Deze woordenlijst brengt de meest gebruikte termen uit security awareness bij elkaar. Bruikbaar als referentie voor medewerkers, inkopers en security-professionals die intern uitleg nodig hebben.
De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) is de Europese privacywet die organisaties verplicht om persoonsgegevens zorgvuldig te verwerken. Medewerkers moeten begrijpen wat persoonsgegevens zijn en hoe ze daarmee om moeten gaan.
Awareness fatigue
Het verschijnsel waarbij medewerkers zo gewend raken aan beveiligingswaarschuwingen, trainingen en phishingtests dat ze er niet meer op reageren. Awareness fatigue ontstaat bij herhaalde, weinig relevante boodschappen. Oplossing: kortere modules, hogere relevantie en variatie in aanpak.
C
Click rate (klikpercentage)
Het percentage medewerkers dat op een phishinglink klikt tijdens een simulatie of echte aanval. De click rate is een startpunt voor meting, maar zegt op zichzelf weinig: wie klikte is minder interessant dan waarom, wanneer en hoe snel het gemeld werd.
CEO-fraude / Business Email Compromise (BEC)
Een gerichte aanval waarbij een aanvaller zich voordoet als CEO, directeur of andere leidinggevende om medewerkers — vaak op de financiële afdeling — te verleiden tot een onbevoegde betaling of gegevensverstrekking. BEC is verantwoordelijk voor miljardenschade wereldwijd.
D
Deepfake
Door AI gegenereerde nep-audio, -video of -afbeeldingen die iemand laten zeggen of doen wat hij nooit heeft gezegd of gedaan. Deepfakes worden ingezet voor desinformatie, reputatieschade en fraude, en stellen nieuwe eisen aan de digitale geletterdheid van medewerkers.
Datalek (data breach)
Het ongeoorloofde verlies, de diefstal of openbaarmaking van persoonsgegevens of vertrouwelijke informatie. Datalekken moeten onder de AVG binnen 72 uur worden gemeld aan de toezichthouder. Medewerkers spelen een cruciale rol in het herkennen en melden van incidenten.
G
Gamification in security awareness
Het toepassen van spelelementen — zoals punten, badges, leaderboards of uitdagingen — in security awareness-training om betrokkenheid en herhaling te stimuleren. Gamification werkt het best wanneer het gedragsverandering ondersteunt in plaats van louter entertainment biedt.
I
Insider threat
Een beveiligingsrisico dat afkomstig is van mensen binnen de organisatie: medewerkers, oud-medewerkers, leveranciers of partners met toegang tot systemen of data. Insider threats kunnen bewust (kwaadwillig) of onbewust (nalatig) zijn. Bewustwording helpt onbedoelde insider-incidenten te verminderen.
Incidentmelding
Het proces waarbij medewerkers verdachte situaties, fouten of beveiligingsincidenten intern melden. Een cultuur van blame-free melden is essentieel: wie een fout durft te melden, geeft de organisatie de kans om snel te reageren voordat schade zich uitbreidt.
M
Malware
Verzamelnaam voor kwaadaardige software, waaronder virussen, wormen, trojans, spyware en ransomware. Malware wordt vaak verspreid via phishing, valse downloads of besmette USB-sticks. Medewerkers die phishing herkennen, vormen een essentiële verdedigingslinie.
Multi-factor authenticatie (MFA)
Een beveiligingsmethode waarbij toegang tot een systeem wordt verkregen via meerdere verificatiestappen: iets wat je weet (wachtwoord), iets wat je hebt (telefoon/token) of iets wat je bent (biometrie). MFA vermindert het risico van gestolen inloggegevens drastisch.
N
NIS2-richtlijn
De Europese richtlijn Network and Information Security 2 (NIS2) verplicht essentiële en belangrijke entiteiten tot concrete maatregelen voor cyberveiligheid, waaronder bewustmaking en opleiding van medewerkers (art. 21) en opleiding van bestuurders (art. 20). Awareness is daarmee een benoemde wettelijke verplichting. In Nederland is de NIS2-richtlijn uitgewerkt in de Cyberbeveiligingswet (Cbw).
P
Phishing
Een aanvalstechniek waarbij aanvallers via e-mail, SMS of andere kanalen proberen mensen te verleiden om op een link te klikken, inloggegevens in te voeren of een bijlage te openen. Phishing is de meest voorkomende instapvector voor cyberincidenten.
Phishing simulatie
Een gecontroleerde test waarbij een organisatie nep-phishingmails verstuurt naar eigen medewerkers om te meten hoe zij reageren. Het doel is niet straffen, maar bewustwording vergroten en gedrag meetbaar verbeteren. Resultaten worden gebruikt voor rapportage en gerichte opvolging.
R
Report rate (meldpercentage)
Het percentage medewerkers dat een verdachte e-mail of phishingpoging actief meldt bij IT of security. Een stijgende report rate is vaak een betere indicator van gedragsverandering dan een dalende click rate, omdat het ook gedrag buiten de simulatie zichtbaar maakt.
Ransomware
Schadelijke software die bestanden of systemen versleutelt en losgeld eist voor de sleutel. Ransomware-aanvallen beginnen doorgaans met phishing, een besmette bijlage of een onbeveiligde verbinding. Security awareness vermindert de kans op een initiële infectie aanzienlijk.
S
Security awareness
Het bewustzijn van medewerkers over cybersecurityrisico's en de kennis om daar veilig mee om te gaan in het dagelijkse werk. Security awareness gaat verder dan kennis: het doel is gedragsverandering die leidt tot veiliger handelen bij phishing, wachtwoorden, toegangsbeheer en meldingen.
Spear phishing
Een gerichte variant van phishing waarbij de aanvaller de boodschap personaliseert op basis van informatie over het doelwit, zoals naam, functie, werkgever of recente activiteiten. Spear phishing is moeilijker te herkennen dan generieke phishingmails.
Social engineering
Een aanvalsmethode waarbij gebruik wordt gemaakt van psychologische manipulatie in plaats van technische kwetsbaarheden. Voorbeelden zijn urgentie creëren, autoriteit nadoen, vertrouwen misbruiken of angst opwekken. Phishing is de meest voorkomende vorm van social engineering.
Smishing
SMS-phishing: aanvallen via sms of berichten-apps (zoals WhatsApp) met nep-links, valse meldingen of urgente verzoeken. Smishing neemt toe omdat medewerkers sms-berichten minder kritisch beoordelen dan e-mails.
Security awareness programma
Een gestructureerd, doorlopend initiatief om de kennis en het gedrag van medewerkers op het gebied van cyberveiligheid te verbeteren. Een goed programma combineert training, phishing simulatie, communicatie, rapportage en management-betrokkenheid in een jaarritme.
T
Toegangsbeheer (access management)
Het beleid en de processen waarmee geregeld wordt wie toegang heeft tot welke systemen, data en locaties. Het principe van minimale rechten (least privilege) beperkt de schade bij een gecompromitteerd account. Medewerkers moeten begrijpen hoe ze veilig met toegangen omgaan.
V
Vishing
Voice phishing: een aanval via telefoon waarbij aanvallers zich voordoen als collega's, IT-medewerkers, banken of overheidsinstanties om gevoelige informatie los te krijgen of acties te laten uitvoeren. Vishing wordt vaker ingezet in combinatie met andere aanvalstechnieken.
W
Wachtwoordhygiëne
De gewoonten rondom het aanmaken, bewaren en gebruiken van wachtwoorden: unieke wachtwoorden per account, voldoende lengte en complexiteit, geen hergebruik en gebruik van een wachtwoordmanager. Slechte wachtwoordhygiëne is één van de meest voorkomende oorzaken van accountcompromissen.
Z
Zero-day kwetsbaarheid
Een beveiligingslek in software dat nog niet bekend is bij de fabrikant en waarvoor nog geen patch beschikbaar is. Aanvallers maken misbruik van zero-days voordat organisaties ze kunnen dichten. Security awareness vermindert de blootstelling via menselijke invalshoeken.
Meer verdieping over deze begrippen
De kennisbank bevat artikelen die ingaan op de praktijk achter deze begrippen: hoe je phishing meet, wanneer simulaties averechts werken en hoe je security awareness aantoonbaar maakt richting bestuur en audit.
