Rijksoverheidsambtenaren moeten verplicht cursus Digitale Weerbaarheid volgen

Nederlandse Rijksambtenaren moeten verplicht een opleiding gaan volgen waarin zij leren correct met gevoelige informatie om te gaan. De opleiding Digitale Weerbaarheid richt zich onder andere op veilig werken in verschillende omstandigheden en het omgaan met persoonsgegevens.

De opleiding bestaat in de vorm van een e-learning, schrijft de overheid. De opleiding bestaat uit zeven modules. Vier daarvan gaan over veilig werken, zowel voor kantoor- als thuiswerkomgevingen, voor onderweg of voor het samenwerken met collega's. Ook is er een module genaamd 'omgaan met informatie' en een module die gaat over het behandelen van persoonsgegevens en privacygevoelige data. Tot slot heeft de training een securitycomponent. "Met de online basisopleiding leer je op verschillende manieren hoe jij kunt bijdragen aan de digitale weerbaarheid van jezelf en de Rijksoverheid", schrijft de overheid.

Overheidsorganisaties zoals ministeries mogen zelf bepalen op welke manier ze de opleiding indelen, maar de opleiding wordt wel verplicht voor alle werknemers en leidinggevenden binnen de Rijksoverheid. Overheidsinstellingen die geen eigen opleidingsmodule hebben, kunnen dat doen via de Rijksacademie voor Digitalisering en Informatisering Overheid, of Radio-omgeving. Die afdeling heeft de training samen met de CIO Rijk opgesteld.

Ambtenaren besteden ongeveer vier uur aan het doorlopen van de e-learning. Ze krijgen daarbij aan het eind een toets.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 11-04-2025 13:40
98 • submitter: Ulysses

11-04-2025 • 13:40

Submitter: Ulysses

Lees meer

Rijksoverheid gaat afgeschreven laptops wissen en weggeven aan Nederlanders

Rijksoverheid gaat afgeschreven laptops wissen en weggeven aan Nederlanders Nieuws van 25 april 2025

Onderzoeker vindt verdachte unlisted Chrome-extensies met miljoenen installaties

Onderzoeker vindt verdachte unlisted Chrome-extensies met miljoenen installaties Nieuws van 11 april 2025

'Groot datalek' bij ministeries blijkt uit namen van ambtenaren te bestaan

'Groot datalek' bij ministeries blijkt uit namen van ambtenaren te bestaan Nieuws van 11 april 2025

Staatssecretaris wil snel beginnen met bouw van Nederlandse overheidsclouddienst

Staatssecretaris wil snel beginnen met bouw van Nederlandse overheidsclouddienst Nieuws van 7 april 2025

Gemeenten starten digitale meldplicht voor voetbalsupporters met stadionverbod

Gemeenten starten digitale meldplicht voor voetbalsupporters met stadionverbod Nieuws van 1 april 2025

Staatssecretaris: nieuwe clouddiensten voor ambtenaren slaan alleen metadata op

Staatssecretaris: nieuwe clouddiensten voor ambtenaren slaan alleen metadata op Nieuws van 13 maart 2025

Amsterdam doet geen pilot met Microsoft Copilot wegens privacyrisico's - update

Amsterdam doet geen pilot met Microsoft Copilot wegens privacyrisico's - update Nieuws van 27 februari 2025

Nederlandse ambtenaren mogen DeepSeek niet gebruiken van kabinet

Nederlandse ambtenaren mogen DeepSeek niet gebruiken van kabinet Nieuws van 6 februari 2025

NCSC publiceert Wall of Fame met impactvolste overheidshackers

NCSC publiceert Wall of Fame met impactvolste overheidshackers Nieuws van 29 januari 2025

Meer producten en artikelen

Beveiliging en antivirus Privacy Cursus Nederland Overheid Training

Reacties (98)

Beveiliging en antivirus
Nederland
Overheid
Privacy

11 april 2025 13:46

Goed idee en in ieder geval geeft het dan wat basiskennis.

Denk dat dit breder getrokken zou mogen worden. Dus niet alleen ambtenaren die verplicht zo'n cursus moeten volgen, maar iedereen die (zakelijk) met computers en/of vertrouwelijke informatie werkt.

Ook in het bedrijfsleven zie je soms dingen voorbij komen waarvan je denkt 'goedemorgen...'.

Nou heb ik niet de illusie dat iemand die zo'n cursus gevolgd heeft nooit meer iets fout zal doen (dat is ook niet realistisch, we zijn nu eenmaal mensen) maar heb iig de hoop dat er wat meer besef en inzicht is en het aantal fouten in ieder geval fors lager ligt.

Sissors @wildhagen • 11 april 2025 13:54

Maar is er weleens onderzocht wat de impact van zulke e-learning cursussen is? Want wij krijgen er ook een paar per jaar. Die moeten helemaal afgespeeld worden. En mogen niet op de achtergrond staan. Dus onderin hoekje van je tweede scherm speelt die af, en soms klik je op de volgende knop, om aan het einde even de juiste antwoorden op de quiz vragen in te vullen.

En nu zijn er vast collega's die er wel wat serieuzer mee omgaan, maar het is gewoon een reeks open deuren die worden ingetrapt. En ja, er zijn mensen die buiten de cursus om alsnog in die open deur waren getrapt, maar veranderd dat na een e-learning cursus? Ik vraag het me af.

Ik betwijfel iig of dat een (wettelijke) verplichting dat iedereen een e-learning module moet volgen over digitale weerberheid significante impact heeft op hoevaak het fout gaat (immers als we iedereen die met computers en/of vertrouwelijke informatie werkt meenemen, zijn er heel weinig mensen die er niet onder vallen).

Privacy

@Sissors • 11 april 2025 14:39

Ja, er is onderzoek gedaan naar de impact van e-learning cursussen.

Bij het maken van een cursus wordt er gekeken naar de basiskennis die cursisten kunnen hebben. Een deel van de cursisten zal daar (ver) boven zitten. Voor hen worden er inderdaad een aantal open deuren ingetrapt, maar anderen zullen voortijdig afhaken als die stof niet behandeld wordt.
Bij e-learning modules wordt vaak aangegeven welke voorkennis je moet hebben om die module te kunnen volgen. Zit je daarboven, dan moet je die module kunnen overslaan. Het uiteindelijke examen zal natuurlijk wel over de gehele stof gaan. Haal je dat niet dan zal een goed opgezette cursus aangeven welke module(s) je het beste kan herhalen alvorens je het examen opnieuw doet.

E-learning wordt ook gebruikt als opfrissingscursus om te voorkomen dat kennis die niet iedereen dagelijks gebruikt weer eens bij de tijd te brengen. In de loop der tijd kunnen kennis en procedures ook veranderen. Dat is dan een prima aanleiding om een herhalingscursus aan te bieden waar de verandering in is opgenomen. Die cursussen moeten meestal helemaal doorlopen worden en zullen voor het grootste deel uit open deuren bestaan.

Xander2 @WillySis • 11 april 2025 18:58

Ja, er is onderzoek gedaan naar de impact van e-learning cursussen.

Tricky... want wie toetst concreet de resultaten?

Dat is niet de opdrachtgever die inhoudelijk het bij een andere partij moet zoeken...

Douweegbertje @WillySis • 11 april 2025 20:03

Sorry, een interessant verhaal maar als je zegt "Ja, er is onderzoek gedaan naar de impact van e-learning cursussen." - dan verwacht iets van een bron of iets inhoudelijks over zo'n onderzoek?

Privacy

@Douweegbertje • 13 april 2025 13:19

@Xander2 en @Douweegbertje
Normaal wordt na een cursus de impact daarvan gemeten. Dat zit meestal in het pakket. Dat zijn interne rapporten en dus moeilijk om daar hier een linkje naartoe te plaatsen.
Aanbieders van e-learning schermen ook met cijfers, maar die zijn niet onafhankelijk.

@WillySis • 13 april 2025 02:26

een goed opgezette cursus

Dat is nu net de vraag. Ik heb nog nooit een online-cursus gezien die ik goed opgezet vond, in tegendeel.

mjtdevries @Sissors • 11 april 2025 14:04

Als de e-learnings die jij hebt gehad alleen maar open deuren intrappen, dan zijn het slechte e-learnings.

Wat betreft het effect: Ik zie bij ons duidelijk dat de mensen die nieuw binnen komen veel slechter scoren in de phishing drills, dan de mensen die een e-learning hebben gehad en al eerder een drill. (waarbij als je faalt duidelijk uitgelegd word hoe je de phishing drill email had moeten herkennen)

haam @mjtdevries • 11 april 2025 15:40

Wat heeft dan het gewenste effect, de e-learning of de phishing drills

mjtdevries @haam • 11 april 2025 16:49

De combinatie van beiden.
Mensen hebben toch eerst wel een e-learning nodig om te weten waar ze op moeten en kunnen letten in de bedrijfsomgeving. (Er zijn andere dingen om op te letten dan bij een prive google of microsoft account)

De phishing drill was in eerste instantie vooral om mensen wakker te schudden dat ze alert moeten blijven als ze mails openen.
Na de e-learning weten mensen wel hoe ze phishings mails moeten herkennen, maar dan blijft het grote probleem dat mensen er nog steeds in trappen omdat ze niet steeds alert zijn.
Grootste boosdoeners: je email lezen tijdens een saaie conference call, of nog gauw even je inbox bekijken net voordat je aan het eind van de dag gaat afsluiten en je dus gehaast bent.

Wat volgens mij ook echt heeft geholpen is bij de phishing drill achteraf goed uitleggen hoe ze de mail hadden kunnen herkennen. Want dat is toch weer een hele andere ervaring dan een e-learning waarbij je weet dat iets een phishing mail is en je gevraagd word de kenmerken te zoeken.

We hebben ook een e-learning gehad waarbij iemand in een "mailbox" in een set van 10 emails de 4 phishing mails moesten identificeren. Daar moeten mensen veel beter over nadenken dan de standaard phishing e-learnings.

Ondanks alles kan ik van tevoren voorspellen bij welke phishing drill emails er 30% op klikt en welke door minder dan 5% geklikt worden.

En als laatste moet je daarom als bedrijf ook zorgen dat je valide emails makkelijk herkenbaar zijn tov de malafide emails.
Veel bedrijven markeren dat een email van buitenaf komt en je extra op je hoede moet zijn.
Maar als marketing en communicatie dan een event organiseren voor de medewerkers en vervolgens komt de uitnodiging van een extern adres ipv een intern adres, dan verziek je daarmee de training dat mensen alert moeten zijn bij externe emails. Dit soort dingen aanpakken blijkt echt heel lastig.

Basjuh84 @mjtdevries • 11 april 2025 17:27

Mensen hebben toch eerst wel een e-learning nodig om te weten waar ze op moeten en kunnen letten in de bedrijfsomgeving.

Pardon? Wie bepaald dat? Zijn we nu echt zover afgezakt dat een e-learning de enige manier is om een fatsoenlijke bedrijfsintroductie te doen?
Ik weet niet hoe het voor anderen is, maar 89% onthoud ik toch niet - het hele concept van oeverloze ingesproken tekst met AI tot van Flash gekopieerde ‘animaties’ is echt verschrikkelijk vermoeiend. Ik geloof er echt geen snars van dat dit beter werkt dan mensen gewoon coachen en aandacht geven. Het is vooral de mensen die verantwoordelijk zijn voor of de verkopers van deze kul die daadwerkelijk geloven dat dit een effectieve leermethode is. Wel goedkoop, dat wel.

mjtdevries @Basjuh84 • 11 april 2025 17:49

Doe ff normaal zeg. Niemand die beweerd heeft dat een e-learning het enige middel is.
De vraag was, wat meer effect heeft, de e-learing of de drill.
Of het ipv een e-learning een klassikale training was geweest maakt voor die vraag geen zier uit.

En ja er zijn verschikkelijk vermoeiende e-learnings en die kom ik in ons bedrijf ook wel tegen.
Maar de e-learnings die wij laten maken voor phishing en confidentiality en privacy is iedereen zeer enthousiast over. Die worden als de beste e-learning beschouwd van de grote stapel die onze werknemers over zich heen krijgen.

Het kan dus wel, maar je moet er aandacht aan schenken.
Net zoals coachen verschrikkelijk vermoeiend kan zijn als het een slechte coach is.

Basjuh84 @mjtdevries • 11 april 2025 18:12

Pardon? Ik zeg toch helemaal niets verkeerd? Het was je eigen statement. Ik snap ook wel dat er nuance is - maar mijn vermoeden is direct bevestigd. Vooral e-learnings blijven pushen als dat goed voor jullie werkt! 👍

mjtdevries @Basjuh84 • 11 april 2025 18:38

Lees de thread eens opnieuw.
Op het moment dat jij het woord e-learning ziet, slaan bij jou de stoppen door en lees je blijkbaar niet meer wat er staat.
Haam vraagt wat er beter werkt, de e-learing of de phishing drill omdat ik had aangegeven dat wij eerst een e-learning geven.
Als ik had gezegd dat we eerst een klassikale training geven, dan had haam gevraagd wat beter werkt: de klassikale training of de phishing drill.

Dat het toevallig een e-learning is, doet totaal niet ter zake voor zijn vraag. Een e-learning, of een klassikale training of coachen zijn er allemaal op gericht om mensen informatie over te brengen hoe ze een phishing mail kunnen herkennen.
Dat is iets heel anders dan een phishing drill.

Jouw haat tegen e-learnings voegt niks nuttigs toe en verziekt de discussie.

[Reactie gewijzigd door mjtdevries op 11 april 2025 18:50]

PhilipsFan @Basjuh84 • 12 april 2025 04:22

Ik ben het helemaal met je eens. Een docent kan aanvoelen in hoeverre je de stof al beheerst en het tempo verhogen als de studenten dat aan kunnen. Bij e-learning gebeurt dat niet (althans, niet bij de e-learnings die ik totnutoe heb gevolgd) en het gevolg daarvan is, dat je aandacht telkens verslapt als de stof niet in 'jouw' tempo naar je toe komt.

Ik heb ook een ongelooflijke pesthekel aan video's als het om informatie gaat, ik zit me de hele video de pleuris te vervelen om dan, doordat de aandacht verslapt is, het cruciale moment te missen. En dat gebeurt me ook met e-learning, vooral als er video's bij zitten. Het zal wel aan mij liggen, ik verwerk informatie veel sneller dan gemiddeld, maar het is absoluut storend.

Overigens kan dat natuurlijk ook bij klassikaal lesgeven gebeuren, ook daar zit ik vaak genoeg iets anders te doen omdat mijn medecursisten maar domme vragen blijven stellen en ik daardoor uiteindelijk wel in slaap val.

Als een e-learning verplicht is, dan gaat ie inderdaad bij mij ook in een hoekje van het scherm, zodat ik er geen last van heb. Dan maak ik het examen en slaag ik meestal in 1x, maar als ik er 2 of 3x voor nodig heb ben ik op die manier nog steeds sneller dan (gaap) die ellendige e-learning met aandacht moeten volgen. No thanks.

En dat staat dan nog helemaal los van de inhoud, ik weet veel van informatiebeveiliging dus dit soort cursussen zijn voor mij eigenlijk altijd open deuren. Als ik al een vraag fout beantwoord, dan is dat meestal omdat de vragen niet eenduidig worden gesteld. Ik ben meestal slimmer dan degene die de vraag heeft bedacht en verzin altijd weer situaties waardoor het door hem gewenste antwoord toch fout is.

Het is echt extreem irritant dat er dan weer zo'n hoge pief bedenkt dat dit verplicht moet worden. Verplicht tijd verspillen, dat kan alleen bij de overheid, denk ik dan...

vegetoot @haam • 12 april 2025 22:23

Ik zal eerlijk zijn. Ik vond de e-learnings saai en onnodig. Ik wist toch wel beter. Tot ik eenmaal in een phishingmail trapte. Haast, stress, achterlopen met mn mail en allerlei andere excuses, maar uiteindelijk was het één muisklik. Gelukkig was het een test van IT. Sindsdien gebruik de training om stil te staan bij waar ik op moet letten.

haam @vegetoot • 13 april 2025 11:08

Met het risico om ernstig bijdehand te klinken, elearning heeft het niet voorkomen. Hoe ga je ervoor zorgen dat je in de volgende haast/stress/achterloop periode niet in dezelfde valkuil stapt?

Op de eerste plaats zouden ze de functie om een link een andere tekst te laten bevatten dan de daadwerkelijke linktekst moeten schrappen.

Op de tweede plaats moet men overwegen om geen enkele link klikbaar te maken.

Op de derde plaats komt voor mij de inlog trigger. Als ze ergens om inlog gegevens vragen als je op een link hebt geklikt, dan moet er een rode vlag opkomen die vraagt of je het adres kent.

zonder deze maatregelen laat je wel heel veel bij de gebruiker liggen

Privacy

@mjtdevries • 11 april 2025 14:46

Nee, dat hoeven geen slechte e-learning cursussen te zijn. In een aantal situaties worden herhalingscursussen gegeven zodat men zeker weet dat al het personeel van alle procedures op de hoogte is en ook onder gelijke gevallen gelijk zal reageren. Dit lijkt zinloze tijdverspilling, maar als dat zo is zouden die cursussen inmiddels wel zijn verdwenen.
De testen zijn niet alleen belangrijk voor het personeel, maar door de testresultaten van alle medewerkers te analyseren leert het bedrijf ook waar de zwakke punten zitten.

Basjuh84 @WillySis • 11 april 2025 17:20

Ja, dat is een lekkere cirkel-redenering zeg. Dus omdat we nog steeds idiote e-learnings krijgen (in plaats van gedegen ouderwetse opleidingen) moeten e-learnings wel goed zijn? Er is geen andere manier om kennis over te dragen of om je bedrijf te analyseren? Klinkt alsof je zelf in de e-learnings zit ;-)

TheekAzzaBreek @Basjuh84 • 11 april 2025 22:02

Met e-learning is op zich niks mis, al leent het zich niet voor alles. Als het om korte, simpele informatieoverdracht, herhaling en testen gaat is e-learning prima. Véél efficiënter dan zaaltje-docent, veel toegankelijker dan zelfstudie.

Als een cursus voor iemand een hoog duh! gehalte heeft is het een slechte cursus voor die persoon, maar niet meteen een slechte cursus. En dat is onafhankelijk van de vorm van de cursus.

@TheekAzzaBreek • 13 april 2025 02:30

Waarom mag ik niet gewoon zelf een tekst lezen (eventueel met (video-)illustraties, in plaats van die filmpjes en spraak? Dat werkt veeeel efficiënter.

Privacy

@Basjuh84 • 13 april 2025 12:02

Ik zit niet in de e-learning en gebruik het niet voor mijn bedrijven.
E-learning heeft tov een ouderwetse cursus wel veel voordelen.

De werknemers kunnen de cursus op een eigen, geschikt moment volgen tov een gezamenlijke cursus die een bedrijf tijdelijk lam legt.
Inhoud van de cursus is vooraf te bepalen en niet afhankelijk van een cursusleider
Het volgen van de cursus is meetbaar tov een idee van een cursusleider.
Cursisten besteden een minimale hoeveelheid tijd aan E-learning (overslaan/afraffelen modules) terwijl een ouderwetse cursus iedereen de maximum hoeveelheid tijd kost
Het minimale succes cq kennis niveau aan het eind van de cursus is instelbaar en ook af te dwingen.
Resultaat van de cursus is meetbaar
E-learning is goedkoop

Je kunt je bedrijf ook op andere manieren door laten lichten. Er zijn genoeg bureaus te vinden die je daarvoor in kan huren. Dat is echter nog veel duurder en is geen (herhalings)cursus voor de werknemers.

De ouderwetse opleiding blijft natuurlijk een functie houden, maar dat is vooral voor de periode voordat men in dienst komt en binnen het dienstverband voor specifieke zaken die met de functie verband houden. Het leren besturen van een vorkheftruck leer je bijvoorbeeld niet van een scherm.

Beveiliging en antivirus
Privacy
Nederland

@mjtdevries • 11 april 2025 14:20

Wat betreft het effect: Ik zie bij ons duidelijk dat de mensen die nieuw binnen komen veel slechter scoren in de phishing drills, dan de mensen die een e-learning hebben gehad en al eerder een drill. (waarbij als je faalt duidelijk uitgelegd word hoe je de phishing drill email had moeten herkennen)

Relevante comic.

Natuurlijk een beetje grof gebracht, maar het geeft aan dat informatiebeveiliging meer is dan droge kennis stampen in hoofden van werknemers.

[Reactie gewijzigd door The Zep Man op 11 april 2025 14:21]

@Sissors • 12 april 2025 10:25

Maar is er weleens onderzocht wat de impact van zulke e-learning cursussen is? Want wij krijgen er ook een paar per jaar. Die moeten helemaal afgespeeld worden. En mogen niet op de achtergrond staan. Dus onderin hoekje van je tweede scherm speelt die af, en soms klik je op de volgende knop, om aan het einde even de juiste antwoorden op de quiz vragen in te vullen.

In mijn boekje zou dit soort gedrag ontslag op staande voet betekenen.

Sissors @CivLord • 12 april 2025 10:35

Dan hoop ik niet dat jij ergens iets van een management positie hebt... Geloof het of niet, ik vul nog steeds de quiz vragen goed in dat ik niet steekpenningen mag uitdelen of collega's sexueel mag intimideren...

Anyway, dan zou ik ook alvast maar vacatures open zetten, want er gaan een hoop mensen ontslagen worden. En een goede arbeidsrecht jurist inhuren, ook dat lijkt mij een goed idee.

@Sissors • 12 april 2025 10:46

Medewerkers met de mentaliteit om een verplichte veiligheidscursus in een hoekje van het scherm te laten lopen ben ik liever kwijt dan rijk. Het maakt niet uit of je de vragen wel of niet goed hebt. Je omzeilt een verplichting.
Geloof me mijn arbeidsrecht jurist hoeft niet eens zo heel goed te zijn. Rechters hebben het niet zo met werknemers die betrapt worden op het bewust negeren van veiligheidstrainingen en -crusussen.

cvr42 @CivLord • 12 april 2025 12:09

Dat sentiment zou dan wel eens wederzijds kunnen zijn.

Verplichte cursus is al een rode vlag
De illusie dat je de computer veiligheid kan verbeteren met een cursus is er ook een
En befehl ist befehl mentaliteit is er ook een: misschien is er wel een goede reden voor dit gedrag

Als we het over fysieke veiligheid of hygiëne zouden hebben ligt het een beetje anders, maar het nut van computer veiligheidscursussen is zwaar discutabel

engessa @Sissors • 12 april 2025 11:51

Wat stel je nu precies voor? Dan maar gewoon helemaal geen onderwijs? Of iedereen in een lokaaltje drukken met een docent voor de klas? Doen of het probleem niet bestaat?
Zeiken op e-learning is prima maar kom ook met een beter alternatief. Ik zou die namelijk niet weten voor dit soort zaken.

Sissors @engessa • 12 april 2025 13:04

Blij dat je niet gelijk met gestrekt been op de enkels gaat [/s]

Mijn punt in zijn algemeenheid is dat e-learning gewoon te makkelijk is uit te rollen. En natuurlijk, dat is ook een voordeel. Maar het zorgt er ook voor dat ik me soms afvraag of het doel is de werknemer wat te leren, of dat het doel is een checkboxje af te vinken, zodat ergens een manager zijn KPI weer heeft gehaald. Als voorbeeld, ik heb een e-learning cursus moeten doen dat ik bij een aanbesteding niet het bedrijf van mijn zus de opdracht mag geven. Detail: Ik heb nog nooit een aanbesteding gedaan. Ik heb uberhaupt geen enkele bevoegdheid om dat te doen. Maar gezien je niet direct kosten ziet, wordt alles gewoon naar iedereen uitgerold, waarom niet? En dan vinden sommige hier dat ik op staande voet ontslagen moet worden omdat ik niet genoeg aandacht eraan heb besteedt.

En datzelfde idee heb ik hierbij. Ik denk dat een e-learning cursus best zinvol kan zijn. Ik denk dat voor sommige een klassikaal iets zin heeft. Maar één cursus die voor 150000 man verplicht is? Compleet onafhankelijk welke functie en achtergrond ze hebben? Ik heb dan toch echt het idee dat het meer is zodat iemand zich kan indekken dat ze iedereen toch een cursus hebben gegeven, dan dat het erg efficient is. Waarbij uiteraard, je kan niet iedereen een individueel ingerichte opleiding geven. Maar er is nog een verschil tussen dat, en alles op de grote hoop gooien.

Lemodile @Sissors • 12 april 2025 13:57

-verwijderd

[Reactie gewijzigd door Lemodile op 12 april 2025 19:48]

Orangelights23 @wildhagen • 11 april 2025 13:54

Het is gelukkig al een onderdeel van ISO 27001, maar dat framework biedt te veel ruimte om het niet te doen. Ik heb rond de 150 implementaties gedaan van 27001 in Europa en awareness is, alhoewel goed voor de basiskennis, slechts één van de eerste verdedigingslinies. Idealiter is het combinatie van, waarbij technische maatregelen 1 - de mails tegenhouden, 2 - malafide links blokkeren, 3 - het onmogelijk maakt om onbekende bestanden te downloaden, enzovoorts enzovoorts.

Frituurman @Orangelights23 • 11 april 2025 14:19

Ik denk dat het hier meer ook meer gaat om ambtenaren die omgaan met data die mogelijk gevoelig is, niet zo zeer de gevaren van buitenaf (hoewel dat ook zeker mee zal spelen). Dat gaat overigens niet alleen om digitale informatie; je wil niet weten hoeveel mensen iets vertrouwelijks uitprinten, maar het gewoon in de papierbak gooien als ze er klaar mee zijn en niet in de verzegelde bak waarin vertrouwelijke informatie hoort te gaan. Of ze nemen het mee naar huis. Of ze mailen het naar zichzelf. Al dat soort ongein, daar gaat het met name om. De tweede trap is denk ik meer waar jij het over hebt. In elk geval is dit toegespitst op de ambtenaar zelf en wat hij/zij kan doen om nalatigheid te voorkomen.

Orangelights23 @Frituurman • 11 april 2025 15:12

Precies, uiteindelijk is de mens de eerste verdedigingslijn en die moeten gewoon een basiskennis hebben. Daar helpt dit goed bij en ik hoop dat de training ook daadwerkelijk iets leert, in plaats van een saaie module waar je snel doorheen kunt klikken om er gauw klaar mee te kunnen zijn.

MadoKB @Orangelights23 • 11 april 2025 14:37

En als er wél incidenten zijn, deze uitzoeken, opvolgen én bespreekbaar maken zonder met de vinger te gaan wijzen.

Ik geef regelmatig voorlichtingen over fraude dossiers in de praktijk binnen bedrijven. Iedereen weet dat het gebeurt, maar als je dan verteld hoeveel incidenten er zijn geweest en wat voor tijd én geld erin gaat zitten, zie je het inzinken bij mensen. Zo'n e-learning is mooi, maar voorbeelden van de werkvloer lijken meer indruk te maken in het algemeen.

Orangelights23 @MadoKB • 11 april 2025 15:17

Dat is mijn ervaring ook. Ik vergelijk het vaak met het slaan met een stuk versus het voorhouden van een snoepje. Je wilt dat mensen iets uit zichzelf doen en niet bang zijn voor wat er kan gebeuren; gewoon netjes aan de regels houden, want dan gaat alles goed - snoep. Maar door de concrete voorbeelden te gebruiken, kun je heel mooi illustreren wat er allemaal komt kijken bij een dergelijk incident.

Veel organisaties hebben al bij mij aangeklopt na een klein incident (datalek door een fout van een kantoormedewerker) en een groot incident (ransomware geïnstalleerd na een gecoördineerde actie door een statelijke actor) en dat zijn de voorbeelden die spreken. Geen Hollywood-achtige scenario's, maar een ondernemer met 7 medewerkers die failliet is gegaan dankzij een incident, of een enterprise wat miljoenen aan omzet misgelopen heeft doordat een interne kritieke applicatie offline gehaald was door een scriptkiddie.

Basjuh84 @MadoKB • 11 april 2025 17:32

Ja, en logisch ook! Het is geen onwil, maar die e-learnings zijn zoo vermoeiend. Het is gewoon een business KPI geworden voor compliance, en geen enkele manager boeit de inhoud.

Bij vorige werkgever zagen we dat ook: zodra in de krant stond dat we weer meegedaan hadden in een of ander schimmig kartel of prijsafspraken hadden gemaakt (door de hoge pieten) mochten Jan en Alleman weer een compliance e-learning doen. Alle antwoorden werden dan alvast door de lagere managers rondgestuurd.

Het is echt geen onwil, maar als je als werkgever je medewerkers niet serieus neemt, nemen zij jou ook niet serieus. Dat beetje aandacht en gedegen uitleg van iemand die dat wel kan onderbouwen met voorbeelden helpt ontzettend!

mjtdevries @wildhagen • 11 april 2025 14:00

maar iedereen die (zakelijk) met computers en/of vertrouwelijke informatie werkt.

Bij de bedrijven die ik ken waar met vertrouwelijke informatie gewerkt word is dat al vele jaren lang volstrekt vanzelfsprekend.

Als het nu pas ingevoerd zou worden bij de ambtenaren dan zou ik dat nogal schokkend vinden. In de link naar de overheid word dat echter niet duidelijk. Het is een nieuwe e-learning, maar dat betekent niet dat er daarvoor geen soortgelijke e-learning was.

hullie72 @mjtdevries • 11 april 2025 14:04

Dit is al jaren verplicht voor nieuwe rijksambtenaren. Ik denk dat ze er net achter zijn gekomen dat er ambtenaren zijn die daarvoor al in dienst waren.

@hullie72 • 12 april 2025 10:29

Dit is al jaren verplicht voor alle ambtenaren op veel ministeries en overheidsorganisaties.
Die ministeries en organisaties hebben dat zelf verplicht gesteled. Nu wordt het van bovenaf verplicht gesteld voor alle rijksambtenaren. Inclusief de fysieke beveiligers en schoonmakers.

B_FORCE @wildhagen • 11 april 2025 13:52

Ik was net hetzelfde aan het typen

Zoiets zou een verplichte cursus of onderdeel moeten worden van een opleiding.
Liefst zo vroeg mogelijk, een beetje als een fietsexamen zeg maar.

Is het trouwens niet altijd een illusie dat mensen ondanks cursussen ed geen fouten zouden maken?
Ondanks dat mensen een rijbewijs hebben, daar (vrij wat) lessen voor hebben gevolgd en examens hebben gedaan, maakt men toch nog (basis)fouten in het verkeer.

Het gaat hier echter om de statistiek = uiteindelijk hebben meer mensen er baat bij gezien vanuit de bigger picture.

De algemene kennis en beleving van internetveiligheid is nog steeds enorm slecht (vooral erg naïef).

Maar goed, zo'n cursus valt of staat met hoe wat er inhoudelijk behandelt wordt.
De ervaring leert dat het vaak ook niet heel best is, zoals @Ed Vertijsment terecht aangeeft.

[Reactie gewijzigd door B_FORCE op 11 april 2025 13:53]

yevgeny @B_FORCE • 11 april 2025 14:24

En wat gaan we doen met mensen die een kettingzaag/cirkelzaag/haakse slijper/spijker pistool/hoge ladder in huis hebben, die dingen kunnen ook gevaarlijk zijn.

B_FORCE @yevgeny • 11 april 2025 14:48

Dat klopt, het verschil is wel dat algemeen gezien mensen weten dat die dingen gevaarlijk kunnen zijn.
Dat besef moet er ook zijn omtrent internet.

Over het algemeen hanteren mensen ook cirkelzagen of messen met enige zorgvuldigheid.

Het gaat er hier niet om om dingen dan maar helemaal niet meer te gebruiken.

haam @wildhagen • 11 april 2025 15:54

Ik stel dezelfde vraag bij fysiek veilig werken (gehoorbescherming, bril, etc.). Wat doen mensen thuis of als ze niet op het werk zijn? Als ze thuis veilig werken is het op het werk een no-brainer. Andersom is lastiger.

Installeer een willekeurig app op je telefoon en je moet vaak een paar keer ok klikken of toestemming geven. Hetzelfde bij cookies. Iedereen wordt onbewust getrained om door te klikken. Dat gedrag is moeilijk om te draaien met e-learning.

Als je er bewust voor gaat zitten, weet je vaak wel welke antwoorden er verwacht worden. Maar als je niet bewust bent 'aangezet' ga je het gedrag vertonen wat je altijd vertoont

@wildhagen • 12 april 2025 10:23

Die wettelijke verplichting komt er voor veel bedrijven ook aan. Het is onderdeel van de NIS2 en de nieuwe cybersecurity wetgeving.

RcsProst 11 april 2025 13:45

Heel eerlijk had ik verwacht dat mensen bij de overheid hier sowieso al trainen moesten volgen. is toch niks minder dan logisch. Die gaan met de meeste persoons gegevens om. Vind het niet heel gek dat je nu de een na de andere datalek hoord die door eigen fouten zijn gemaakt.

St00mwals @RcsProst • 11 april 2025 14:03

Maar dat gebeurd ook al ruimschoots hoor.
Zoals @SpiriTNL aangeeft doet hij dit bij DJI al en ikzelf bij MinFin ben hier ook al aan aantal jaren mee bezig.
Ik denk dat het nu gewoon centraal vanuit Den Haag wordt opgelegd ipv naar eigen inzicht vanuit de verschillende onderdelen van de Rijksoverheid.

Voor ons als IT'er is het heel vaak 'te makkelijk', maar dit hoort bij ieder bedrijf (of misschien wel gewoon in het onderwijs) standaard aanwezig te zijn.

RcsProst @St00mwals • 11 april 2025 14:11

Oke dankjewel voor de opheldering. Ik schrok al. Dacht dat ze dus niks kregen qua traingen op gebied van Digital awareness.

Ja, klopt. Soms voelen ze beetje nutteloos omdat je er zo door heen klikt en alles goed hebt. Maar inderdaad. Dit zou wel iets moeten zijn wat breder onder ogen gebracht moet worden.

Nederland
Beveiliging en antivirus
Privacy

@RcsProst • 11 april 2025 15:12

Er is niet zomaar verband tussen een datalek en een verplichte cursus. Lekken bij een groot bedrijf ontstaan bijvoorbeeld ook omdat een leverancier onvoldoende aan beveiliging doet. En een verplichte cursus voor wie er gebruik van maakt gaat dat ook niet zomaar voorkomen. Omgekeerd stuur je ook niet alle werknemers verplicht naar ehbo cursus omdat het bedrijf veel klanten heeft.

Meestal zijn cursusen voor iedereen verplicht als er een wettelijke eis is. Zelfs voor de strenge bescherming van persoonsgegevens is er geen wettelijke eis dat iedereen in Nederland verplicht op cursus moet. Bedrijven, organisaties en personen hebben vooral hun eigen verantwoordelijkheid te nemen hoe ze de wet goed toepassen. En dan kun je dus eerder verwachten dat sommigen dat heel serieus nemen en anderen pas iets gaan doen als er een bredere verplichting is.

BovenHond 11 april 2025 13:44

Een goede zaak. Je lost er niet alles mee op. Maar als de overheid er een paar procent weerbaarder van wordt, is het al succes.

Ja dit kost geld en tijd. Maar de risico’s die gelopen worden als overheidsinformatie in verkeerde handen komt zijn groot.

gaskabouter @BovenHond • 11 april 2025 14:06

Het kost geen geld en geen tijd eigenlijk.
Je personeel goed scholen voorkomt een hoop ellende en daarmee geld en tijd. Ga maar eens een goede calamiteit doorrekenen en dan weet je dat doet soort scholing prima kosteneffectief is.

Sissors @gaskabouter • 11 april 2025 14:27

Als die calamiteit daadwerkelijk wordt voorkomen door de scholing. Want 'het kost niks in directe kosten' is natuurlijk een oorzaak van personeel te overladen met twijfelachtige cursussen, meetings, checklists, etc. Allemaal dingen die zeker nuttig kunnen zijn, maar ook tijd kunnen kosten zonder veel terug ervoor te krijgen.

gaskabouter @Sissors • 11 april 2025 15:06

Er is in de zorg maar ook bijvoorbeeld de petrochemische industrie heel goed aangetoond dat zeker de helft van de calamiteiten voorkómen kan worden door scholing en borging van kennis.
Mensen die denken alles wel te weten zijn zeker deels onbewust onbekwaam.

Sissors @gaskabouter • 11 april 2025 15:09

Maar mijn punt is ook niet dat scholing niet kan helpen. Mijn punt is dat het niet gratis is. En dan bedoel ik niet puur financieel, maar ook qua effectiviteit: Des te meer twijfelachtige cursussen je erin gooit, des te minder aandacht mensen per cursus gaan hebben.

Wij hebben dat erg met checklists: Alles wat ooit fout is gegaan moet in een checklist gezet worden. Onafhankelijk of het niet al op andere plaatsen kan worden opgelost, of het uberhaupt nog relevant is, etc. Wat krijg je dan? Checklists met honderden items waar mensen op automatische piloot doorheen gaan. En dus de daadwerkelijk belangrijke punten ook negeren.

gaskabouter @Sissors • 11 april 2025 15:14

Tsja. Het invoeren van checklists redt honderden levens per jaar. Maar als je ze hebt ingevoerd heb je je winst behaald en doe je dagelijks dingen waar je geen winst meer van ziet. Dat leidt tot jouw cynisme.

Dat heet de preventieparadox.

https://www.gezondheidsne...rfgevallen-door-checklist

[Reactie gewijzigd door gaskabouter op 11 april 2025 15:15]

Sissors @gaskabouter • 11 april 2025 15:24

Volgens mij mis je mijn punt nog steeds. Misschien communiceer ik nu wel verkeerd. Zoals ik schreef, er zitten belangrijke punten in die checklists! Dat stel ik absoluut niet ter discussie. Mijn punt is als je alleen maar toevoegt, want "baat het niet dan schaad het niet", dan wordt er minder en minder aandacht aan de belangrijke punten in de checklist besteedt, gezien die verdrinken tussen de honderden andere items op diezelfde checklist.

Anders kan je ook wel voor iedereen een verplichtte jaarlijkse cursus tillen invoeren. Immers iedereen moet weleens wat tillen toch? En een checklist voor elke mail naar een extern adres, gewoon even dubbel checken of je niet informatie doorstuurt die niet doorgestuurd zou moeten worden.

Waarbij nogmaals, ik niet zeg dat cursussen en checklists geen zin hebben. Ik zeg dat ze kosten hebben. Elke extra cursus en checklist item die je toevoegt, haalt aandacht van andere items af. En als het belangrijk genoeg is, dan moet je het alsnog doen! Maar je moet niet mensen bedelven eronder onder het idee dat baat het niet, dan schaad het niet.

Basjuh84 @gaskabouter • 11 april 2025 17:36

Ja, waarbij scholing dus niet per-se een elearning is, maar ook gewoon een gedegen klassikaal (zelfs online!) cursus kan zijn. Je weet wel, met iemand waar je vragen aan kunt stellen en die weet waar ie het over heeft 👍

Hansie9999 11 april 2025 16:14

Ik hoop dat er dan vooral in die opleiding aandacht is voor het feit dat wanneer ze een melding krijgen dat ze "gezien hebben dat je op porno zat" en "als je niet snel hier klikt we de foto's naar je vrouw sturen" ,

Dat het dus heel goed kan zijn dat je inderdaad de laatste week wel eens op een porno site zat maar NEEN er is niets aan de hand, de criminelen rekenen er gewoon op dat je zoals de gemiddelde burger wel eens op een porno site zat !!

Mag je nog zoveel opleiding gevolgd hebben als je wilt, als ze dat feit er niet ingeramd krijgen, man man man, wat een paniek reactie's krijg je toch meestal (met meteen al het gezond verstand door het raam)

Krijg het hier bijna wekelijks in de zaak, PC die goed beveiligd is, komt een "reclame" met de melding dat je gehacked bent en ze gezien hebben dat je op een porno site zat, en hoppa, laten we even naar de criminelen bellen en ze snel al onze wachtwoorden en 2-traps beveiligingscode's geven !!!

zwakste schakel in elke beveiliging zal altijd wel de "gebruiker" blijven

dus ik hoop dat ze vooral op deze zaken hameren bij die cursussen en niet te veel technische theory.

@Hansie9999 • 12 april 2025 10:36

zwakste schakel in elke beveiliging zal altijd wel de "gebruiker" blijven

En wat is dus de slechtste beveiliger? De beveiliger die de beveiliging af laat hangen van de gebruiker.

Hansie9999 @CivLord • 12 april 2025 12:30

Inderdaad,

Maar dan krijg je weer dat de gebruiker eigenlijk niets meer kan doen, want zoals ik al zeg, als je als goede "beveiliger" ze dus bijvoorbeeld 2-traps inlog optie's geeft, als deze "mensen" dan die beveiliging gewoon aan de telefoon doorgeven aan de vriendelijke criminelen, tja

Dan zitten we weer aan één van mijn favoriete gezegden , "The second you make something idiote proof, someone else will make a better idiote"

@Hansie9999 • 13 april 2025 07:44

Dan zitten we weer aan één van mijn favoriete gezegden , "The second you make something idiote proof, someone else will make a better idiote"

Dan moet je het ook niet krampachtig idiot-proof proberen te maken. Dat gaat je nooit lukken.
Maar probeer eens te gaan voor idiot-independent.

Ik weet dat het makkelijker gezegd dan gedaan is. Ik weet ook niet hoe je het aan moet pakken.
Maar beveiliging lijkt tegenwoordig steeds meer op gebruikertje pesten en dat leidt weer tot 'betere idioten'.

gaskabouter 11 april 2025 13:43

Lijkt me een goede zaak. In mijn zorginstelling doen we dat al een aantal jaar. En toch met 1 april trapt 30 procent in een fishing mail.

Maar alle beetjes helpen

[Reactie gewijzigd door gaskabouter op 11 april 2025 13:44]

Valinor @gaskabouter • 11 april 2025 23:36

Ik ben ook wel fan van die nep fishing mails. Mensen schrikken er toch van en dat maakt dat ze voorzichtiger worden en scherper zijn voor een periode.
Helpt soms beter dan e-learning cursussen waar sommigen gewoon snel doorheen klikken.

[Reactie gewijzigd door Valinor op 11 april 2025 23:37]

Megalodon86 11 april 2025 13:43

Lijkt me de hoogste tijd. Goed idee.

11 april 2025 13:45

Bij mijn werkgever (internationaal bedrijf) moeten we elk jaar een Cyber training volgen. Die wordt ook elk jaar bijgewerkt naar de laatste stand van zaken, en real-world voorbeelden worden verwerkt in de (gedramatiseerde) scenarios.

Nederland
Beveiliging en antivirus
Privacy

@DJ • 11 april 2025 15:16

En bij andere grote bedrijven hoeft dat weer niet. Er is geen wetgeving die een minimaal niveau verplicht, dus is het niet zomaar overal verplicht.

@DJ • 12 april 2025 10:20

Bij veel departementen en overheidsorganisaties is dat nu ook al het geval.
Ze gaan het nu overheidsbreed gelijk trekken en verplicht stellen voor die paar organisaties die dat nog niet deden. (Veelal ondersteunende organisaties/ afdelingen die niet direct met persoonsgegevens van burgers werken, maar wel op overheidssystemen zijn aangesloten.)

Ed Vertijsment 11 april 2025 13:48

Ik heb die cursus ooit ook moeten doen, veel verder dan gebruik die USB stick van straat niet, vertrouw geen publieke wifi en vergrendel je scherm ging het tot zover ik mij herinner niet.

Destijds was ik een externe software ontwikkelaar en moest ik eerst dus dat traject doorlopen voordat ik iets kon doen, allemaal op kosten van publieke gelden.

Dit soort dingen klinken leuk maar kunnen ook doorslaan en zijn voor bepaalde beroepsgroepen (binnen de Rijksoverheid) relevanter dan voor andere.

[Reactie gewijzigd door Ed Vertijsment op 11 april 2025 13:48]

11 april 2025 13:49

Is dit nu pas nieuws ?
Bij DJI, dus ook overheid, moeten wij al 4 jaar verplicht deze e-learning doen.

En ik ben grote voorstander hiervan, als je ziet hoe sommige de, in mijn ogen eenvoudige, learning afronden

watercoolertje @SpiriTNL • 11 april 2025 14:10

Is dit nu pas nieuws ?
Bij DJI, dus ook overheid, moeten wij al 4 jaar verplicht deze e-learning doen.

DJI is niet de hele rijksoverheid zoals dit artikel beschrijft dus is het nieuws ja

PCG2020 @SpiriTNL • 11 april 2025 15:03

Ik heb verschillende trainingen digitale weerbaarheid gedaan gedurende de zeven jaar die ik nu voor de Rijksoverheid werk. Sommige departementen zijn er strikt in, sommige niet zo. Toen ik begon, kreeg ik een verplichte training en periodiek zijn er opfriscursussen of korte extra modules. Sommige deelcursussen zijn uitgebreider dan andere.

Ik vind het overigens een prima idee om Rijksbreed dezelfde trainingen aan te bieden. Dat geeft een stuk meer overzicht en duidelijkheid, ook wanneer werknemers van baan wisselen binnen de overheid.

Privacy
Beveiliging en antivirus
Nederland
Overheid

11 april 2025 13:50

Is er een (bij voorkeur Nederlandse) standaard of zo iets voor wat ze precies moeten leren?

Één van mijn frustraties met security trainingen is dat er soms totaal tegenovergestelde adviezen uit komen, die niet eens verkeerd hoeven te zijn maar contextafhankelijk.

Een typsich voorbeeld is wachtwoordbeleid. Er zijn er die lange wachtwooden adviseren van wel meer dan 8(!) karakters, er zijn er die minstens 30 tekens adviseren, er zijn er die random wachtwoorden adviseren met vreemde tekens, er zijn er die wachtzinnen adviseren, er zijn er die adviseren om iedere 3 maanden je wachtwoord te roteren, er zijn er die adviseren om zo min mogelijk te veranderen.

Op zichzelf allemaal redelijk adviezen die bij bepaalde omstandigheden horen. Je kan zo'n maatregel alleen niet in isolatie bekijken maar je moet naar het totaal kijken. Of je 2FA gebruikt heeft een enorme invloed op je wachtwoordbeleid.

Ik heb al te veel trainingen gezien die bestaan uit een lijstje adviezen en maatregelen die geen goed geheel vormen en ook niet aansluiten bij de organisatie. (Zoals het advies om alle spam te melden bij security of de helpdesk, die moeten daar wel capaciteit voor hebben).

[Reactie gewijzigd door CAPSLOCK2000 op 11 april 2025 13:52]

Om te kunnen reageren moet je ingelogd zijn