2LRN4 security awareness platform
← Terug naar kennisbank

Hoe werken phishing-simulaties in trainingen?

Praktische uitleg over hoe werken phishing-simulaties voor organisaties die veilig gedrag structureel willen verbeteren.

Recent bijgewerkt

Van inzicht naar actie

Ontdek hoe je dit onderwerp omzet in een concreet awarenessprogramma met training, phishing simulaties en heldere managementrapportage.

Plan demo Bekijk de primaire oplossingspagina
Alain Rees
Oprichter & Security Awareness Specialist · 2LRN4

Een phishing-simulatie is een gecontroleerde, onschuldige nepaanval die u zelf naar uw medewerkers stuurt om te zien hoe zij erop reageren. Het is geen test van intelligentie en geen meting van wie er "slim" of "dom" is. Het is een meting van de cultuur in uw organisatie: durven medewerkers verdachte berichten te melden, en hoe snel? Hoe werkt zo'n simulatie technisch, wat meet hij wel en niet, en hoe richt u hem in zodat hij medewerkers leert in plaats van angst aanjaagt?

Wat is een phishing-simulatie en wat doet hij precies?

Een phishing-simulatie is een nagebootste phishingaanval die u zelf (of uw aanbieder) stuurt naar een vooraf bepaalde groep medewerkers. De berichten lijken op echte phishingmails of -berichten, maar leiden bij een klik niet naar een aanvaller, maar naar een veilige landingspagina van uw platform. Daar krijgt de medewerker een korte uitleg over wat hij had kunnen herkennen.

Het doel is niet om mensen erin te laten lopen. Het doel is om twee gedragingen zichtbaar te maken: hoeveel medewerkers klikken op een verdacht bericht (het klikpercentage) en hoeveel medewerkers het bericht melden bij IT (het meldpercentage). Die twee getallen samen geven een veel rijker beeld dan een klassieke test of e-learningscore: ze laten zien hoe medewerkers zich onder druk gedragen.

Een goed opgezette phishing-simulatie is een terugkerend onderdeel van uw security awareness-programma, niet een eenmalige actie. Een eenmalige meting zegt weinig; pas wanneer u over twaalf maanden ziet hoe het klikpercentage daalt en het meldpercentage stijgt, weet u of uw programma werkt.

De technische opzet: van template tot rapportage

Een phishing-simulatie wordt opgebouwd uit vier bouwstenen die u in een goed platform met enkele klikken combineert.

  • Een template: het uiterlijk en de inhoud van het bericht. Dit kan een nagebootste mail van een pakketdienst zijn, een nepfactuur, een Microsoft 365-prompt om opnieuw in te loggen, of een nepbericht van de IT-helpdesk. Een goed platform biedt tientallen templates per sector, in elke taal die uw organisatie nodig heeft.
  • Een doelgroep: aan wie u het bericht stuurt. Dit kan de hele organisatie zijn, een specifieke afdeling, een rol (alle financiële medewerkers), of een willekeurige steekproef. Een goed platform laat u doelgroepen automatisch synchroniseren vanuit uw HR-systeem of Microsoft Entra ID, zodat nieuwe medewerkers automatisch aan boord komen.
  • Een planning: wanneer het bericht wordt verzonden. Het tijdstip beïnvloedt de uitkomst aanzienlijk: een mail op een drukke maandagochtend levert andere cijfers op dan een mail op een rustige vrijdagmiddag. Een goed platform laat u een jaarcyclus van tevoren inplannen, zodat het programma loopt zonder dat iemand er actief naar omkijkt.
  • Een landingspagina en rapportage: wat er gebeurt na een klik, en wat u terugziet. Bij een klik krijgt de medewerker een korte uitleg, het platform legt vast wie heeft geklikt en wie heeft gemeld, en u krijgt een dashboard met klikpercentages en meldpercentages per afdeling.

Wat een simulatie wel en niet meet

Een phishing-simulatie meet drie dingen heel goed, en drie dingen niet. Het is belangrijk dat verschil scherp te houden, anders trekt u verkeerde conclusies.

Wat een simulatie wel meet: het klikpercentage (welk deel van de medewerkers klikt op een verdacht bericht), het meldpercentage (welk deel meldt het via de meldknop of helpdesk), en de tijd tot de eerste melding (hoe snel iemand alarm slaat). Deze drie cijfers samen vormen een betrouwbaar beeld van de meldcultuur in uw organisatie.

Wat een simulatie niet meet: de intelligentie van individuele medewerkers, de inhoudelijke kennis over phishing, of hoe goed iemand zich onder echte aanvalsdruk zal gedragen. Een medewerker die op een goed gemaakte AI-simulatie klikt, is niet "dom"; hij is een gemiddelde gebruiker geconfronteerd met een realistische aanval. Dat is precies het soort aanval waar uw programma op moet trainen.

In de praktijk is dit het belangrijkste inzicht: een organisatie met een laag klikpercentage én een laag meldpercentage is niet veilig. Dat is een organisatie waar mensen het simpelweg niet meer melden. Een organisatie met een gemiddeld klikpercentage en een hoog meldpercentage is daarentegen wél weerbaar, omdat echte aanvallen er snel zichtbaar worden.

De drie regels die het verschil maken tussen leren en straffen

Een phishing-simulatie kan in de verkeerde handen meer kapotmaken dan opbouwen. Drie regels bepalen of uw simulatie een leerinstrument wordt of een instrument dat de meldcultuur ondermijnt.

  • Meet meldgedrag, communiceer meldgedrag, beloon meldgedrag. Wanneer iemand een simulatie meldt, krijgt hij een korte bedankboodschap. Wanneer een team als geheel goed scoort op meldingen, vermeldt u dat in een nieuwsbrief. Zo wordt melden zichtbaar als positief gedrag, en stijgt het percentage maand op maand.
  • Bestraf nooit een klik. Wie klikt, krijgt een korte uitleg: "Dit was een simulatie. Dit zijn de drie tekenen die u had kunnen herkennen." Klaar. Geen mail naar de leidinggevende, geen verplichte heropleiding, geen vermelding in beoordelingsgesprekken. Een klik is een leermoment, geen overtreding.
  • Rapporteer nooit individuele cijfers naar leidinggevenden. Geaggregeerde cijfers per afdeling helpen om te bepalen waar u uw inhoud moet versterken. Individuele cijfers naar de leidinggevende: nooit. Het moment dat dit gebeurt, is het moment dat medewerkers ophouden met melden, en daarmee verliest u uw belangrijkste verdedigingslaag tegen echte aanvallen.
  • Stem het ritme af op de organisatiecontext. Een simulatie tijdens een reorganisatie of vlak voor de bonusuitkering voelt als een agressieve daad, niet als training. Mensen zijn dan al onzeker, en wat u beschadigt is niet het klikpercentage maar het vertrouwen in het programma. Een verkeerd getimede simulatie kan een awareness-programma jarenlang terugzetten.

Moderne simulatievormen en de feedback-lus

Een phishing-simulatie die in 2026 nog uitsluitend klassieke e-mails verstuurt met kromme zinnen, traint medewerkers op een aanvalspatroon dat nauwelijks meer bestaat. Realistische simulaties nemen de moderne aanvalstechnieken uit de praktijk mee.

  • Klassieke phishingmail, maar dan in foutloos Nederlands en met perfecte branding, gegenereerd zoals een AI-aanvaller dat in seconden doet. Dit is het belangrijkste basistype in 2026.
  • Smishing (sms-phishing) richting de zakelijke of opgegeven privételefoon, met een korte tekst en een verkorte link. Dit traint medewerkers in herkenning op het apparaat waar zij het minst kritisch zijn.
  • Quishing (QR-phishing) via een afbeelding in een mail of op een poster. De QR-code leidt naar een veilige landingspagina van het platform. Dit oefent het patroon dat e-mailfilters geen QR-codes lezen.
  • MFA-fatigue-scenario: een korte stortvloed van nagebootste pushmeldingen of een loginprompt op een vreemd tijdstip. Dit traint medewerkers in herkenning van adversary-in-the-middle-patronen en push-bombing.
  • De feedback-lus: wie klikt, krijgt onmiddellijk een korte microleer-module van een paar minuten met de drie tekenen die hij had kunnen herkennen. Geen administratieve afhandeling, geen melding naar de leidinggevende, gewoon een directe leermomentje. Deze koppeling tussen klik en leermoment is wat een simulatie verandert van controle in training.

Hoe u dit verankert in uw awareness-programma

Een phishing-simulatie is geen losse activiteit, maar onderdeel van een bredere awareness-cyclus. In de praktijk werkt een ritme van vier tot zes simulaties per jaar het beste, afgewisseld met korte e-learning-modules en periodieke communicatie via intranet, posters of een teamoverleg.

Begin met een nulmeting voor u inhoudelijk programma begint. Die geeft u een eerlijk startpunt: meestal zit een organisatie zonder gericht programma rond de 25 tot 35 procent klikpercentage, met een meldpercentage van 10 tot 15 procent. Met een volwassen programma daalt het klikpercentage in twaalf tot achttien maanden naar 5 tot 10 procent en stijgt het meldpercentage naar 60 tot 75 procent. Vergelijking met uw eigen nulmeting is belangrijker dan vergelijking met externe benchmarks: de eigen beweging zegt of u werkelijk iets verandert.

Sluit de simulatie aan op de echte werkelijkheid van uw organisatie. Stuur niet steeds dezelfde algemene template, maar gebruik scenario's die passen bij wat uw medewerkers in hun inbox tegenkomen: leverancierscommunicatie voor de financiële afdeling, klantmails voor servicemedewerkers, IT-meldingen voor de hele organisatie. Hoe dichter de simulatie tegen de werkelijkheid aanzit, hoe meer een medewerker leert van een fout.

En tot slot: laat de meldknop zichtbaar in de mailclient staan, gekoppeld aan een eenvoudig triage-proces. Een hoog meldpercentage is alleen bruikbaar als er ook iets met de meldingen gebeurt: een snelle terugkoppeling naar de melder, een dagelijkse triage door het securityteam, en bij een echte aanval een snelle waarschuwing naar de rest van de organisatie. Pas dan wordt de simulatie geen op zichzelf staand getal, maar een onderdeel van een werkend verdedigingsproces.

Van uitleg naar aanpak

Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar programma met training, phishing simulatie en managementrapportage.

Bekijk de phishingpagina

Gerelateerde artikelen

Bronnen

FAQ

Wat is een phishing-simulatie precies?

Een phishing-simulatie is een gecontroleerd nagebootste phishingaanval die u zelf naar uw eigen medewerkers stuurt om te zien hoeveel mensen klikken en hoeveel mensen het melden. Het is geen echte aanval: een klik leidt naar een veilige landingspagina van het platform met een korte uitleg.

Moet ik medewerkers vooraf informeren dat er simulaties komen?

Ja, in algemene zin. Kondig bij de start van het awareness-programma aan dat phishing-simulaties onderdeel van het programma zijn en wat het doel is. U hoeft geen individuele simulatie aan te kondigen, dat zou het meten onmogelijk maken. Het algemene principe moet wel bekend en in beleid vastgelegd zijn.

Wat is een goed klikpercentage in een phishing-simulatie?

Zonder gericht programma zit een gemiddelde organisatie op 25 tot 35 procent klikpercentage. Met een volwassen programma daalt dat naar 5 tot 10 procent in twaalf tot achttien maanden. Belangrijker dan het absolute cijfer is de beweging ten opzichte van uw eigen nulmeting.

Mag ik individuele klikresultaten met leidinggevenden delen?

Nee, doe dit niet. Zodra medewerkers weten dat hun individuele klikgedrag naar de leidinggevende gaat, dalen meldingen sterk. Daarmee verliest u uw vroege detectie van echte aanvallen. Geaggregeerde cijfers per afdeling zijn wel bruikbaar om te bepalen waar inhoud versterking nodig heeft.

Hoe vaak moet ik phishing-simulaties uitvoeren?

Vier tot zes simulaties per jaar werkt in de meeste organisaties goed. Vaker leidt tot moeheid, minder vaak geeft te weinig oefenmomenten. Belangrijker dan het aantal is de afwisseling in vorm (e-mail, smishing, quishing) en in moeilijkheidsgraad.

Wat is het verschil tussen een phishing-simulatie en een echte phishingaanval?

Technisch lijken ze op elkaar, maar bij een simulatie leidt de link naar een veilige landingspagina van uw platform in plaats van naar een aanvaller. Geen wachtwoorden of gegevens worden buitgemaakt en er wordt geen malware geplaatst. Het enige dat wordt vastgelegd is wie geklikt en wie gemeld heeft.

Hoe weet ik of mijn phishing-simulaties effectief zijn?

Kijk naar drie cijfers over een periode van zes tot twaalf maanden: het klikpercentage moet dalen, het meldpercentage moet stijgen, en de tijd tot de eerste melding moet korter worden. Een individuele simulatie zegt weinig; pas de trend over meerdere simulaties laat zien of het programma werkt.

Externe bron: CISA - Phishing guidance

Lees ook
E-mailbeveiliging en social engineering: wat medewerkers moeten weten → Wat is phishing? →
Volgende stap

Gebruik dit artikel als basis en bekijk daarna hoe 2LRN4 dit onderwerp praktisch vertaalt naar doelgroepsegmentatie, training en rapportage.

Plan demo Download gids Meer artikelen