Een grote groep Nederlanders wordt jaarlijks slachtoffer van phishing. Burgers en bedrijven nemen echter in te beperkte mate zelfbeschermende maatregelen. In dit onderzoek wordt in kaart gebracht welke factoren bijdragen aan de intentie om zelfbeschermende maatregelen te nemen tegen phishing door drie risicogroepen, namelijk jongeren, ouderen en mkb’ers. We passen de Protection Motivation Theory toe, en onderbouwen een uitbreiding van dit model met twee factoren: affectieve respons en subjectieve normen. Data is verzameld middels vragenlijstonderzoek bij een panelbureau onder jongeren (N=1179), ouderen (N=1191) en mkb’ers (N=1020). De sterkste voorspeller voor de intentie tot het nemen van zelfbeschermende maatregelen tegen phishing bleek de affectieve respons (zorgen maken om phishing), gevolgd door een negatief effect van zelfeffectiviteit en positieve effecten van waargenomen ernst (jongeren en mkb’ers) en subjectieve norm (mkb’ers). Implicaties van de bevindingen voor handhavers en interventies worden besproken.

Cybercriminaliteit is anno 2023 een urgent maatschappelijk probleem. De wereldwijde financiële schade werd met $6 triljoen in 2020 gelijk of groter geschat dan de financiële schade als gevolg van de georganiseerde handel in drugs (Ahamad, 2020). Het is niet aannemelijk dat cybercriminaliteit in de tussenliggende jaren in omvang en impact is afgenomen, integendeel. Cybercriminaliteit staat al enige jaren steevast in de top vijf van belangrijkste wereldwijde problemen (World Economic Forum, 2019). Ook in Nederland grijpt slachtofferschap van cybercriminaliteit steeds verder om zich heen. In het jaar 2021 waren er volgens het CBS bijna 2,5 miljoen Nederlandse slachtoffers (CBS, 2022) van cybercriminaliteit en al geruime tijd worden meer Nederlanders slachtoffer van hacking dan van fietsendiefstal (Leukfeldt, 2018).

In 2021, the Recast Dual-Use Regulation entered into force. The regulation includes a heavily debated new provision on the export control of so-called cybersurveillance items. This provision departs from the traditional logic of export control rules in multiple ways. Most importantly, it positions human rights considerations as an important factor in the export control of a flexible range of technologies. This article explores the operation, implications and challenges of this new human rights-orientated approach to export control of digital surveillance technologies. Taking the definition of cybersurveillance items as a starting point of the analysis, the article draws on surveillance-related case law of the European Court of Human Rights and the Court of Justice of the European Union, to define the potential scope of application of the open-ended cybersurveillance concept of the Regulation. By exploring how this concept maps to technologies often connected with human rights infringements, such as facial recognition, location tracking and open-source intelligence, the article highlights the challenges of applying this new approach and underscores the need for its further development in practice.