De hack bij telecombedrijf Odido in februari 2026 benadrukt dat geen enkele technische beveiliging voldoende is wanneer medewerkers op een verkeerde link klikken. De aanval begon met een phishingmail gericht op klantenservicemedewerkers, waarna social engineering werd ingezet om inloggegevens te verkrijgen en toegang te krijgen tot systemen. Dit incident leidde tot een van de grootste datalekken in Nederland, waarbij persoonlijke gegevens van 6,2 miljoen klanten werden buitgemaakt.

Het dreigingslandschap wordt steeds complexer en persoonlijker, mede door de inzet van AI bij phishingaanvallen. Meer dan 82 procent van de gedetecteerde phishingmails maakt gebruik van AI, wat resulteert in foutloze en overtuigende berichten die ook ervaren IT-professionals misleiden. Ondanks grote investeringen in technische beveiligingsmaatregelen blijkt uit het Verizon Data Breach Investigations Report 2025 dat 60 procent van de datalekken een menselijke factor kent. Security awareness training is daarom onmisbaar als aanvulling op technologie, omdat het medewerkers bewust maakt van risico’s en voorkomt dat zij zelf de poort voor aanvallers openen.

Onderzoek van Fortinet toont aan dat organisaties die structureel investeren in awareness training een significante daling van incidenten zien, met een reductie van phishingrisico’s tot 86 procent binnen een jaar. Traditionele jaarlijkse trainingen zijn echter onvoldoende, omdat kennis snel verloren gaat. Effectieve programma’s kenmerken zich door korte, frequente sessies met gamification-elementen, zoals wekelijkse challenges van enkele minuten. Dit verhoogt de motivatie en leidt tot duurzame gedragsverandering, zoals bij de Oké Groep waar phishing-simulatiescores met 84 procent verbeterden na implementatie van een dergelijk programma.