Doorbreek het stigma: medewerkers vinden phishing-simulaties wél nuttig

Waarom sommige mensen argwanend zijn

Phishing-simulaties worden al jaren gebruikt. Organisaties sturen nagemaakte phishingmails naar hun medewerkers om hun waakzaamheid te testen. Vaak zijn ze onderdeel van bredere bewustwordingsprogramma’s voor cybersecurity. Maar sommige critici zien ze als oneerlijke testen, waarbij fouten vooral leiden tot schaamte of straf.

Dat beeld ontstaat deels door onhandige uitvoering. Denk aan tests met overdreven lokkertjes, zoals een e-mail over een ‘verdwaalde puppy in het gebouw’ of ‘je hebt opslag gekregen’, die nauwelijks iets te maken hebben met de dreigingen waarmee organisaties echt te maken hebben. Zulke berichten voelen als valstrikken, niet als leerzame situaties. Ook de opvolging laat vaak te wensen over. Als medewerkers alleen te horen krijgen dat ze gefaald hebben, zonder uitleg of hulp, is het logisch dat ze de toegevoegde waarde van simulaties in twijfel trekken.

Wat zeggen medewerkers?

De kernvraag blijft: dragen phishing-simulaties echt bij aan het bewustzijn van medewerkers? Het korte antwoord: ja. En dat zeggen de medewerkers zelf. De onderzoeksresultaten zijn eenduidig. Gemiddeld 90% van de ondervraagden vindt phishing-simulaties nuttig en relevant. In Nederland zijn de cijfers nog hoger. 93% noemt ze relevant, 94% effectief.

Waarom bestaat er dan nog steeds weerstand? Een belangrijke oorzaak ligt in het gebrek aan goede opvolging. We vroegen respondenten of ze vervolgtraining kregen na een mislukte simulatie. Je zou verwachten dat dat standaard is, maar de cijfers vertellen een ander verhaal.

Gemiddeld kreeg slechts 70,5% van de medewerkers vervolgtraining. In Nederland was dat zelfs maar 59%. 23% van de respondenten gaf aan géén training te hebben ontvangen, en nog eens 18% wist het niet zeker. Dat betekent dat 41% van de medewerkers onvoldoende of geen begeleiding krijgt na een fout. Zonder directe, constructieve feedback wordt er weinig geleerd. En daarmee groeit de indruk dat het om 'afrekenen' gaat in plaats van ontwikkelen.

Zó maak je phishing-simulaties wél waardevol

De meeste medewerkers zien de waarde van phishing-simulaties. Maar organisaties moeten zorgen dat deze tests eerlijk, relevant en leerzaam zijn. Vijf praktische tips:

1. Maak simulaties realistisch en functiegericht: Laat de test aansluiten op het werk van de medewerker. Een finance-medewerker ontvangt andere phishingmails dan iemand in HR. Vermijd overdreven en onrealistische scenario’s.
2. Gebruik simulaties als leermomenten: Geef direct feedback. Laat zien wat fout ging, waarom het phishing was, en hoe je dit voortaan herkent. Bestraf niet, maar leg uit.
3. Zorg voor directe en structurele opvolging: Bied na een mislukte test korte, relevante training aan. Combineer dat met regelmatige herhaling, zodat medewerkers alert blijven.
4. Wees transparant en eerlijk: Zorg dat mensen weten dat phishingsimulaties deel uitmaken van het beleid. Communiceer helder over het doel en stem de moeilijkheidsgraad af op het kennisniveau van teams.
5. Beloon alertheid: Erken medewerkers die phishing (gesimuleerd of echt) melden. Een simpele shout-out, een leaderboard of een kleine beloning heeft al een groot effect.

Veiligheid begint bij vertrouwen

Medewerkers vormen de eerste verdedigingslinie tegen cyberdreigingen. Hoe beter ze getraind zijn, hoe kleiner de kans op incidenten. Phishing-simulaties kunnen daar een krachtige rol in spelen, maar dan moeten ze goed worden uitgevoerd. Als simulaties voelen als een straf of een list, verlies je draagvlak. Maar als je ze inzet als een leerinstrument - ondersteund met duidelijke uitleg en eerlijke begeleiding - vergroot je niet alleen het bewustzijn, maar versterk je de hele beveiligingscultuur van je organisatie. De conclusie is simpel: medewerkers zien phishing-simulaties niet als straf, maar als nuttige training - mits ze goed worden uitgevoerd.

Door: Martin Krämer, security awareness advocate bij KnowBe4