Security & Privacy Awareness-dag 2025: een terugblik

Op de herfstige, regenachtige maandag 27 oktober kwamen rond de 70 security- en privacyprofessionals naar Utrecht voor de Security & Privacy Awareness-dag 2025 van SURF. We noemen het 'awareness' of bewustwording, maar gedragsverandering staat centraal. Rosanne Pouw, bekend van Cybersave Yourself (CSY) had de touwtjes in handen, ondersteund door Helma de Boer. In dit artikel blikken we terug op deze dag.

Onwerkbare instructies

Michel van Eeten (TU Delft) toont in zijn keynote de onjuiste focus op de menselijke factor bij incidenten en datalekken aan. De twee terugkerende oorzaken van incidenten zijn ongepatchte kwetsbaarheden en menselijke fouten. Hij maakte duidelijk dat het heel gemakkelijk is om achteraf naar iemand te wijzen als er iets fout gaat, terwijl de focus moet liggen op het geheel, op het hele systeem. De mens is niet het probleem; het zit 'm in onwerkbare, tegenstrijdige instructies. Als door een enkele klik op een phishingmail je hele organisatie instort, dan is er iets mis met het systeem, niet met degene die op de link klikte. 

Spelen helpt bij leren, maar let op hoe je het inzet

Uit de presentaties van Meggy Pepelanova (Drin Drin) en Jeroen Jansz (emeritus, EUR) blijkt dat gamification en serious games van stevige toegevoegde waarde kunnen zijn bij leerprocessen en het bereiken van gedragsverandering. Een spelvorm maakt een onderwerp luchtiger en veel mensen vinden het leuk om een ‘serieus’ spel te spelen en ook iets te leren over cybersecurity en privacy. Tegelijkertijd is de context waarin je speelt en de beloning die het spelen oplevert heel relevant. Er zijn verschillende valkuilen, bijvoorbeeld als je een individueel leaderboard opstelt, terwijl je een leerpunt op het vlak van samenwerking wilt bereiken.  

Mens en digitale technologie: risico of juist de sleutel?

Waar mensen bij awareness in security en privacy vaak worden gezien als risico, als kwetsbaarheid, is dit bij AI juist omgekeerd. Hier is de 'human in the loop' de sleutel tot verantwoord gebruik, omdat we ervan uitgaan dat de mens betere beslissingen kan nemen. Hier zit het risico of de kwetsbaarheid juist in de techniek. Maar wat is dan de waarheid? Volgens Wolter Pieters van Radboud University zit de crux in wat we van mensen vragen. En vaak krijgt de mens taken toebedeeld in de digitale technologie waar ze niet speciaal goed in zijn. Mensen zijn op hun sterkst als ze taken krijgen waarin ze per definitie goed zijn en die ze ook graag willen doen. Hoe beter de opdracht of vraag aan de medewerkers aansluit bij wat men goed kan, hoe makkelijker het awareness-programma het doel bereikt. 

Unieke campagnes door instellingen

Rinske Plomp en Lisanne Reurings vertelden uitgebreid over hun doorlopende awareness-campagne bij de Hogeschool Utrecht met de slogan 'HU hoort het eigenlijk?'. Verschillende activiteiten verspreid over het jaar zorgden voor herkenning en interactie (bijvoorbeeld met behulp van een goochelaar). Pascal van de Kaa van ROC Amsterdam-Flevoland vertelde over hun aanpak met allerlei korte, heldere video's en e-learnings. Het aan elkaar laten zien en delen van voorbeelden zorgde voor flinke inspiratie bij de deelnemers. De organisatie deelt deze video’s ook voor gebruik door andere instellingen op Wikiwijs (cyberveiligheid). 

Motivatie als belangrijkste drijfveer tot verandering

Het COM-B-model is een gedragsmodel dat zich richt op het begrijpen en beïnvloeden van gedrag. Via de onderdelen Capability (vaardigheid/skills), Opportunity (gelegenheid/mogelijkheid) en Motivatie komt je tot een bepaald gedrag. Het draait erom dat in alle drie onderdelen moet worden voorzien voordat je gedragsverandering kunt realiseren. Bijvoorbeeld: als je gemotiveerd bent, maar je hebt niet de mogelijkheid om bepaald gedrag te vertonen, dan lukt het niet om een gedragsverandering te bereiken. Het model helpt te doorzien hoe je kunt insteken om je doel te bereiken bij het samenstellen van een trainingsprogramma.

Tijdens de korte workshop over het COM-B-gedragsmodel werd duidelijk dat 'Motivatie' de grootste uitdaging en een onderschat onderdeel is van gedragsverandering: we gaan te snel over tot het opbouwen van kennis zonder voldoende tijd te besteden aan de prioriteiten van de doelgroep. Én voorbeeldgedrag is een vereiste, dus voor het management geldt: 'Practice what you preach'.

Geen robot?

Rens van der Vorst gaf in een inspirerende afsluitende keynote mee dat mens en technologie elkaar op onverwachte manieren beïnvloeden. Gepersonaliseerd mailen wil nog niet zeggen dat het contact 'persoonlijk' wordt. En waarom moeten we eigenlijk aantonen dat we géén robot zijn in plaats van bewijzen dat we mensen zijn?  

Alle deelnemers mochten een boek geschreven door Rens van der Vorst uitkiezen en meenemen. De keuze bestond uit 'Digitale gremlins', 'Waarom je altijd wilt winnen van je navigatiesysteem' en 'Don't mention the VAR'.  

Meer weten? CSY!

Kijk voor je aanpak bij gedragsverandering en awareness-programma's op de website van SURF Cybersave Yourself (CSY) en ontdek wat jij kunt gebruiken uit de toolkit.