‘Stoppen met snoepen’
werkt niet. ‘Meer fruit
eten’ wel. De beste goede
voornemens zijn positief
en een beetje vaag

In een psychologisch onderzoek aan de Universiteit Stockholm, kregen sommige deelnemers veel hulp bij het opstellen van een specifiek, meetbaar, acceptabel, realistisch en tijdgebonden (smart) voornemen. Anderen kregen daarentegen nauwelijks of helemaal geen hulp. De deelnemers die veel hulp kregen, rapporteerden lagere (!) succespercentages dan deelnemers die slechts beperkt geholpen werden. Vage doelen geven mensen eerder een succesgevoel.

https://www.nrc.nl/nieuws/2025/12/28/stoppen-met-snoepen-werkt-niet-meer-fruit-eten-wel-de-beste-goede-voornemens-zijn-positief-en-een-beetje-vaag-a4916042

Verbieden werkt vaak niet. Het wordt dan al snel een uitdaging, iets spannends. Want het mag niet.
Uitleggen wat de risico's zijn, en hoe ze er mee om moeten gaan. En illustreren met voorbeelden uit hun belevingswereld. Daar leren mensen iets van.
Of ze het daarna ook willen toepassen in de praktijk, ligt aan hun interesse.

Wat me tegenwoordig opvalt aan online cursussen/trainingen is de hoeveelheid begeleidende video's.
Als oude rot raak ik dan snel mijn aandacht kwijt, want slaapverwekkend en langzaam.
Persoonlijk heb ik dan liever de uitgeschreven tekst voor mijn neus. Daar ga ik sneller doorheen.
Jong geleerd om grote hoeveelheden tekst tot me te nemen. Oud kan ik dat nog steeds. :-)
Een onderscheid maken tussen "voor beginners", "voor gevorderden", "voor experts" kan ook helpen. (Maar wie bepaalt hoe wat iemand is?)

Ik had een leraar vroeger die saaie stof interessant kon maken door (vaak aprocriefe) humorvolle voorbeelden te schetsen.
Dat blijft je bij. Dan wordt informatie beter opgenomen.

Eh, hoe wou je goede voornemens voor lifestyle van iemand, vertalen naar training voor computergebruik?

-Gebruik meer internet! (dus geen AI)
-Vraag het een aantrekkelijke collega! (stuur geen mail en bel niet)
-Neem meer pauze! (zoek niets zelf uit op internet of met AI maar wacht tot je zelf een antwoord bedacht hebt)
-Lekker nooit meer mail van onbekenden en mail met bijlages openen! (zekere voor onzekere nemen is werkdrukvermindering)


Toon maakt echt wel iets uit, daar niet van. Maar ik vraag mij af of toevlucht tot retorische kunstgrepen effect heeft. Ik was toevallig bezig met het onderwerp "De Digitale lezer: lezen in het digitale tijdperk".

Dat is iets dat er toe doet: leeftijdsverschillen en aandachtseconomie.

https://www.security.nl/posting/27063/%22Dertig+plussers+maken+werkvloer+onveilig%22

Is een wat langer artikel van de Redactie (geen idee of daar nog dezelfde mensen zitten) uit 2009.

2009

Daar zijn bijgekomen Generatie Z, geboren tussen circa 1997 en 2012, lopen nu ook op werkvloer, itt tot schrijven van dat stuk.
en generatie Alpha, geboren tot 2022
Generatie Beta zijn de babies en peuters van nu.

Om die laatste is zoveel te doen, leeftijdscontrole, en de motivatie achter het breken encryptie, dmv CSAM. Geboorte- sterftecijfers zijn redelijk in evenwicht in Nederland zoals ik las, en geboortecijfer in EU gebied is dalende de afgelopen 100 jaar.

Effe een brainstorm! Ik vraag me af of awarenesscursussen überhaupt zoden aan de dijk zetten. Ik denk zelf van niet, of slechts in zeer beperkte mate. Op het moment dat jij onder tijdsdruk of onder druk van een slechte beurt in een groep iets snel af moet hebben, dan neem je shortcuts. Dat doet iedereen in het dagelijkse leven. Als ik ergens niet te laat mag zijn, dan is de kans dat ik te hard ga rijden om toch op tijd te zijn groter. Als ik te weinig tijd heb om boodschappen te doen, dan is de kans op het eten van fastfood groter. Als ik het druk heb op mijn werk, dan is de kans op het laten schieten van mijn sportuurtjes groter. Dit zal denk ik bij iedereen zo zijn. Natuurlijk gaat het er ook om wat je gedrag is wanneer alles vlotjes verloopt. Maar daar zit hem niet de crux. Prima om awarenesscursussen daar op toe te spitsen, maar denk niet dat die lessen worden gevolgd als het echt spannend wordt. Richt je dan op die 70% - 80%, dek de rest zo goed als mogelijk af met technische maatregelen, en accepteer dat mensen maatregelen omzeilen.

De beste lessen die ik meedraag zijn de lessen die het pijnlijkst voor me waren. Een ingeslagen autoruit, omdat ik zo dom was om een laptop in het zicht te laten liggen. Sinds die tijd laat nog geen lege boodschappentas in het zicht liggen. De reden: het raakt me direct als ik de fout in ga. En dat laatste ontbreekt nogal eens bij medewerkers, en ik ben bang dat dat niet verandert. Weinig mensen zijn net zo begaan met de waarde van bedrijfseigendommen als met hun eigen eigendommen. Te veel mensen hebben te weinig verstand van beveiliging, juist doordat het zo enorm complex is en ze niet alles kunnen overzien. En zelfs met de juiste kennis: de grootste smeerlappen die ik tegen ben gekomen zijn IT'ers, doordat ze vaak meer rechten hebben en daarom ZELF allerlei onveilige geitenpaadjes voor zichzelf bewerkstelligen onder het mom "ik weet waar ik mee bezig ben".

Aangaande je vraag welke vragen we krijgen: we krijgen bijna nooit vragen. Er zijn een paar mensen die zeer begaan zijn met hun werk en de beveiliging ervan, en die mensen stellen vragen. Het zijn de mensen die de knop "Report spam" gebruiken in hun mailclient. Vragen stellen over waar een beveiligingsincident moet worden gemeld. Waar een gevonden USB-stick ingeleverd kan worden. Of het versturen van bestanden via WeTransfer of naar een persoonlijk Hotmailadres eigenlijk wel mag. De rest stelt vooral vragen om ergens een vinkje te krijgen, om vervolgens meteen weer door te gaan met waar ze op afgerekend worden: tijdige oplevering van hun project of deliverables in een sprint. Het is puur functioneel, omdat ze het antwoord nodig hebben. Raakt het mensen niet of nauwelijks, dan komen de vragen ook niet.

Ik kan me van lang geleden een soort matrix herinneren met de opties 'weinig/ veel kennis', 'goed/ slecht gedrag' en 'goede/ slechte houding'. Afhankelijk van de combinatie werd een awareness-training vormgegeven en werden zelfs rechten al dan niet toegekend aan mensen. Mensen met een slechte houding en slecht gedrag mochten bepaalde dingen simpelweg niet, puur om het bedrijf te beschermen. Eerst je houding en gedrag aanpassen, maar vaak was het onbegonnen werk of moest er teveel tijd worden besteed om het gedrag (zeer tijdelijk) aan te passen.

Misschien moeten we dit maar zien als de prijs van IT. Het is een commodity geworden, net zoiets als water. Je doet de kraan open en het is er. We gaan mensen met een laag kennisniveau, slechte houding en slecht gedrag verantwoordelijk maken voor het watergebruik en soms zelfs voor de kwaliteit van het water. Misschien werkt belonen. Ik ken voorbeelden van mensen die verantwoordelijk werden gemaakt voor een onderwerp waar ze weinig feeling mee hadden, en zich daardoor verantwoordelijk gingen voelen, met een positieve invloed op houding en gedrag. Hoe je dat structureel en bedrijfsbreed moet doen voor iets dat onderaan de lijst met belangrijke dingen staat, waar mensen nauwelijks pijn voelen als het fout gaat, en waar mensen niet op worden afgerekend in performance gesprekken ... ik denk niet dat er 1 oplossing zal zijn.

Dat afdekken met technische maatregelen gebeurd in het groot (leeftijdscontrole, openbreken encryptie, nis-richtlijnen) en zo klein als de werkvloer. Dek zoveel mogelijk technisch af, en ga er van uit dat mensen die maatregelen omzeilen, het gaspedaal stevig intrappen, om te trappen tegen regels. China heeft dit handiger geregeld voor zichzelf, als machtsblok in de wereld.

De zeer beperkte mate dat awareness training iets bij kan dragen, zit dan ook in attitudes ten op zichte van regels, en betrokkenheid bij het bedrijf wat verder reikt dan de afbetaling van de hypotheek van de individuele medewerker.


Zou wat plaats van automatisering in bedrijfsvoering betreft, vertaald kunnen worden met: overtreden regels computergebruik is reden tot ontslag. Dat is commodity een plaats geven in zorgvuldig gebruik in samenleving. Maar die veiligheidsregel overtreder, is niet aangenomen op zijn computerkennisgebruikskwaliteiten, hooguit bij automatisering zelf, en dat is niet zelden uitbesteed. Al die anderen zijn aangenomen op heel andere gronden.


Dat geldt ook voor 'staatseigendommen' zoals instituties en organisaties die dit systeem in stand houden voor inwoners. Ik ga er van uit dat je redeneert vanuit rol automatisering in bedrijfsleven, niet bij overheid en zijn overhead.



Dit kan niet genoeg herhaald worden!

Dan weet je ook hoe beperkt zelf-reinigend vermogen een groep specialisten heeft, eenmaal de apenrots beklommen. Terwijl hele bedrijf "aware" is dat het zo werkt, op veel afdelingen kom je dit tegen.


Zo herkenbaar dit. Het is de attitude kennis te willen verbreden en verkrijgen over onderwerpen waar ze minder verstand van hebben. Dit vanuit een verinnerlijkt veiligheid-onveiligheid manier van denken en doen.


Weet je nog wanneer dat was? Werd de training organisatie breed gegeven, of alleen aan jullie?

Sociale psychologie is wat op en buiten het internet aan training plaats vindt. De opvoeding van volwassenen, zodra ze de schoolbanken verlaten hebben en geacht worden iets bij te gaan dragen aan de samenleving, en de structuren van die samenleving in stand te houden.


Ben nu heel nieuwsgierig wie de training verzorgde, en of dat bureau nog bestaat (ik heb wel een vermoeden)


Dit gaat over AI, kennisverspreiding via AI, datatlekken via AI.


Dit herken ik ook: op een taak gezet worden waar je weinig feeling mee hebt, om betrokkenheid met het onderwerp te genereren. Pas jaren later wordt dit uitbetaald soms. In gedragsverandering. Vaak ook weer door pijnlijke lessen die jezelf omschreef.


Schandpalen, sociaal en financieel isoleren om vervolgens maatschappelijk uit te kotsen. Toch zagen we het tegenovergestelde gebeuren, in de politiek. Dat is het slechte voorbeeld in een samenleving geven. Zie je ook bij organisaties en bedrijven: ondanks slecht functioneren een beter betalende functie elders vinden.

Heropvoedingskampen over veiligheid-onveiligheid op de werkvloer om volwassenen op te voeden, het zal wel hier op uit gaan draaien, met gebruik van AI door bedrijf dat bedrijfsautomatisering verzorgd.

Al die awarenesstraining ten spijt. Typisch dat er ook geen Nederlandse term voor wordt gebruikt: bewustzijnstraining, oei, dat is eng en griezelig en staat haaks op overtuigingen, bedrijfs- en samenlevingsbreed gedragen.

Misschien dat het onderwijs er iets mee doet, maar dat verwacht ik niet, al worden daar ook naar creatieve vormen gezocht om kind en jeugd te boeien en iets bij te brengen.

Veel van wat je schrijft herken ik: awareness-trainingen helpen vaak alleen de geïnteresseerden, en de rest volgt het halfslachtig. De echte lessen komen vaak pas als mensen pijn ervaren door hun eigen fouten. Technische maatregelen blijven dus cruciaal, en betrokkenheid bij het onderwerp creëren is echt key.

Veel van wat je schrijft herken ik: awareness-trainingen helpen vaak alleen de geïnteresseerden, en de rest volgt het halfslachtig. De echte lessen komen vaak pas als mensen pijn ervaren door hun eigen fouten. Technische maatregelen blijven dus cruciaal, en betrokkenheid bij het onderwerp creëren is echt key.

Een training is alleen (mogelijk) succesvol indien het aangeboden materiaal een raakvlak heeft met de doelgroep. Dus er is geen universele oplossing hier. Zaken waarom het vaak fout gaat:

1. Het trainingsmateriaal is te technisch voor de doelgroep. Dit resulteert erin dat de mensen afhaken. Ze begrijpen het niet, of misschien wel erger, denken het te begrijpen maar concluderen dat het niet over hun gaat.

2. Men gaat te vaak uit van het angst aanjagen in plaats van begrijpend vertellen. Bij angst gaan mensen ontkennen. Dus je raakt ze niet. Of ze gaan in paniekmodus en begrijpen niet meer de nuances. In beide gevallen mis je je doel.

3. Verbieden van gedrag leidt tot ontwijkend gedrag. Mensen vinden er wel een weg omheen. He, daar hebben we een mooie uitdrukking voor: Shadow IT.

Kortom, de materialen die gebruikt worden voor training moeten aangepast zijn aan het te verwachte doel en de beschikbare doelgroep. En zeker niet te complex, lang, dreigend of teveel in vaktaal.

Hiernaast moeten we als IT gewoon zorgen dat we een "leefbare" IT omgeving ter beschikking stellen die de gebruikers goed faciliteert, maar in de achtergrond de IT security waarborgt.

Doe het zoals de auto-industrie. Die zeggen dat ABS geweldig is voor je veiligheid. Je staat eerder stil en kan minder snel wegslippen. Dit begrijpt iedere gebruiker. Ze proberen niet iedereen uit te leggen hoe die ABS nu werkt. Dus voor 95%: Gewoon je rem intrappen en ingetrapt houden. De auto lost het op. 95% weet niet hoe het werkt, maar wel dat ze het nodig hebben. Dus bij de nieuwe auto/motor is het een must have. Geen geneuzel over lengte van de remweg, bandenslijtage, pompend remmen etc. Dat is allemaal niet nodig om het doel (gebruik ABS) te halen.

Maar in de IT gaan we allemaal details vertellen, samen met allemaal situaties. En dan gaan we met 10 slides uitleggen hoe ABS werkt, wat er anders nog op de markt is, waarom wij beter zijn, en waar anderen gefaald hebben.

Een awareness training is een nutteloos vehikel. Wordt bij de meeste bedrijven enkel aangeboden om bedrijf zelf vrij te pleiten (iedereen heeft immers de awareness training met succes afgerond: vink, compliant). Hoe de meesten zo'n training doen (inclusief ikzelf) is een methode vinden om met zo min mogelijk moeite zo snel mogelijk de "training" af te ronden. Uiteindelijk leer je er niets van en blijft er niets hangen.

Is het in de IT niet eerder zo dat:
1. Leveranciers met verschillende varianten komen, die net niet exact "ABS" zijn. En dan hebben we het nog niet over de bugs in de versies die live gebruikt worden.
2. Klanten steeds weer verschillende maatwerk-alternatieven wilen hebben, omdat zij denken anders te werken dan de rest van de klanten.

Dat is het probleem van een analogie.
ABS kunt je als klant niet meer als maatwerk laten tweaken, of zelf anders configueren.
En het is een uitgewerkt product. Er zitten geen grote bugs meer in die een terugroepactie noodzakelijk zouden maken.
Zouden IT-leveranciers eens weken als autobouwers. Da zou osn een slok op een borrel schelen.
Maar met de opmars van compyuter hard- en software in auto's is het juist zo dat auto's ook meer bugs aan het vertonen zijn. Met over the air updates (op ongwneste momenten) als resultaat.

Voor de meeste maakt dit niet uit. Of je nu CoPilot of Gemini of ChatGPT gebruikt, voor de meeste gebruikers is een basis kennis voldoende momenteel.

Dit is gewoon in een standaard training doen. Of je nu Electrisch, normale brandstof, of een bepaald merk rijd, een automaat is een automaat en of ik dan een DSG heb, maakt voor mijn rijles niet uit.

Ik heb trouwens de nodige terugroep acties gehad op mijn auto's. Toevallig zag je nu ook Tesla's voorbij komen, waarbij de portierknoppen volledig vast gevroren waren met dit weer.

In kassa laatst, een auto, die door software van de auto geen trekhaak aankon, maar wel met verkocht kon worden. Misschien niet het beste voorbeeld, om echt je punt te maken.

Dat geen trekhaak onder een auto mogen hebben om een karretje te trekken, dat had alles met aangeleverde bedrijfsgegevens te maken over het Auto Type en goedkeuring voor de Europese markt. RDW deed daar gewoon aan mee, ja natuurlijk Europese richtlijnen voor Amerikaanse auto's (Ford, de meest geleaste auto in Nederland) en 'bedrijvig' Nederland, en wij moeten dan geloven dat dat het MKB is.

Pfft wat een natte scheet.

Scheetkussens zijn het voor ze, die juridische verschillen.

Sjoemel software en VW, kennen we die affaire nog, en vooral hoe die afgehandeld werd, door de VS. 2014-5 Wie ze wel vervolgden, en wie niet. En op basis van welke wet.

Misschien moet je de kassa aflevering even bekijken? Het was een software probleem.

De Ford auto's hier zijn ook niet echt Amerikaanse auto's. En ik kom in geen enkele berichtgeving tegen, dat Ford ook de meest geleaste auto van Nederland is. Enige onderbouwing is gewenst, want de Ford KA, Focus of de Mondeo of electrisch? En snelle google, kwamen geen van deze auto's naar voren als meest geleaste auto in Nederland.
Je bron is precies waar te vinden?

Het autovoorbeeld ging over ABS. En dan specifiek de marketing. Als voorbeeld voor hoe de IT industrie.het zou moeten doen.
Ik wees vervolgens op de verschillen, waar luchtigjes overheen gewandeld werd.

En ja, software wordt steeds invasiever in autos, met alle negatieve gevolgen van dien. Daar gaat een ABS-achtige martketing ook niets aan verhelpen. Op zijn hoogste verhullen. Tot auto's terig geroepen worden.

Mijn auto uit 2009 had al terugroep acties.
Telsa die maanden geen onderdelen kon leveren.
Mijn huidige auto heeft ook wat meganische issues gehad waardoor hij een terugroepactie heeft gehad.
Was er trouwens uit kassa/radar ook niet naarvoren gekomen, dat een bepaalde motor grote problemen had?

Auto's hebben regelmatig juist terugroep acties, omdat bijvoorbeeld de veiligheid in het geding is.


Software zorg er voor, dat als ik niet rem, mijn auto toch hard remt bij een plotselingen obstakel, bij zorgt er voor dat ik tussen de lijnen rij. Dat mijn motorkap omhoog gaat. als hij detecteert dat een voetganger heb aangereden. Hij kan zien, wat er eventueel aan obstakels zijn, voordat ik deze kan zien.

Had ik auto navigatie al benoemd?

Op mijn Samsung toestel is afgelopen week automatisch Gemini AI geïnstalleerd en was bij default al actief.
Mag dit dan zo maar of ben ik doorgeschoten in de Awareness training?

"Dat mijn motorkap omhoog gaat. als hij detecteert dat een voetganger heb aangereden"

Wat is daar in vredesnaam het nut van? Dat dit het aangereden slachtoffer van de auto af gooit?

Aangezien we het over AI hebben, is dit nu juist een prachtig voorbeeld om AI te gebruiken.


En zie je dus het nut van AI, ik heb letterlijk gewoon je topic bij Gemini gebruikt. AI is dus best heel krachtig....

@ 17:04 Stop de Kindermoord noemt mijn lokale AI in verband met technische en juridische maatregelen vermindering verkeersdoden.

Weer ontopic graag. Over AI. Nadelen en Voordelen.


https://historiek.net/vic-langenhoff-en-de-strijd-tegen-de-kindermoord/148677/

Zit Trump nog steeds met zijn Samsung te "twitteren" op Social Truth platform;)

Gemini moet je altijd met je vraagstelling een beetje masseren om door te kwebbelen, anders vind Gemini het een griezelig gesprek worden. Het zijn net mensen..../s

Nu alleen hopen dat het niet een keer gaat halucineren als je hem een kritieke vraag stelt. :-)

Verkeerde topic? Over Awareness en hoe die te trainen gesproken. Foutje is zo gemaakt, blijkt wel weer. Wel goede link, Stop de Kindermoord. Ga ik onthouden, en gebruiken in awareness training als dat zo uitkomt.

Systeem blokkeren en verzoeken zich bij de Awareness trainer te vervoegen voor uitleg? Of storing veroorzaken zodat het de hele kantoorpopulatie treft, dan een potje blaming op de werkvloer.

Is vast personeel voor te vinden, nu nog een directeur die dat prachtig vind.

Ik denk dat een standaard (computer-)veiligheidstraining voor nieuwe medewerkers op zijn plaats is, zodat iedereen in het bedrijf weet wat de regels zijn, en ook waarom er bijvoorbeeld websiteblokkades zijn. Bij belangrijke wijzigingen horen alle medewerkers daarvan op de hoogte gebracht worden. Hoe een en ander ingevuld wordt hangt van het bedrijf af, maar bij grotere bedrijven heb ik een wekelijks of maandelijks "nieuwelingenklasje" gezien. Bij andere bedrijven zelfstudie afgesloten door een multiple choice examen. Dat je in zo'n training een aantal minuten aandacht besteed aan de risico's van uploaden van vertrouwelijke en persoonsgegevens naar een externe AI is te verwachten.

Bij de (Amerikaanse) bedrijven waar ik voor werkte was er een jaarlijkse herhaling van de toets (Saai, want het was ieder jaar hetzelfde en je moest er een uur aan verspillen.) Ik suggereer voor een pragmatischer oplossing waar de medewerker inlogt op een website en daar verklaart dat hij de regels gelezen heeft. Eventueel met een paar multiple choice vragen om te controleren of hij/zij het ook begrepen heeft. Iemand die na een aantal aanmaningen niet meedoet kan beperkt worden in wat hij met de bedrijfscomputers kan doen.

Regels lezen, geboden en verboden, wil nog niet zeggen dat regels begrepen zijn en toegepast worden. Het is wel een reden om bij niet houden aan de regels, een gesprek mogelijk is, en in de toekomst misschien een sanctie, beetje afhankelijk van de sector.

Heb bij een bedrijf een klus gedaan waar ze een phishing test deden. Hoorde dat XX percent op de phishing link klikte, en X procent ook nog wat invulde. Ze mochten allemaal een cursus doen. Na de curses nog een test, percentage gedaald. Half jaar later weer een test, percentage weer terug naar wat het was.

Die mentaliteit komt voort uit het opleidingstraject wat er aan vooraf ging, vanaf de kleuterschool tot beroepsopleiding.