Security awareness training: de frontlinie van cybersecurity in 2026

De Odido-hack laat zien: geen firewall ter wereld beschermt je als een medewerker op de verkeerde link klikt. In een tijdperk waarin AI-gedreven phishing steeds geraffineerder wordt, is security awareness training geen nice-to-have meer.. het is de frontlinie van je cybersecurity.De Odido-hack: een les in menselijke kwets­baar­heidIn februari 2026 werd Odido het slachtoffer van een van de grootste datalekken in de Nederlandse geschiedenis. Persoonlijke gegevens van 6,2 miljoen klanten kwamen op straat: namen, adressen, rekeningnummers, zelfs paspoortnummers. De hackersgroep ShinyHunters eiste ruim een half miljoen euro losgeld.Het verontrustende? De aanval begon niet met een geavanceerde technische exploit, maar met een phishing-mail aan klantenservicemedewerkers. Zij voerden hun inloggegevens in via een neplink, waarna de aanvallers belden en zich voordeden als de IT-afdeling om de login goed te laten keuren. Twee stappen, volledig gebaseerd op social engineering. Geen enkele technische beveiligingslaag kon dit voorkomen.Het drei­gings­land­schap: groter, slimmer, per­soon­lij­kerDe Odido-hack staat niet op zichzelf. 92 procent van de Nederlandse organisaties is inmiddels getroffen door cyberaanvallen. Bij de Autoriteit Persoonsgegevens kwamen in 2024 bijna 38.000 datalekken binnen, in meer dan de helft van de gevallen werd daadwerkelijk data gestolen. In juli 2025 werden bij Clinical Diagnostics de gegevens van 485.000 vrouwen buitgemaakt, en meer dan 150 Nederlandse gemeenten werden getroffen door ransomware via hun leveranciers.Daarbij komt de AI-factor: meer dan 82 procent van de gedetecteerde phishing-mails maakt inmiddels gebruik van AI. Foutloze taal, gepersonaliseerde inhoud, en een geloofwaardigheid die zelfs doorgewinterde IT-professionals op het verkeerde been zet. De tijden van slecht geschreven Nigeriaanse e-mails zijn definitief voorbij.Technologie alleen is niet genoegOrganisaties investeren miljoenen in firewalls, endpoint detection en zero-trust architecturen. Terecht. Maar het Verizon Data Breach Investigations Report van 2025 is helder: 60 procent van alle datalekken bevat een menselijke factor. Iemand die op een phishing-link klikt, een wachtwoord deelt, of een telefoontje van een ‘collega van IT’ vertrouwt.Dit is precies waar security awareness training het verschil maakt. Niet als vervanging van technische maatregelen, maar als onmisbare aanvulling. Waar technologie de muren bouwt, zorgt awareness training ervoor dat medewerkers niet zelf de poort openzetten.Wat effectieve awareness training oplevertUit onderzoek van Fortinet blijkt dat 67 procent van de organisaties die structureel investeren in awareness training een meetbare daling ziet in incidenten. Organisaties die doorlopend trainen, reduceren hun phishing-risico met meer dan 40 procent in 90 dagen – en tot 86 procent binnen een jaar. Excellente programma’s halen click rates onder de 5 procent, met rapportagepercentages boven de 70 procent.Maar niet elke training werkt. De traditionele aanpak (eenmaal per jaar een verplichte e-learning) schiet tekort. Tot 90 procent van de opgedane kennis uit jaarlijkse trainingen is binnen enkele weken vergeten. Het equivalent van een keer per jaar naar de sportschool gaan en verwachten dat je fit blijft.De sleutel: kort, frequent en gamifiedWat wel werkt, is een doorlopende, laagdrempelige aanpak. Platforms zoals Guardey brengen dit naar de kern: wekelijkse challenges van twee tot drie minuten, met gamification-elementen als leaderboards, achievements en een doorlopende storyline. Die aanpak pakt precies het probleem aan dat 68 procent van de IT-managers als grootste obstakel noemt: motivatie.De resultaten spreken voor zich. Bij de Oké Groep, die Guardey implementeerde, verbeterden de scores op phishing-simulaties met 84 procent. Geen eenmalige compliance-exercitie, maar structurele gedragsverandering. Dat is het verschil met traditionele training security awareness: geen checkbox, maar een security-first cultuur.NIS2: de overheid dwingt meeDe urgentie wordt onderstreept door wetgeving. De Cyberbeveiligingswet (de Nederlandse implementatie van de NIS2-richtlijn) treedt naar verwachting in Q2 2026 in werking en verplicht organisaties in kritieke sectoren expliciet om te investeren in awareness bij medewerkers.Het signaal is helder: cybersecurity is definitief onderdeel geworden van verantwoorde bedrijfsvoering. De Rijksoverheid adviseert dan ook om niet te wachten – de dreigingen bestaan nu al, en wie nu investeert is straks niet alleen beter beschermd, maar ook voorbereid op de wettelijke eisen.Van kwets­baar­heid naar weer­baar­heidDe Odido-hack bewijst dat de meest geavanceerde technische beveiliging zinloos is wanneer medewerkers een phishing-poging niet herkennen. Security awareness training is geen bijzaak meer, het is de schakel die bepaalt of een aanval slaagt of afgewend wordt.In een landschap waarin AI phishing steeds geloofwaardiger maakt en wetgeving aanscherpt, is het de moeite waard om kritisch te kijken naar hoe je organisatie medewerkers voorbereidt op de dreigingen van vandaag.