2LRN4 security awareness platform
← Terug naar kennisbank

Hoe houd ik bij welke medewerkers de training hebben voltooid?

Praktische uitleg over voltooiing beveiligingstraining bijhouden voor organisaties die veilig gedrag structureel willen verbeteren.

Recent bijgewerkt

Van inzicht naar actie

Ontdek hoe je dit onderwerp omzet in een concreet awarenessprogramma met training, phishing simulaties en heldere managementrapportage.

Plan demo Bekijk de primaire oplossingspagina
Alain Rees
Oprichter & Security Awareness Specialist · 2LRN4

Het bijhouden van wie de training heeft voltooid klinkt als een Excel-vraag, maar is onder de Cbw, DORA en de AVG een serieuze compliance-eis geworden. Toezichthouders vragen niet meer alleen "hebt u training" maar "laat zien wie wat wanneer heeft afgerond". Hoe richt u dat aantoonbaar in zonder een administratief moeras te bouwen?

Waarom administratie er meer toe doet dan vroeger

Tot enkele jaren geleden was een PowerPoint en een handtekening-op-papier vaak voldoende voor de auditor. Onder de Cyberbeveiligingswet (Cbw), DORA en de AVG-handhaving van de Autoriteit Persoonsgegevens is dat in 2026 niet meer zo. Bij een incident, een audit of een steekproef moet u binnen enkele dagen een onderbouwd overzicht kunnen leveren: welke medewerker, welke module, welke datum, welk resultaat.

Bovendien telt herkenbare administratie zwaar bij persoonlijke aansprakelijkheid. Cbw artikel 24 verbindt bestuurstraining aan persoonlijke aansprakelijkheid van bestuurders. Een bestuurder zonder bewijs van afgeronde training kan zich na een incident moeilijk verdedigen tegen de claim dat hij zijn plicht onvoldoende heeft genomen.

Tegelijk is administratie geen doel op zich. Wie alles vastlegt maar niemand werkelijk traint, scoort goed op papier en slecht op gedrag. De kunst is een lichte, automatische administratie die het werk niet verstoort en bij audit zonder paniek beschikbaar is.

Wat u minimaal moet vastleggen

Een werkbaar minimum, dat aansluit op wat toezichthouders vragen:

  • Wie: medewerker, afdeling, rol. Synchroniseer met uw HR-systeem of Microsoft Entra ID zodat de lijst automatisch actueel blijft. Nieuwe medewerkers komen er vanzelf in, vertrokken medewerkers eruit.
  • Wat: module-naam, onderwerp, versie van de inhoud. Versies zijn belangrijk omdat content periodiek wordt geactualiseerd; bij een audit wil u kunnen aantonen welke versie iemand heeft gevolgd.
  • Wanneer: start- en afrondingsdatum, eventueel ook duur. Onder DORA artikel 13 is frequentie van training onderdeel van wat moet worden aangetoond.
  • Resultaat: voltooid ja/nee, score van eventuele toets, geaccepteerd beleid (AUP, gedragscode).
  • Gedragsmetingen: voor beveiligingstraining ook de uitkomst van phishing-simulaties: klikgedrag, meldgedrag, tijd tot melding. Geaggregeerd voor managementrapportage, individueel alleen voor compliance-bewijs.

Wat u niet moet doen

Een paar veel voorkomende valkuilen die administratie nutteloos of zelfs schadelijk maken:

Individueel klikgedrag delen met leidinggevenden. Dit is een wettelijk grijs gebied (AVG: doelbinding, evenredigheid), en functioneel funest. Zodra medewerkers weten dat hun individuele klikken naar het management gaan, daalt het meldgedrag. De meldcultuur is uw belangrijkste verdediging tegen echte aanvallen; ondermijn die niet voor een rapport.

Acceptatie van beleid via een mailbox. Een AUP-akkoord dat als reply-mail in een outlook-folder verdwijnt, is bij audit geen bewijs. Gebruik een platform dat acceptatie met datum en versie automatisch vastlegt.

Bewijsmateriaal op een gedeelde schijf. Een map met PDF-exporten op SharePoint zonder versie-historie raakt verouderd en is moeilijk doorzoekbaar. Een platform dat de administratie als bijproduct van de training zelf maakt, voorkomt dat u apart bijhoudt.

Bewaartermijnen vergeten. Onder de AVG mag u persoonsgegevens niet langer bewaren dan nodig. Een training uit 2018 die nog steeds op individuele score wordt bewaard, is in 2026 mogelijk in strijd met opslagbeperking. Stel termijnen in beleid en laat het platform automatisch opschonen.

Hoe u dit automatiseert zonder extra werk

De ideale situatie: alle administratie ontstaat als bijproduct van het programma zelf, zonder dat iemand handmatig invoert.

Koppeling met HR of Microsoft Entra ID. Nieuwe medewerker krijgt automatisch de basistraining, vertrokken medewerker wordt automatisch op inactief gezet (gegevens blijven beschikbaar voor audit binnen de bewaartermijn). Dit voorkomt vergeten medewerkers en handmatige updates.

Eén platform voor training, simulaties, beleidsacceptatie en rapportage. Wanneer alles uit één systeem komt, is de rapportage consistent en kunt u bij audit één export aanleveren. Losse systemen voor e-learning, phishing-simulaties en beleidsmanagement vragen handwerk om samen te brengen, en handwerk wordt op den duur niet meer gedaan.

Automatische dashboard voor management. Voltooiingspercentage per afdeling, openstaande deadlines, status van bestuurstraining onder Cbw artikel 24. Wanneer het management dit elke maand ziet zonder dat het hoeft te worden samengesteld, is opvolging eenvoudig.

Wat een toezichthouder concreet kan vragen

Voorbeelden van vragen die u tijdens audit of na incident moet kunnen beantwoorden:

  • Wie heeft de basistraining over phishing in het afgelopen jaar gevolgd, en welke versie?
  • Welke leden van het bestuur hebben de Cbw-bestuurstraining afgerond, met datum?
  • Welke afdelingen hebben in het laatste kwartaal een rolgebaseerde verdieping gehad?
  • Wat is het meldpercentage in phishing-simulaties over de afgelopen twaalf maanden?
  • Wie heeft het bijgewerkte beleid voor aanvaardbaar gebruik geaccepteerd?
  • Welke maatregelen zijn genomen na een afdeling met opvallend lage scores?

Hoe u dit verankert in een awareness-programma

Behandel administratie als integraal onderdeel van het programma, niet als eindrapportage. Praktische opbouw:

Eén platform dat training, simulaties, beleidsacceptatie en rapportage levert, gekoppeld aan uw HR-systeem of identiteitsplatform. Vermijd losse trajecten die u zelf moet samenvoegen.

Kwartaalmeldpunt naar het bestuur. Voltooiingspercentage per afdeling, bestuurstrainingsstatus, gedragsmetingen uit simulaties. Niet om individuen te beoordelen, wel om structureel sturing te geven.

Jaarlijkse audit-readiness-check. Eén keer per jaar trekt u zelf de rapportage die u bij een audit zou aanleveren, en controleert u of die compleet is. Een gat ontdekt in maart is een opdracht voor het jaar; een gat ontdekt tijdens de audit is een bevinding in het rapport.

Documenteer ook uitzonderingen. Wie kreeg vrijstelling waarom, wie heeft een training laat afgerond met welke reden, welke medewerkers waren uit dienst tijdens de campagne. Zonder die context lijken witte plekken in de rapportage problematischer dan ze zijn.

Van uitleg naar aanpak

Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar programma met training, phishing simulatie en managementrapportage.

Bekijk de NIS2-pagina

Gerelateerde artikelen

Bronnen

FAQ

Wat moet ik minimaal vastleggen?

Wie (medewerker, afdeling, rol), wat (module, versie), wanneer (data), resultaat (voltooiing, score, accepteren beleid), en voor beveiligingstraining ook gedragsmetingen uit phishing-simulaties. Versie en datum zijn cruciaal voor latere audit.

Mag ik individuele klikresultaten delen met leidinggevenden?

Nee. Onder de AVG is het twijfelachtig (doelbinding, evenredigheid) en functioneel werkt het averechts: meldgedrag daalt sterk wanneer medewerkers weten dat hun klikken naar het management gaan. Geaggregeerde cijfers per afdeling werken wel.

Hoe lang moet ik trainingsbewijs bewaren?

Onder de Cbw geen specifieke termijn, maar binnen de AVG-bewaartermijn voor personeelsgegevens (meestal vijf tot zeven jaar na uitdiensttreding). Stel uw bewaartermijn vast in beleid en laat het platform automatisch opschonen.

Wat met medewerkers die uit dienst zijn?

Op inactief zetten in het platform, gegevens blijven binnen de bewaartermijn beschikbaar voor audit. Niet direct verwijderen, want bij een incident in het verleden moet u nog kunnen aantonen wat hij of zij had gevolgd.

Hoe automatiseer ik dit?

Koppel het platform aan HR of Microsoft Entra ID, zodat nieuwe medewerkers automatisch op de lijst komen en vertrokken medewerkers worden gemarkeerd. Eén platform voor training, simulaties en beleidsacceptatie vermijdt handmatige samenvoeging.

Wat als ik nu nog op Excel werk?

Onder de Cbw en DORA is dat voor middelgrote en grote organisaties geen acceptabel uitgangspunt meer. Excel mist versie-historie, integratie met HR, en automatische rapportage. Een goed platform betaalt zich binnen één auditcyclus terug.

Welke gegevens vraagt een Cbw-audit specifiek?

Voltooiing per medewerker en per module, bestuurstrainingsstatus (Cbw artikel 24), gedragsmetingen uit simulaties, beleidsacceptaties (AUP, gedragscode), en de versie-historie van trainingscontent. Een goed platform levert dit als één export.

Externe bron: Digital Trust Center - NIS2

Lees ook
Moet beveiligingstraining verplicht zijn? → Wat gebeurt er als werknemers geen beveiligingstraining volgen? →
Volgende stap

Gebruik dit artikel als basis en bekijk daarna hoe 2LRN4 dit onderwerp praktisch vertaalt naar doelgroepsegmentatie, training en rapportage.

Plan demo Download gids Meer artikelen