. Bulgurcu, B., Cavusoglu, H., en Benbasat, I. (2010). Information Security Policy Compliance: An Empirical Study of Rationality-Based Beliefs and Information Security Awareness. MIS Quarterly, 34(3), 523-548. aisel.aisnet.org/misq/vol34/iss3/9
  4. Correia, J., en Compeau, D. (2017). Information Privacy Awareness (IPA): A Review of the Use, Definition and Measurement of IPA. Hawaii International Conference on System Sciences (HICSS-50). aisel.aisnet.org/hicss-50
  5. Gerber, N., Gerber, P., en Volkamer, M. (2018). Explaining the privacy paradox: A systematic review of literature investigating privacy attitude and behavior. Computers & Security, 77, 226-261. doi.org/10.1016/j.cose.2018.04.002
  6. Kokolakis, S. (2017). Privacy attitudes and privacy behaviour: A review of current research on the privacy paradox phenomenon. Computers & Security, 64, 122-134. doi.org/10.1016/j.cose.2015.07.002
  7. Kruger, H. A., en Kearney, W. D. (2006). A prototype for assessing information security awareness. Computers & Security, 25(4), 289-296. doi.org/10.1016/j.cose.2006.02.008
  8. Norberg, P. A., Horne, D. R., en Horne, D. A. (2007). The Privacy Paradox: Personal Information Disclosure Intentions versus Behaviors. Journal of Consumer Affairs, 41(1), 100-126. doi.org/10.1111/j.1745-6606.2006.00070.x
  9. Parsons, K., McCormac, A., Butavicius, M., Pattinson, M., en Jerram, C. (2014). Determining employee awareness using the Human Aspects of Information Security Questionnaire (HAIS-Q). Computers & Security, 42, 165-176. sciencedirect.com/.../S016740481300179X
  10. Parsons, K., Calic, D., Pattinson, M., Butavicius, M., McCormac, A., en Zwaans, T. (2017). The Human Aspects of Information Security Questionnaire (HAIS-Q): Two further validation studies. Computers & Security, 66, 40-51. doi.org/10.1016/j.cose.2017.01.004
  11. Pötzsch, S. (2009). Privacy Awareness: A Means to Solve the Privacy Paradox? In The Future of Identity in the Information Society, IFIP AICT 298. doi.org/10.1007/978-3-642-03315-5_17
  12. Prümmer, J., van Steen, T., en van den Berg, B. (2024). A systematic review of current cybersecurity training methods. Computers & Security, 136, 103585. doi.org/10.1016/j.cose.2023.103585
  13. Prümmer, J., van Steen, T., en van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
  14. Smith, H. J., Dinev, T., en Xu, H. (2011). Information Privacy Research: An Interdisciplinary Review. MIS Quarterly, 35(4), 989-1015. aisel.aisnet.org/misq/vol35/iss4/11
  15. Solove, D. J. (2021). The Myth of the Privacy Paradox. George Washington Law Review, 89, 1-51. gwlr.org
  16. Trepte, S., Teutsch, D., Masur, P. K., e.a. (2015). Do People Know About Privacy and Data Protection Strategies? Towards the “Online Privacy Literacy Scale” (OPLIS). In Reforming European Data Protection Law. doi.org/10.1007/978-94-017-9385-8_14
  17. Vishwanath, A., Herath, T., Chen, R., Wang, J., en Rao, H. R. (2011). Why do people get phished? Testing individual differences in phishing vulnerability within an integrated, information processing model. Decision Support Systems, 51(3), 576-586. doi.org/10.1016/j.dss.2011.03.002
  18. von Solms, R., en van Niekerk, J. (2013). From information security to cyber security. Computers & Security, 38, 97-102. doi.org/10.1016/j.cose.2013.04.004
  19. Autoriteit Persoonsgegevens (2025). Rapportage datalekken 2024. autoriteitpersoonsgegevens.nl
  20. ENISA (2019). Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity. European Union Agency for Cybersecurity. enisa.europa.eu
Volgende stap

Gebruik dit artikel als basis en bekijk daarna hoe 2LRN4 dit onderwerp praktisch vertaalt naar doelgroepsegmentatie, training en rapportage.

Plan demo Download gids Meer artikelen