De meeste organisaties begrijpen dat mensen een belangrijke rol spelen bij cyberrisico’s. Veel minder organisaties hebben een trainingsprogramma voor beveiligingsbewustzijn opgezet dat het gedrag daadwerkelijk verandert.

Mensgerelateerd beveiligingsrisico is zelden één enkel dramatisch incident. In werkelijkheid uit het zich op gewone momenten: een medewerker klikt op een overtuigende phishing-e-mail, gebruikt een wachtwoord opnieuw voor verschillende bedrijfsmiddelen, deelt inloggegevens in een chat of negeert een verzoek om tweestapsverificatie (2FA) omdat het aanvoelt als een onderbreking in plaats van een beschermende maatregel.

Na verloop van tijd bepalen die alledaagse beslissingen de blootstelling van de organisatie. In het Verenigd Koninkrijk maakt het bredere dreigingsbeeld het onmogelijk om dit als een klein probleem te beschouwen. Uit het rapport Cyber Security Breaches Survey 2025 van de Britse overheid bleek dat de helft van de bedrijven in de voorgaande 12 maanden te maken kreeg met een incident of inbreuk op de cyberbeveiliging, en dat phishing de meest voorkomende vorm van cybercriminaliteit bleef onder de getroffen bedrijven.

Voor HR-leiders, CISO’s, COO’s, IT-managers en beveiligingsteams is training in beveiligingsbewustzijn daarom veel meer dan alleen een oefening in naleving. Het is de manier waarop bedrijven vermijdbare risico’s beperken. De uitdaging is dat veel programma’s nog steeds zijn opgezet rond het louter voltooien van oefeningen in plaats van het daadwerkelijk veranderen van gedrag. Teamleden bekijken een jaarlijkse video, vinken een vakje aan en keren terug naar dezelfde gewoonten die het risico in de eerste plaats hebben gecreëerd.

Een effectievere aanpak behandelt bewustwording als onderdeel van de werkcultuur. Het wordt in de loop van de tijd versterkt, gevormd door de functie, ondersteund door bruikbaar beleid en gefaciliteerd door hulpmiddelen die de veilige keuze gemakkelijker maken.

We leggen u uit hoe een effectief programma voor beveiligingsbewustzijn er werkelijk uitziet, waarom zoveel organisaties de mist in gaan en hoe u een programma opbouwt dat het dagelijkse gedrag verbetert in plaats van alleen maar te documenteren dat de training heeft plaatsgevonden.

Waarom training in beveiligingsbewustzijn in de meeste organisaties faalt

Training in beveiligingsbewustzijn faalt vaak omdat het wordt behandeld als een afspraak in plaats van als een systeem. In veel organisaties bestaat het programma uit een jaarlijkse nalevingsmodule, een korte quiz en weinig anders. Van het personeel wordt verwacht dat zij eenmaal per jaar generiek advies opnemen en dit vervolgens consequent toepassen op honderden praktijkgerichte workflows, hulpmiddelen en beslissingen. Dit is simpelweg niet genoeg om gedrag op een blijvende manier te veranderen.

Het probleem is niet dat bewustwordingstraining geen waarde heeft. Het is dat veel programma’s verouderd zijn of te ver afstaan van hoe mensen daadwerkelijk werken. Ze vertrouwen op abstracte herinneringen, terwijl de echte risico’s opduiken in postvakken, gedeelde drives, bij het herstellen van een wachtwoord, dringende verzoeken van managers en dagelijkse toegangsbeslissingen. Als de training niet nabootst wat mensen elke dag werkelijk zien of doen, is het onwaarschijnlijk dat ze het zullen onthouden of toepassen.

Trainingsprogramma’s moeten introductie- en opfriscursussen bevatten voor al het personeel over gegevensbescherming en informatiebeheer, terwijl bewustmakingsacties gebruik moeten maken van regelmatige communicatiemethoden om informatiebeheer, gegevensbescherming en informatiebeveiliging op de lange termijn zichtbaar te houden. Dat wijst op een continu model in plaats van een eenmalige jaarlijkse interventie.

Een andere reden waarom programma’s falen, is dat ze zich te nauw richten op wat werknemers niet mogen doen, terwijl de dieperliggende oorzaak van slechte gewoonten wordt genegeerd. Personeel vertellen dat ze wachtwoorden niet opnieuw mogen gebruiken helpt in theorie, maar het haalt weinig uit als het bedrijf hen geen veilige, praktische manier heeft gegeven om inloggegevens aan te maken, op te slaan en te delen. Hen vertellen hoe ze phishing kunnen herkennen is nuttig, maar minder effectief als het melden van verdachte berichten onduidelijk of omslachtig is.

Hoe een echt programma voor beveiligingsbewustzijn eruitziet

Een echt programma voor beveiligingsbewustzijn is niet iets wat werknemers eenmalig voltooien en daarna vergeten. Het is een voortdurende reeks gewoonten, verwachtingen en waarborgen die mensen helpt om in de loop van de tijd betere beveiligingsbeslissingen te nemen.

Dit begint met continuïteit. Gebruik trainingsmateriaal dat is ontworpen als aanvulling op bestaand beleid en bestaande procedures. Ze moeten praktische onderwerpen behandelen zoals sterke wachtwoorden, best practices voor BYOD, phishing en incidentrapportage. Die mix is nuttig omdat effectieve bewustwording niet stopt bij één onderwerp. Het moet de volledige reeks routinehandelingen weerspiegelen die de beveiliging op de werkvloer bepalen.

Maar continuïteit alleen is niet genoeg. Het programma moet ook de werkelijke verschillen weerspiegelen in de manier waarop teams met risico’s te maken krijgen.

Een effectief programma moet ook functiespecifiek zijn. Een lid van het financiële team dat betalingsverzoeken verwerkt, wordt niet geconfronteerd met hetzelfde dagelijkse risico als een marketingmanager die sociale accounts deelt, of een HR-verantwoordelijke die personeelsdossiers beheert. Generiek advies heeft zijn plaats, maar het werkt beter wanneer het wordt gevolgd door training die relevant is voor de systemen, gegevens en aanvalspatronen die het meest van toepassing zijn op elke groep.

Het volgende onderdeel is oefening. Werknemers ontwikkelen geen beter beoordelingsvermogen door alleen regels te lezen. Ze verbeteren door herhaalde blootstelling aan realistische scenario’s: phishingsimulaties, rapportageoefeningen, toegangscontroles en korte herinneringen gekoppeld aan werkelijke hulpmiddelen of workflows. Gesimuleerde aanvallen zijn bijzonder nuttig omdat ze testen of het programma het gedrag beïnvloedt op de momenten die er echt toe doen, in plaats van alleen in een quizomgeving.

Duidelijk beleid voor beveiliging en wachtwoorden is net zo belangrijk. Personeel moet weten hoe inloggegevens moeten worden aangemaakt, opgeslagen, gedeeld en verwijderd wanneer ze niet meer nodig zijn, hoe verdachte berichten moeten worden gemeld, wanneer 2FA vereist is en wat ze moeten doen als ze denken dat ze een fout hebben gemaakt.

Ten slotte behandelt een echt programma beveiliging als een gedeelde norm op de werkplek in plaats van een gespecialiseerde IT-aangelegenheid. Dat betekent dat managers het versterken, leiders het goede voorbeeld geven en teams erover praten als onderdeel van de dagelijkse werking van de organisatie. Het opbouwen van een dergelijke cultuur vergt meer dan een beleidsdocument, maar het is een van de krachtigste manieren om herhaalde menselijke fouten op de lange termijn te verminderen.

De gids van Proton over cyberbeveiligingscultuur voor kleine bedrijven op de werkvloer is hierbij nuttig, omdat het bewustwording niet kadert als een op angst gebaseerde campagne, maar als onderdeel van hoe een bedrijf elke dag werkt.

Waarom phishing en misbruik van inloggegevens centraal horen te staan in het programma

Als een trainingsprogramma voor veiligheidsbewustzijn alles in gelijke mate probeert te behandelen, kan het zijn focus verliezen. De meeste organisaties zijn beter gediend door te beginnen bij de risico’s die waarschijnlijk de meeste schade aanrichten.

Phishing hoort bovenaan die lijst te staan. Uit het rapport van de Britse overheid Cyber Security Breaches Survey 2025(nieuw venster) bleek dat phishing de meest voorkomende aanvalsvector bleef onder bedrijven die te maken kregen met cybercriminaliteit, waarbij 93% van die bedrijven werd getroffen. Dat weerspiegelt de bredere realiteit bij Britse bedrijven, waar phishing een van de meest gebruikte aanvalsmethoden blijft.

Phishing eindigt zelden bij het bericht zelf. Bij veel organisaties begint de echte schade pas wanneer gestolen inloggegevens worden gebruikt om toegang te krijgen tot accounts, misbruik te maken van hergebruik van wachtwoorden, door te dringen tot andere systemen of te profiteren van gedeelde inloggegevens die nooit streng werden gecontroleerd.

Bedrijven moeten een gelaagde aanpak hanteren. Het moet voor aanvallers moeilijker worden om gebruikers te bereiken en voor gebruikers gemakkelijker om verdachte phishingberichten te herkennen en te rapporteren. Dit beschermt organisaties tegen de gevolgen van niet-gedetecteerde phishing-e-mails en helpt hen om snel op incidenten te reageren.

Een sterk programma voor veiligheidsbewustzijn moet diezelfde logica weerspiegelen. Medewerkers moeten verdacht gedrag kunnen herkennen, maar ze hebben ook de omliggende controles nodig die de impact van één fout beperken.

Dat is waar de hygiëne van inloggegevens centraal komt te staan. Personeel trainen om zwakke of hergebruikte wachtwoorden te vermijden is nuttig, maar het wordt veel effectiever wanneer dit wordt ondersteund door tools die de afhankelijkheid van het geheugen verminderen en het gebruik van veilige inloggegevens in de praktijk gemakkelijker maken. We behandelen deze bredere preventieve mindset ook in onze gids over preventie van gegevensschendingen voor bedrijven, waarin de rol van praktische controles bij het verminderen van vermijdbare blootstelling wordt benadrukt.

De functie van tools bij het verminderen van menselijke risico’s

Veiligheidsbewustzijn is slechts een deel van het plaatje. Mensen volgen veilige werkwijzen veel eerder op wanneer deze werkwijzen natuurlijk aansluiten bij de manier waarop ze werken. Als de veiligste optie ook de makkelijkste is om te gebruiken, is de acceptatie veel consistenter. Als het traag, onhandig of moeilijk in gebruik voelt, zullen zelfs medewerkers met de beste bedoelingen naar shortcuts gaan zoeken.

Wachtwoordbeheer is een van de duidelijkste voorbeelden. Organisaties vertellen personeel vaak om sterke, unieke wachtwoorden te maken, 2FA te gebruiken en delen te vermijden. Maar tenzij medewerkers een praktische manier krijgen om dat te doen, blijft de instructie slechts een streven. Ze vallen terug op gedenkwaardige, eenvoudige wachtwoorden, browseropslag, spreadsheets, notitie-apps of berichtentools omdat die opties op dat moment sneller aanvoelen.

Een wachtwoordbeheerder voor bedrijven helpt die kloof te dichten. Proton Pass for Business is ontworpen om het aanmaken, de opslag en het delen van veilige wachtwoorden binnen teams eenvoudiger te maken, terwijl organisaties ook meer controle krijgen over de omgang met inloggegevens. Deze mogelijkheden helpen medewerkers om sterke, unieke wachtwoorden te maken en automatisch in te vullen, 2FA te gebruiken voor accounts en opgeslagen inloggegevens te beschermen met end-to-end versleuteling.

Dat vervangt training in veiligheidsbewustzijn niet. Het versterkt het door veilig gedrag gemakkelijker te maken. In plaats van het personeel te vragen tientallen complexe wachtwoordregels te onthouden, geeft u hen een systeem dat het gedrag ondersteunt dat u wilt. Dat maakt goede beveiligingspraktijken makkelijker vol te houden en beleidshandhaving haalbaarder.

Hetzelfde geldt voor incidentrapportage, toegangscontrole en onboarding. Op deze gebieden zijn tools vaak nodig om medewerkers een duidelijk proces te bieden en de organisatie consistent overzicht en controle te geven. Tools kunnen het eigen oordeel niet vervangen, maar ze kunnen veilige handelingen wel makkelijker, sneller en consistenter maken in het dagelijkse werk.

Een praktisch 6-stappenplan voor het lanceren of verbeteren van uw programma voor veiligheidsbewustzijn

Een programma voor veiligheidsbewustzijn werkt het best wanneer het is ontworpen als een operationeel ritme in plaats van een eenmalige campagne. Het onderstaande kader kan u helpen om aan de slag te gaan.

Stap 1: Definieer het specifieke gedrag dat u wilt veranderen

Begin met risico’s. Identificeer het gedrag dat uw organisatie het meest waarschijnlijk blootstelt. Dat kan het klikken op verdachte koppelingen zijn, het hergebruiken van wachtwoorden, het informeel delen van inloggegevens, het niet melden van incidenten, zwakke offboarding-workflows of het verkeerd omgaan met persoonlijke gegevens zoals klant- of werknemersinformatie.

Stap 2: Prioriteer de scenario’s met het hoogste risico

Niet alle trainingsonderwerpen hoeven even zwaar te wegen. Richt u eerst op de scenario’s die het meest relevant zijn voor het dreigingsprofiel en het bedrijfsmodel van uw organisatie.

Voor veel bedrijven betekent dat phishing, de omgang met inloggegevens, toegangscontrole en incidentrapportage. Het doel in dit stadium is om de training van het personeel te richten op het gedrag en de scenario’s die de grootste kans hebben om de dagelijkse risico’s te verminderen.

Stap 3: Segmenteer training per functie

Veiligheidsbewustzijn heeft veel meer kans om gedrag te veranderen wanneer medewerkers hun eigen werksituatie in de training herkennen. Verschillende functies creëren verschillende soorten blootstelling, of het nu gaat om het verwerken van gevoelige dossiers, het goedkeuren van verzoeken met een hoog risico, het beheren van bevoorrechte toegang of het delen van informatie met externe contacten.

Een effectiever programma weerspiegelt die verschillen in plaats van iedereen hetzelfde abstracte advies te geven. Hoe dichter de training aansluit bij de beslissingen waar mensen daadwerkelijk voor staan, hoe makkelijker deze in de praktijk toe te passen is.

Stap 4: Bouw een ritme van versterking op

Een eenmalige jaarlijkse trainingssessie is niet genoeg om gedrag te veranderen. Gebruik introducties, opfriscursussen, korte herinneringen, simulatieoefeningen en regelmatige communicatie om de belangrijkste boodschappen actief te houden. Versterking kan laagdrempelig zijn, maar moet doorlopend gebeuren.

Stap 5: Ondersteun training met beleid en tools

Training wordt veel geloofwaardiger wanneer werknemers kunnen zien hoe u deze in de praktijk kunt toepassen. Zorg er dus voor dat het beleid duidelijk is, makkelijk te vinden en geschreven in een taal die werknemers daadwerkelijk kunnen gebruiken. Ondersteun hen vervolgens met functies die het makkelijker maken om veilig gedrag in de praktijk te volgen.

Als uw beleid voorschrijft dat personeel sterke, unieke wachtwoorden moet gebruiken en informeel delen moet vermijden, geef hen dan een beveiligde wachtwoordbeheerder die dit eenvoudiger maakt. Als uw beleid stelt dat verdachte e-mails onmiddellijk gemeld moeten worden, maak het pad voor meldingen dan duidelijk en drempelvrij.

Stap 6: Beoordelen, meten en verbeteren

Een programma voor beveiligingsbewustzijn moet mee-evolueren met uw bedrijf. Nieuwe tools, veranderingen in functies, incidenten en soorten aanvallen zorgen allemaal voor nieuwe knelpunten.

Beoordeel resultaten regelmatig, werk trainingen bij op basis van incidenten en bijna-ongelukken, en pas het programma aan wanneer u terugkerende zwakke plekken vindt. Het doel is niet om het programma te voltooien, maar om het na verloop van tijd effectiever te maken.

Hoe u de impact kunt meten

Een van de makkelijkste fouten bij trainingen voor beveiligingsbewustzijn is om te meten wat handig is in plaats van wat betekenisvol is. Voltooiingspercentages vertellen u misschien wie de training heeft bekeken of door de module heeft geklikt, maar ze zeggen zeer weinig over de vraag of het programma gedrag beïnvloedt op momenten die daadwerkelijk risico’s met zich meebrengen.

Een nuttigere aanpak is om te kijken naar veranderingen in hoe mensen in de loop van de tijd op echte situaties reageren. Resultaten van phishingsimulaties kunnen u helpen begrijpen of werknemers voorzichtiger en opmerkzamer worden, en of ze vaker verdachte berichten in twijfel trekken en melden.

Incidenten met betrekking tot inloggegevens kunnen tonen of riskante gewoonten, zoals hergebruik van wachtwoorden, onveilig delen of slecht accountbeheer, minder vaak voorkomen. Naleving van het beleid kan ook onthullen of werknemers de verwachtingen van het programma daadwerkelijk toepassen, in plaats van er simpelweg aan te worden blootgesteld.

Het is evenzeer belangrijk om te letten op operationele signalen. Hoe snel worden verdachte e-mails of ongebruikelijke verzoeken gemeld? Wordt MFA consequent ingeschakeld waar dat zou moeten? Wordt de toegang tijdig ingetrokken tijdens het uitdiensttreden? Tonen teams met een grotere blootstelling een beter beoordelingsvermogen in realistische scenario’s naarmate het programma zich ontwikkelt?

Dit zijn vaak de indicatoren die tonen of bewustzijn deel gaat uitmaken van de werkwijze van de organisatie, in plaats van beperkt te blijven tot een trainingsomgeving.

Uiteindelijk is de echte test niet of werknemers het programma hebben voltooid. Het is of uw organisatie als resultaat minder vermijdbare fouten, betere rapportagegewoonten en sterker dagelijks beveiligingsgedrag ziet.