"Bewustwording mislukt niet door gebrek aan kennis, maar door gebrek aan leiderschap." In veel organisaties wordt hard gewerkt aan privacy- en securitybewustzijn. Er worden trainingen gelanceerd, campagnes opgezet, video's gedeeld. Maar ondanks al die inspanningen blijft deelname laag en verandert er weinig in gedrag. De oorzaak? Niet de inhoud, niet de tools, niet de medewerkers — maar leidinggevenden die niets zeggen.
Waarom zwijgen het signaal van vrijblijvendheid is
Wanneer managers zwijgen, ontstaat er een vacuüm waarin medewerkers zelf proberen te bepalen hoe belangrijk iets is. En dat doen ze niet op basis van beleid, maar op basis van sociale signalen. Als hun leidinggevende niets zegt over awareness, als het niet wordt benoemd in overleggen, als er geen tijd voor wordt vrijgemaakt, dan ontstaat er vanzelf één conclusie: het zal wel niet belangrijk zijn.
Je ziet het overal gebeuren: mensen openen de e-learning "later wel", schuiven een campagnebericht terzijde, of klikken weg zodra ze het woord security zien. Niet omdat ze niet willen bijdragen, maar omdat niemand in hun directe omgeving laat zien dat het ertoe doet.
Leiderschap zet de toon — letterlijk
Awareness is geen communicatieproject maar een leiderschapsopdracht. Gedrag verandert pas wanneer mensen voelen dat het onderwerp gedragen wordt op elk niveau van de organisatie. Die signalen komen niet uit een filmpje of training, maar uit de monden van mensen die zij vertrouwen: hun managers, teamleiders en bestuurders.
Wanneer een directeur in een toespraak vertelt waarom digitale veiligheid belangrijk is, wanneer een teamleider benoemt dat security onderdeel is van professioneel werken, wanneer een manager zelf een incident durft te delen — dan gebeurt er iets wezenlijks. Het onderwerp verschuift van "een ICT-ding" naar "ons werk".
Een manager die zelf een training afrondt, heeft al meer impact dan tien intranetberichten. Een bestuurder die een persoonlijk voorbeeld deelt, bereikt meer dan een hele toolkit.
Van verplichting naar overtuiging
Awareness kan alleen slagen wanneer medewerkers voelen dat ze worden meegenomen, niet aangesproken. Wanneer hun leidinggevenden niet vanaf de zijlijn toekijken, maar meedoen. Wanneer tijd, ruimte en aandacht worden georganiseerd in plaats van "erbij gepropt".
Echte betrokkenheid van managers verandert de dynamiek volledig. Medewerkers merken dat het onderwerp gewaardeerd wordt, dat ze serieus worden genomen en dat er ruimte is om te leren. Vragen worden vaker gesteld, incidenten worden sneller gemeld, en trainingen voelen niet meer als een verplicht nummer.
Met managementbetrokkenheid wordt awareness geen losse campagne, maar een cultuur. Een gedeelde verantwoordelijkheid. Awareness werkt alleen wanneer managers het gesprek openen en medewerkers de ruimte geven om mee te bewegen.
Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar programma met training, phishing simulatie en managementrapportage.
Bekijk de programmapaginaGerelateerde artikelen
- Waarom security awareness mislukt — niet aan de content
- Cbw artikel 24: bestuurstrainingsplicht uitgelegd
- Waarom een bestuurdersvideo na phishing meer effect geeft
FAQ
Hoe overtuig je een directie die het delegeert aan ICT?
Met Cbw art. 24: bestuurders zijn nu wettelijk persoonlijk aansprakelijk. Delegeren is geen optie meer. Dat opent de deur voor een gesprek over actieve betrokkenheid.
Wat is de minimum-inzet vanuit het management?
15 minuten per kwartaal: een korte interne video, een opmerking in een MT-overleg, of een persoonlijk e-mailbericht over een incident. Klein én zichtbaar.
Wat als de CEO geen tijd heeft?
Een teamleider met persoonlijk voorbeeld werkt vaak beter dan een afstandelijke CEO. Medewerkers volgen hun directe leidinggevende sterker dan de top.
Hoe meet je managementbetrokkenheid?
Drie signalen: noemt de RvB cybersecurity in jaarverslag/board updates? Volgt het MT zelf training? Worden incidenten in MT-vergaderingen besproken? Drie ja's = sterk fundament.
Externe bron: NCSC - Menselijke factor in cyberveiligheid