2LRN4 security awareness platform
Onderzoeksrapport · Literatuurstudie

Het aandachtsprobleem

Waarom phishingsimulaties op zichzelf de medewerkers niet beter maken in het herkennen van phishing, en welke aanpak wél door de wetenschap wordt ondersteund.

Gepubliceerd 6 juni 2026 Versie 1.0 Leestijd 14 min Licentie CC BY 4.0

In het kort

  1. Een dalend klikpercentage betekent niet dat de medewerkers phishing beter zijn gaan herkennen. Het klikgedrag wordt sterker bepaald door de moeilijkheid van de phishingmail dan door de gevolgde training, en het versturen van steeds moeilijkere simulaties meet vooral hoe overtuigend de eigen phishingmail was.
  2. Training verhoogt vooral de kennis en de houding van medewerkers. Of dat ook in gedrag wordt omgezet, hangt af van het ontwerp: passieve voorlichting verandert weinig, terwijl actieve, herhaalde en op de persoon afgestemde training het gedrag wel beïnvloedt. Bij phishing speelt bovendien dat het eerder een aandachtsprobleem is dan een kennisprobleem.
  3. De wetenschap wijst op een gelaagde aanpak: maak de aanval technisch onmogelijk met phishing-bestendige authenticatie, gebruik medewerkers als collectieve meldsensor, ontwerp eventuele training voor gedrag, en beperk de schade voor het geval het toch misgaat.

Phishing is een hardnekkig probleem, en de meest gangbare reactie erop is de phishingsimulatie: een nepbericht dat test of de medewerkers erin trappen. In de praktijk ontstaat daarbij een patroon waarin organisaties die alleen simuleren, steeds moeilijkere berichten willen versturen. Het succes van zo'n programma wordt dan vooral afgemeten aan de vraag hoe overtuigend de eigen phishingmail was.

De vraag of de medewerkers phishing daardoor ook echt beter leren herkennen, blijft daarbij onbeantwoord. Dit rapport zet op een rij wat het wetenschappelijk onderzoek hierover laat zien, en welke aanpak daaruit volgt.

Verantwoording

Type
Literatuurstudie op basis van peer-reviewed onderzoek en gezaghebbende standaarden.
Bronnen
Vier grootschalige veldstudies, een meta-analyse van 69 onderzoeken, en richtlijnen van NIST en CISA.
Peildatum
Juni 2026.

01 · BevindingHet klikpercentage meet niet wat het lijkt te meten

Een dalend klikpercentage wordt al snel uitgelegd als bewijs dat de medewerkers beter zijn geworden. Een grootschalige reproductiestudie laat echter zien dat vooral de moeilijkheidsgraad van de phishingmail het klikgedrag bepaalt (Rozema en Davis, 2025). Gemeten met de Phish Scale van NIST liep het klikpercentage op van ongeveer 7 procent bij de makkelijke berichten naar ongeveer 15 procent bij de moeilijke. Een moeilijkere simulatie die meer mensen vangt, laat dus in de eerste plaats zien dat het bericht moeilijker was, en niet dat de medewerkers slechter zijn geworden.

Daar komt bij dat in de grootste studie tot nu toe het aandeel medewerkers dat in de berichten trapte, in de loop van de tijd juist toenam in plaats van afnam. Het ging om een onderzoek waarin de deelnemers willekeurig werden ingedeeld, een zogeheten gerandomiseerde gecontroleerde studie, onder ruim 19.500 medewerkers van UC San Diego Health (Ho e.a., 2025). Herhaalde simulaties kunnen de medewerkers leren om de testmails te herkennen, zonder dat zij daardoor ook de echte, nieuwe phishing beter herkennen. Precies daar zit de kern van het probleem: het herkennen van een testmail is iets anders dan het herkennen van echte phishing.

De moeilijkheid van de phishingmail bepaalt het klikgedrag

Klikpercentage naar moeilijkheidsgraad

Figuur 1 Het klikpercentage verdubbelt ruimschoots wanneer de phishingmail moeilijker is, los van de gevolgde training. Bron: Rozema en Davis (2025), gemeten met de NIST Phish Scale.

02 · BevindingVan kennis naar gedrag: het ontwerp geeft de doorslag

Training verhoogt aantoonbaar de kennis en de houding van medewerkers. Dat blijkt sterk uit de meta-analyse van 69 onderzoeken door de Universiteit Leiden (Prümmer, van Steen en van den Berg, 2024): het effect op kennis en houding is groot. Op het feitelijke gedrag is het gemiddelde effect echter klein. Dat verschil is geen toeval, maar een bekend gegeven uit de gedragswetenschap: kennis is een voorwaarde voor veilig gedrag, maar op zichzelf niet genoeg. Het Behaviour Change Wheel laat zien dat naast kennis ook motivatie en de gelegenheid om het goede te doen nodig zijn (Michie, van Stralen en West, 2011).

Het gemiddelde verbergt bovendien grote verschillen, en die zitten vooral in het ontwerp van de training. Voorlichting waarin alleen informatie wordt verspreid, verandert weinig (Bada, Sasse en Nurse, 2015). Training die actief, herhaald en op de persoon afgestemd is, doet daarentegen wel iets met gedrag. In een gecontroleerd experiment verbeterde een spelvorm niet alleen de houding en de intentie, maar ook het gerapporteerde gedrag, vergeleken met een spel zonder beveiligingsinhoud (van Steen en Deeleman, 2021). De conclusie is dus niet dat training niet werkt, maar dat de vorm bepaalt of kennis ook in gedrag wordt omgezet.

Kennis is een voorwaarde, geen garantie

Het COM-B model uit het Behaviour Change Wheel

Figuur 2 Veilig gedrag ontstaat pas wanneer de kennis en vaardigheid (kunnen), de motivatie (willen) en de gelegenheid om het goede te doen samenkomen. Kennis alleen is niet genoeg. Naar Michie, van Stralen en West (2011).

Sterk effect op kennis, klein gemiddeld effect op gedrag

Effectgrootte (Cohen's d) met betrouwbaarheidsinterval

Kennis en houding Totaal en gedrag

Figuur 3 Het effect op kennis en houding is groot (d = 1,02). Op het feitelijke gedrag is het gemiddelde effect klein (d = 0,36), maar dat gemiddelde wordt sterk bepaald door het ontwerp van de training. Bron: Prümmer, van Steen en van den Berg (2024).

03 · VerklaringPhishing is een aandachtsprobleem, geen kennisprobleem

De verklaring waarom meer kennis niet altijd helpt, komt uit twee studies van een onderzoeksgroep van de ETH Zürich. In hun grootste experiment, dat vijftien maanden duurde en bijna 15.000 medewerkers omvatte, bleek dat de ingebedde training de medewerkers niet weerbaarder maakte en in sommige gevallen zelfs een averechts effect had. Met die ingebedde training bedoelen we de korte uitleg die iemand te zien krijgt nadat hij of zij op een testmail heeft geklikt (Lain, Kostiainen en Čapkun, 2022). In het vervolgonderzoek, dat werd bekroond op de ACM-conferentie over computer- en communicatiebeveiliging, onderzochten de auteurs waar dat kleine effect dan vandaan kwam (Lain e.a., 2024). De conclusie was ontnuchterend: het effect kwam voort uit de periodieke herinnering aan de dreiging, en niet uit de inhoud van die korte uitleg, die door de meeste medewerkers nauwelijks werd gelezen.

Phishing is eerder een aandachtsprobleem dan een kennisprobleem, ook bij de meest gevoelige medewerkers.

Bevinding van Lain en collega's (2024), ETH Zürich

Dit inzicht verandert de hele aanpak. Als het probleem niet is dat de medewerkers te weinig weten, maar dat zij op het verkeerde moment even niet opletten, dan heeft het weinig zin om hun nog meer kennis bij te brengen. Iemand die op zo'n moment is afgeleid, herkent ook een goede phishingmail niet, hoeveel modules hij of zij ook heeft doorlopen. De oplossing ligt daarom minder bij de oplettendheid van de individuele medewerker, en meer bij de technische omgeving en de werkwijze daaromheen. Daarmee bedoelen we systemen die een fout opvangen voordat die schade veroorzaakt, en processen die een verdacht bericht snel laten melden en onschadelijk maken.

04 · AanpakEen andere aanpak: gelaagd en op bewijs gebaseerd

Wanneer de waakzaamheid en de kennis van de medewerker niet de doorslaggevende factoren zijn, wijst het onderzoek op een gelaagde aanpak. Het idee daarachter is om de aanval te laten falen voordat een vergissing schade kan veroorzaken, en om de menselijke oplettendheid te beschouwen als de dunste en laatste laag in plaats van als de eerste verdediging.

Een gelaagde, onderbouwde aanpak

Van technische maatregelen tot individuele waakzaamheid

Figuur 4 Een conceptuele weergave. De maatregelen met het grootste effect zijn technisch van aard. De individuele waakzaamheid is de dunste laag, die je het laatst en het minst zou moeten belasten.

  1. Maak de aanval technisch onmogelijk.Phishing-bestendige authenticatie, zoals FIDO2 of WebAuthn en sleutels op basis van PKI, bindt de inlog aan het echte domein. Een nepsite krijgt daardoor geen geldig antwoord, ongeacht wie erop klikt. NIST plaatst deze vorm op het hoogste betrouwbaarheidsniveau en CISA noemt haar de norm (NIST SP 800-63B; CISA, 2022).
  2. Laat minder phishingmails aankomen en waarschuw bij de rest.Maatregelen tegen het vervalsen van afzenders (DMARC, DKIM en SPF), filtering en waarschuwingen op verdachte e-mail ontlasten de aandacht van de medewerker. De studie van de ETH liet zien dat zulke waarschuwingen goed werken (Lain e.a., 2022).
  3. Gebruik de medewerkers als collectieve sensor.Een meldknop maakt van de medewerkers samen een detectielaag die nieuwe campagnes snel zichtbaar maakt (Lain e.a., 2022). Phishingsimulaties zijn bij uitstek geschikt om die meldreflex in te oefenen, mits je stuurt op het meldpercentage en op de tijd tussen zien en melden, en niet op het klikpercentage.
  4. Ontwerp de training voor gedrag in plaats van voor kennis.Korte, herhaalde en op de context afgestemde herinneringen werken beter dan lange cursussen, en interactieve en speelse vormen hebben een groter effect op het gedrag (Prümmer, van Steen en van den Berg, 2024). Effectieve training is bovendien doorlopend en op de medewerker afgestemd, in plaats van eenmalig en algemeen (Jampen e.a., 2020).
  5. Beperk de schade als het toch misgaat.Ga ervan uit dat sommige klikken zullen slagen, en zorg met minimale rechten, segmentatie, bewaking en een snelle respons dat één vergissing niet uitgroeit tot een volledige inbraak.

Tot slot een punt over het meten. De onderzoekers achter het grootste experiment pleiten ervoor om, net als in medisch onderzoek, met willekeurige toewijzing te meten welke maatregel het meeste risico wegneemt, in plaats van te sturen op klikcijfers of op de moeilijkheid van de eigen phishingmail (Ho e.a., 2025). De vraag is dus niet hoe overtuigend je een nepbericht kunt maken, maar hoeveel werkelijke weerbaarheid een maatregel oplevert per geïnvesteerde euro.

En de phishingsimulatie zelf?

Phishingsimulaties zijn niet zinloos. De kritiek in dit rapport geldt één manier van gebruiken: de terugkerende test die alleen bedoeld is om medewerkers te betrappen, die wordt afgerekend op het klikpercentage en steeds moeilijker wordt gemaakt. Anders ingezet zijn ze wel degelijk waardevol. Ze zijn bij uitstek geschikt om de meldreflex in te oefenen, dus het gedrag waarbij iemand een verdacht bericht meteen meldt en daarmee bijdraagt aan de collectieve sensor. Daarnaast werken ze als een periodieke herinnering die de dreiging weer even onder de aandacht brengt, en als een nuchtere nulmeting om te zien waar de organisatie staat. De voorwaarden zijn daarbij helder: stuur op het meldpercentage en op de tijd tussen zien en melden in plaats van op het klikpercentage, straf niemand af, voer de moeilijkheidsgraad niet op als een wapenwedloop, en houd de berichten realistisch en eerlijk.

05 · ConclusieNiet meer en moeilijker, maar anders

Phishingsimulaties maken de medewerkers op zichzelf niet aantoonbaar beter in het herkennen van phishing, en het opvoeren van de moeilijkheidsgraad verschuift de aandacht naar de verkeerde maatstaf. Het wetenschappelijk onderzoek wijst niet op meer of moeilijkere simulaties, maar op een gelaagde aanpak. Die aanpak laat de aanval technisch falen, detecteert hem snel door het melden, en ondersteunt het gedrag met goed ontworpen, herhaalde en actieve training in plaats van met passieve kennisoverdracht. Training en simulaties houden daarbinnen een duidelijke rol, zolang zij op gedrag zijn gericht en niet uitgroeien tot een wapenwedloop met de eigen medewerkers.

Beperkingen

  • Dit rapport is een literatuurstudie die bestaand wetenschappelijk onderzoek samenvat, en bevat geen nieuw eigen onderzoek.
  • De aangehaalde studies zijn uitgevoerd in specifieke organisaties en contexten, waardoor de effecten per omgeving kunnen verschillen.
  • Gedrag is lastig te meten, en niet elke studie hanteert dezelfde uitkomstmaat, wat een directe vergelijking bemoeilijkt.

Bronnen

  1. Bada, M., Sasse, A. M., en Nurse, J. R. C. (2015). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. arxiv.org/abs/1901.02672
  2. Cybersecurity and Infrastructure Security Agency (CISA) (2022, herzien 2024). Implementing Phishing-Resistant MFA. cisa.gov/MFA
  3. Ho, G., Mirian, A., Dameff, C., e.a. (2025). Understanding the Efficacy of Phishing Training in Practice. IEEE Symposium on Security and Privacy 2025. people.cs.uchicago.edu
  4. Jampen, D., Gür, G., Sutter, T., en Tellenbach, B. (2020). Don't click: towards an effective anti-phishing training. A comparative literature review. Human-centric Computing and Information Sciences, 10:33. doi.org/10.1186/s13673-020-00237-7
  5. Lain, D., Kostiainen, K., en Čapkun, S. (2022). Phishing in Organizations: Findings from a Large-Scale and Long-Term Study. IEEE Symposium on Security and Privacy, 842 tot 859. arxiv.org/abs/2112.07498
  6. Lain, D., Jost, T., Matetic, S., Kostiainen, K., en Čapkun, S. (2024). Content, Nudges, and Incentives: A Study on the Effectiveness and Perception of Embedded Phishing Training. ACM CCS 2024. doi.org/10.1145/3658644.3690348
  7. Michie, S., van Stralen, M. M., en West, R. (2011). The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation Science, 6:42. doi.org/10.1186/1748-5908-6-42
  8. National Institute of Standards and Technology (NIST). Digital Identity Guidelines, SP 800-63B en SP 800-63-4. csrc.nist.gov/projects/digital-identity-guidelines
  9. Prümmer, J., van Steen, T., en van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
  10. Prümmer, J., van Steen, T., en van den Berg, B. (2024). A systematic review of current cybersecurity training methods. Computers & Security, 136, 103585. doi.org/10.1016/j.cose.2023.103585
  11. Rozema, A. T., en Davis, J. C. (2025). Anti-Phishing Training (Still) Does Not Work: A Large-Scale Reproduction of Phishing Training Inefficacy Grounded in the NIST Phish Scale. arxiv.org/abs/2506.19899
  12. van Steen, T., en Deeleman, J. R. A. (2021). Successful gamification of cybersecurity training. Cyberpsychology, Behavior, and Social Networking, 24(9). doi.org/10.1089/cyber.2020.0526

Citatie

2LRN4 (2026). Het aandachtsprobleem. Onderzoeksreeks 2LRN4. Beschikbaar onder CC BY 4.0.
CC BY 4.0 Vrij te delen en te bewerken, met bronvermelding