2LRN4 security awareness platform
← Terug naar kennisbank

De zichtbaarheidsval

Waarom zichtbaarheid, dus posters, mailings en intranetcampagnes, niet hetzelfde is als een awarenessprogramma, en waarom meer van hetzelfde de aandacht juist ondermijnt.

Recent bijgewerkt

Van inzicht naar actie

Ontdek hoe je dit onderwerp omzet in een concreet awarenessprogramma met training, phishing simulaties en heldere managementrapportage.

Plan demo Bekijk de primaire oplossingspagina
Alain Rees
Oprichter & Security Awareness Specialist · 2LRN4

In het kort

  1. Zichtbaarheid is geen programma. Posters, mailings en intranetcampagnes zijn bewustwordingsactiviteiten, dus één laag van een programma. Een programma is een doorlopende, beheerde cyclus die op gedrag en cultuur stuurt, en niet een verzameling losse uitingen (NIST SP 800-50r1).
  2. Communiceren verandert vaak geen gedrag. Informatie verspreiden verhoogt vooral de kennis. Of dat ook in gedrag wordt omgezet, hangt af van de motivatie en van de gelegenheid om het goede te doen. Campagnes die alleen informeren, veranderen weinig (Bada, Sasse en Nurse, 2015; Michie, van Stralen en West, 2011).
  3. Te veel van hetzelfde werkt averechts. Door gewenning daalt de aandacht al na de tweede blootstelling, en door berichtmoeheid gaan mensen de boodschap negeren of zich er zelfs tegen verzetten. Aandacht en medewerking zijn een eindige voorraad die je verstandig moet besteden (Anderson e.a., 2015; So, Kim en Cohen, 2017; Beautement, Sasse en Wonham, 2008).

Veel organisaties hebben het gevoel dat hun awareness op orde is. Er hangen posters bij de koffieautomaat, er gaat elke maand een mailing uit, en op het intranet staat een campagne met praktische adviezen. De redenering die daaronder zit, ligt voor de hand. Er wordt immers veel gecommuniceerd over veilig gedrag, en daaruit volgt al snel de gedachte dat er een awarenessprogramma is. Die gelijkstelling van zichtbaarheid met een programma is begrijpelijk, maar ze klopt niet.

Dit rapport onderzoekt twee vragen die daaronder liggen. De eerste is of een communicatiecampagne wezenlijk iets anders is dan een gedragsprogramma. De tweede is wanneer communiceren zijn werking verliest, dus op welk punt meer boodschappen niet meer helpen en zelfs averechts gaan werken. Het zet op een rij wat het wetenschappelijk onderzoek hierover laat zien, en welke aanpak daaruit volgt.

Bij beide vragen is het van belang om eerst scherp te krijgen wat we in dit rapport met een programma bedoelen. Een programma is geen reeks losse uitingen, maar een doorlopend en beheerd geheel dat op gedrag is gericht. Het stelt vooraf vast welk gedrag het wil bereiken, kiest daar passende middelen bij, waaronder training, oefening en communicatie, meet vervolgens of dat gedrag ook werkelijk verandert, en stuurt op grond van die meting bij. Het is met andere woorden een cyclus die zichzelf onderhoudt en op een doel is gericht. Een campagne staat daar tegenover als een enkele of terugkerende uiting op zichzelf, en die kan een waardevol onderdeel van een programma zijn zonder er ooit mee samen te vallen.

Verantwoording

Type
Literatuurstudie op basis van peer-reviewed onderzoek en gezaghebbende standaarden.
Bronnen
Neurowetenschappelijke en veldstudies, communicatiewetenschap, gedragswetenschap en de NIST-richtlijn voor leerprogramma's.
Peildatum
Juni 2026.

01 · BevindingZichtbaarheid is een laag, geen programma

Het verschil tussen communiceren en een programma is geen woordspel, maar staat in de richtlijn die het vakgebied hiervoor hanteert. De Amerikaanse standaardenorganisatie NIST onderscheidt in haar herziene richtlijn drie niveaus van leren: bewustwording, training en educatie (NIST SP 800-50r1, 2024). Bewustwording richt de aandacht van mensen op een onderwerp, training leert hun een vaardigheid aan waarmee zij een taak kunnen uitvoeren, en educatie is de diepgaande, vaak op de loopbaan gerichte vorm. Posters, mailings en intranetcampagnes vallen vrijwel allemaal onder het eerste niveau. Zij vragen aandacht, maar zij leren geen vaardigheid aan en zij sturen op zichzelf geen gedrag.

Belangrijker nog is wat de richtlijn onder een programma verstaat. De herziening uit 2024 beschrijft een leerprogramma niet als een reeks uitingen, maar als een beheerde cyclus met een levensloop: je stelt doelen vast, je stemt de inhoud af op rollen en doelgroepen, je meet het effect, en je stuurt bij. Bewustwordingscampagnes zijn binnen die cyclus één van de bouwstenen, naast rolgerichte training, oefeningen en gerichte interventies. Een campagne gelijkstellen aan een programma is daarom een categoriefout, want je verwart één laag met het geheel.

De gedragswetenschap maakt dezelfde scheiding langs een andere weg. Het veelgebruikte Behaviour Change Wheel, dat we ook in De deelnameparadox hanteren, onderscheidt negen soorten interventies waarmee je gedrag kunt beïnvloeden, en voorlichting is daar slechts één van (Michie, van Stralen en West, 2011). Communiceren raakt vooral de kennis van mensen. Het laat de andere knoppen waar gedrag aan hangt, zoals de motivatie en de praktische gelegenheid, grotendeels ongemoeid. Wie alleen communiceert, bedient dus één hefboom en laat de overige acht onbenut.

Communicatie is het bewustwordingsniveau

De drie niveaus van leren volgens NIST SP 800-50r1

Bewustwording posters · mailings · intranetcampagnes Training rolgericht · vaardigheden Educatie meer diepgang breder bereik

Figuur 1 Communicatie hoort bij het brede onderste niveau, dat de aandacht richt op een onderwerp. Een programma omvat alle drie de niveaus binnen een beheerde cyclus. Naar NIST SP 800-50r1 (2024).

02 · BevindingCommuniceren verandert vaak geen gedrag

Dat campagnes het gedrag lang niet altijd veranderen, is geen nieuw inzicht. In een veelgeciteerde studie analyseerden Bada, Sasse en Nurse waarom bewustwordingscampagnes er zo vaak niet in slagen om het gedrag te veranderen (Bada, Sasse en Nurse, 2015). Hun conclusie was helder. Kennis en bewustzijn zijn een noodzakelijke voorwaarde, maar op zichzelf niet genoeg. Om gedrag te veranderen moeten mensen het advies kunnen begrijpen en toepassen, en zij moeten daarnaast bereid zijn om dat te doen. Die bereidheid vraagt om een verandering in houding en intentie, en die ontstaat niet vanzelf door meer informatie te verspreiden.

Dit is het bekende gat tussen weten en doen. Mensen weten dat zij een sterk wachtwoord moeten gebruiken, dat zij niet zomaar op een link moeten klikken, en dat zij gegevens netjes moeten opslaan, maar het gedrag volgt het weten niet automatisch. Het Behaviour Change Wheel verklaart waarom dat zo is. Veilig gedrag ontstaat pas wanneer de kennis en vaardigheid, de motivatie en de gelegenheid om het goede te doen samenkomen (Michie, van Stralen en West, 2011). Een campagne die uitsluitend informatie geeft, vult hooguit het eerste vakje. De motivatie en de gelegenheid blijven dan onaangeroerd, en juist daar gaat het met het gedrag vaak mis.

Gedrag veranderen vraagt meer dan informatie geven over risico's en gewenst gedrag. Mensen moeten dat advies kunnen toepassen, en zij moeten daartoe ook bereid zijn.

Naar Bada, Sasse en Nurse (2015)

03 · VerklaringWanneer communiceren averechts gaat werken

De tweede vraag is wanneer communiceren niet alleen weinig oplevert, maar ronduit averechts gaat werken. Het onderzoek wijst op twee mechanismen die samen verklaren waarom meer van hetzelfde de aandacht ondermijnt: gewenning en berichtmoeheid.

Het eerste mechanisme is gewenning, en dat zit dieper dan een kwestie van motivatie. In een serie hersenstudies brachten Anderson en collega's met functionele MRI in beeld hoe het brein reageert op herhaalde beveiligingswaarschuwingen (Anderson e.a., 2015). De activiteit in de visuele verwerkingsgebieden daalde al na de tweede blootstelling fors, en zakte bij elke volgende herhaling verder weg. Een vervolgstudie in de praktijk bevestigde dat beeld. In een veldexperiment van drie weken nam de mate waarin mensen waarschuwingen opvolgden duidelijk af naarmate die vaker langskwamen (Vance e.a., 2018). De boodschap die steeds dezelfde vorm heeft, wordt zelfs in de hersenen steeds minder geregistreerd. Wat opvalt, is dat waarschuwingen die telkens van vorm veranderden, dit effect veel beter weerstonden. Variatie houdt de aandacht vast, terwijl herhaling van precies hetzelfde de aandacht juist laat verslappen.

De aandacht verslapt bij herhaling van hetzelfde

Respons op een waarschuwing naar het aantal blootstellingen

hoog laag aandacht / respons 1e 2e 3e 4e 5e blootstelling wisselende vorm gelijke vorm

Figuur 2 Een conceptuele weergave. Bij herhaling van precies dezelfde boodschap daalt de respons al na de tweede blootstelling fors. Een boodschap die telkens van vorm verandert, houdt de aandacht beter vast. Naar Anderson e.a. (2015) en Vance e.a. (2018).

Het tweede mechanisme is berichtmoeheid, een begrip uit de communicatiewetenschap. So, Kim en Cohen brachten in kaart hoe mensen reageren wanneer zij langdurig worden blootgesteld aan boodschappen over hetzelfde onderwerp (So, Kim en Cohen, 2017). Het gaat dan om een toestand van uitputting die ontstaat door overdaad, herhaling en eentonigheid, en die ertoe leidt dat mensen de boodschap gaan negeren. In vervolgonderzoek bleek dat berichtmoeheid de overtuigingskracht langs twee wegen ondermijnt: door actieve weerstand, waarbij mensen zich tegen de boodschap gaan verzetten, en door passieve afhaking, waarbij zij gewoon niet meer opletten (Kim en So, 2018). Het verontrustende is dat overdaad niet alleen het effect wegneemt, maar de gewenste handeling zelfs minder waarschijnlijk kan maken dan wanneer er niets was gecommuniceerd. Vergelijkbare effecten zijn beschreven bij voorlichting over klimaat en gezondheid, waar te veel van dezelfde boodschap de bereidheid om mee te doen juist verlaagde.

In de beveiligingscontext heeft dit een eigen naam gekregen. Onderzoekers van NIST stuitten in interviews op wat zij beveiligingsmoeheid noemen, een vermoeidheid en onwil om zich nog met beveiliging bezig te houden (Stanton e.a., 2016). Mensen voelden zich bestookt met waarschuwingen in de trant van let op dit en let op dat, en reageerden daarop met berusting, een gevoel van controleverlies, het bagatelliseren van risico's en het ontwijken van beslissingen. De onderzoekers bevelen daarom aan om het aantal beveiligingsbeslissingen dat je van mensen vraagt zo klein mogelijk te houden.

Deze mechanismen vallen samen in een nuchtere economische gedachte, het nalevingsbudget. Beautement, Sasse en Wonham lieten zien dat mensen beveiligingsregels maar tot op zekere hoogte opvolgen, waarna de bereidheid afneemt (Beautement, Sasse en Wonham, 2008). Er is, met andere woorden, een eindige hoeveelheid aandacht en medewerking beschikbaar, en boven die grens wordt elke extra eis eerder schadelijk dan nuttig. Elke poster en elke mailing kost iets van dat budget. Wie blijft zenden zonder die kosten te tellen, raakt door zijn voorraad heen en houdt niets over voor het moment waarop het er werkelijk toe doet.

Meer communiceren helpt, tot het averechts werkt

Effect op gedrag naar de hoeveelheid communicatie

effect op gedrag hoeveelheid communicatie optimum zichtbaarheid loont gewenning · moeheid · weerstand

Figuur 3 Een conceptuele weergave. Tot een bepaald punt vergroot communiceren het effect op gedrag. Voorbij dat punt nemen gewenning, berichtmoeheid en weerstand de overhand, en daalt het effect weer. Naar So, Kim en Cohen (2017), Stanton e.a. (2016) en Beautement, Sasse en Wonham (2008).

04 · AanpakVan campagne naar programma

Als communiceren één hefboom is en geen programma, en als meer van hetzelfde op een gegeven moment averechts gaat werken, dan volgt daaruit een andere manier van werken. De kern is om de communicatie te behandelen als een onderdeel van een programma dat op gedrag stuurt, en niet als het programma zelf.

  1. Behandel communicatie als één hefboom binnen een beheerde cyclus.Geef het programma een levensloop in plaats van een agenda met losse uitingen: stel doelen vast, stem de inhoud af op rollen en doelgroepen, meet het effect en stuur bij (NIST SP 800-50r1, 2024). Een campagne is dan een instrument binnen die cyclus, en niet het sluitstuk ervan.
  2. Ontwerp voor gedrag in plaats van voor zichtbaarheid.Vraag bij elke interventie welk onderdeel van gedrag je beïnvloedt. Eén boodschap raakt hooguit de kennis, terwijl gedrag ook motivatie en gelegenheid vraagt (Michie, van Stralen en West, 2011). Zorg dus dat het veilige gedrag niet alleen bekend is, maar ook aantrekkelijk en eenvoudig te doen.
  3. Wissel de vorm af om gewenning tegen te gaan.Herhaal niet eindeloos dezelfde poster of mailing, want precies dat laat de aandacht verslappen. Varieer vorm, kanaal en invalshoek, zodat de boodschap telkens opnieuw wordt opgemerkt (Anderson e.a., 2015; Vance e.a., 2018).
  4. Respecteer het aandachts- en nalevingsbudget.Kies voor minder maar gerichtere en goed getimede boodschappen, en beperk het aantal beslissingen dat je van mensen vraagt (Stanton e.a., 2016; Beautement, Sasse en Wonham, 2008). Elke onnodige boodschap kost een deel van een voorraad die je beter bewaart voor het moment dat het ertoe doet.
  5. Meet gedrag en effect in plaats van het aantal uitingen.Tel niet hoeveel posters er hingen of hoeveel mailings er uitgingen, maar kijk naar wat mensen daadwerkelijk doen, zoals het melden van verdachte berichten. Dat zo'n vaardigheid, het herkennen van phishing, niet vanzelf verbetert van blootstelling alleen, werkten we uit in Het aandachtsprobleem. Onder de Cyberbeveiligingswet valt de zorg voor weerbaar gedrag bovendien onder de verantwoordelijkheid van het bestuur, en het meekrijgen van die leiding is een opgave op zichzelf, zoals we lieten zien in Het draagvlakprobleem. Die verantwoordelijkheid laat zich beter onderbouwen met gedragscijfers dan met een telling van uitingen.

En de campagne zelf?

Communicatie is niet zinloos, integendeel. Zichtbaarheid is nodig om een onderwerp op de kaart te zetten, om de toon te zetten en om mensen eraan te herinneren dat veilig gedrag ertoe doet. De kritiek in dit rapport geldt één manier van werken, namelijk de campagne die als het hele programma wordt beschouwd, die eindeloos hetzelfde herhaalt, en die wordt afgerekend op het aantal uitingen in plaats van op het gedrag dat eruit volgt. Wanneer je communicatie anders inzet, dus als een bewuste hefboom binnen een programma dat op gedrag is ontworpen, blijft zij een waardevol en onmisbaar instrument.

05 · ConclusieZichtbaarheid is een begin, geen programma

Een communicatiecampagne is iets wezenlijk anders dan een gedragsprogramma. Zichtbaarheid richt de aandacht, maar zij leert geen vaardigheid aan en zij stuurt op zichzelf geen gedrag. Een programma combineert die zichtbaarheid met training, met aandacht voor motivatie en gelegenheid, met meting en met bijsturing, en het doet dat als een beheerde cyclus in plaats van als een reeks losse uitingen. Wie de twee gelijkstelt, verwart een laag met het geheel.

En communiceren verliest zijn werking zodra de herhaling de aandacht laat verslappen en de moeheid de overhand neemt. Door gewenning daalt de respons al na de tweede blootstelling, door berichtmoeheid kan herhaling zelfs averechts werken, en het aandachts- en nalevingsbudget is nu eenmaal eindig. De juiste vraag is daarom niet of er veel is gecommuniceerd, maar of het gedrag en de cultuur duurzaam zijn veranderd. Zichtbaarheid is daarbij een begin, en geen programma.

Beperkingen

  • Dit rapport is een literatuurstudie die bestaand wetenschappelijk onderzoek samenvat, en bevat geen nieuw eigen onderzoek.
  • Een deel van het bewijs over gewenning is gemeten aan beveiligingswaarschuwingen op een scherm. De vertaling naar posters, mailings en intranetcampagnes berust op het onderliggende mechanisme en niet op een directe meting in die kanalen.
  • Het onderzoek naar berichtmoeheid komt grotendeels uit de voorlichting over gezondheid en klimaat. De mechanismen zijn breed bevestigd, maar de precieze grenswaarden kunnen per context en publiek verschillen.

Bronnen

  1. Anderson, B. B., Kirwan, C. B., Jenkins, J. L., Eargle, D., Howard, S., en Vance, A. (2015). How Polymorphic Warnings Reduce Habituation in the Brain: Insights from an fMRI Study. Proceedings of the 33rd Annual ACM Conference on Human Factors in Computing Systems (CHI '15), 2883 tot 2892. doi.org/10.1145/2702123.2702322
  2. Bada, M., Sasse, A. M., en Nurse, J. R. C. (2015). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. arxiv.org/abs/1901.02672
  3. Beautement, A., Sasse, M. A., en Wonham, M. (2008). The Compliance Budget: Managing Security Behaviour in Organisations. Proceedings of the 2008 New Security Paradigms Workshop (NSPW '08), 47 tot 58. doi.org/10.1145/1595676.1595684
  4. Kim, S., en So, J. (2018). How Message Fatigue toward Health Messages Leads to Ineffective Persuasive Outcomes: Examining the Mediating Roles of Reactance and Inattention. Journal of Health Communication, 23(1), 109 tot 116. doi.org/10.1080/10810730.2017.1414900
  5. Michie, S., van Stralen, M. M., en West, R. (2011). The behaviour change wheel: A new method for characterising and designing behaviour change interventions. Implementation Science, 6, 42. doi.org/10.1186/1748-5908-6-42
  6. National Institute of Standards and Technology (2024). Building a Cybersecurity and Privacy Learning Program. NIST Special Publication 800-50r1. doi.org/10.6028/NIST.SP.800-50r1
  7. So, J., Kim, S., en Cohen, H. (2017). Message fatigue: Conceptual definition, operationalization, and correlates. Communication Monographs, 84(1), 5 tot 29. doi.org/10.1080/03637751.2016.1250429
  8. Stanton, B., Theofanos, M. F., Prettyman, S. S., en Furman, S. (2016). Security Fatigue. IT Professional, 18(5), 26 tot 32. doi.org/10.1109/MITP.2016.84
  9. Vance, A., Jenkins, J. L., Anderson, B. B., Bjornn, D. K., en Kirwan, C. B. (2018). Tuning Out Security Warnings: A Longitudinal Examination of Habituation Through fMRI, Eye Tracking, and Field Experiments. MIS Quarterly, 42(2), 355 tot 380. doi.org/10.25300/MISQ/2018/14124
Volgende stap

Gebruik dit artikel als basis en bekijk daarna hoe 2LRN4 dit onderwerp praktisch vertaalt naar doelgroepsegmentatie, training en rapportage.

Plan demo Download gids Meer artikelen