"Het echte probleem is zelden een gebrek aan digitale vaardigheden. Het probleem is hoe we het uitleggen." In veel organisaties hangt een hardnekkig beeld: medewerkers zijn "digitaal niet zo handig". Wie goed kijkt en vooral: wie goed uitlegt, ziet iets heel anders. Medewerkers blijken meestal veel vaardiger en nieuwsgieriger dan gedacht, niet omdat ze expert zijn in techniek, maar omdat ze elke dag keuzes maken waarin digitale veiligheid een rol speelt.
Het verschil tussen afhaken en aansluiten
In awarenessprogramma's zie ik vaak dat organisaties proberen risico's te omschrijven in technische termen, beleidszinnen of abstracte scenario's. De boodschap wordt daardoor onbedoeld ingewikkeld, formeel en afstandelijk. Medewerkers herkennen zichzelf er niet in. Ze zien niet wat het met hun dagelijkse werk te maken heeft. En daardoor haken ze af. Niet omdat ze het niet kunnen, maar omdat het niet wordt uitgelegd op een manier die aansluit bij hun wereld.
Op het moment dat je risico's concreet maakt, verandert alles. Zodra je een voorbeeld geeft uit een herkenbare situatie, zoals een bericht van een "collega" die op vrijdagmiddag iets dringend vraagt, of een pakketje dat zogenaamd niet geleverd kon worden, zie je dat medewerkers meteen meedenken. Ze vertellen over berichten die ze zelf hebben ontvangen. De interesse is er dus wel. Het is de vertaalslag die vaak ontbreekt.
Daarom werkt storytelling
Verhalen werken niet omdat ze mooier zijn dan beleid, maar omdat ze mensen in staat stellen om iets technisch te koppelen aan iets menselijks. Verhalen maken de stap kleiner tussen weten en doen. En juist in security awareness gaat het altijd om gedrag, niet om kennis alleen.
Medewerkers herkennen phishing in WhatsApp-groepen, beveiligen foto's op hun telefoon, gebruiken wachtwoordmanagers voor privéaccounts en weten verrassend goed wanneer iets "niet klopt". Die intuïtie is precies wat awareness moet aanboren, niet vervangen door een nieuwe abstracte taal.
Wat er gebeurt als je medewerkers wél serieus neemt
Wanneer organisaties stoppen met het onderschatten van medewerkers, ontstaat er ruimte voor een gelijkwaardig gesprek. Dan durven mensen sneller een incident te melden omdat ze niet bang zijn om "dom" gevonden te worden. Dan wordt security niet langer gepresenteerd als iets ingewikkelds dat alleen experts begrijpen, maar als iets dat iedereen al deels beheerst in het dagelijks leven, thuis en op het werk.
Het mooie is dat medewerkers in die context niet alleen sneller leren, maar ook beter onthouden. Ze voelen zich serieus genomen. Ze herkennen dat ze zelf onderdeel zijn van de oplossing, in plaats van potentiële risico's. En precies dan wordt awareness effectief.
Het zijn nooit de medewerkers die de oorzaak zijn van het probleem. Het is de manier waarop we hen benaderen. Awareness begint niet bij techniek, maar bij vertrouwen.
Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar programma met training, phishing simulatie en managementrapportage.
Bekijk de trainingspaginaGerelateerde artikelen
- Security awareness blijft 'iets van ICT'
- Waarom security awareness in het privéleven sneller landt
- Gedragsverandering in security awareness
FAQ
Maakt opleidingsniveau echt geen verschil?
Verbazend weinig. Hoogopgeleiden klikken in phishing-tests soms zelfs vaker dan lager-opgeleiden, omdat ze meer e-mail krijgen en sneller doorscannen. Het echte voorspeller is uitleg-kwaliteit, niet HBO/WO.
Wat met oudere medewerkers?
Hetzelfde patroon. Privé-context (bankzaken via app, zorg-portalen) maakt 60+ medewerkers vaak alerter dan jongeren die "alles wel kunnen".
Hoe maak je dit concreet in een module?
Begin met een privé-voorbeeld dat iedereen kent (WhatsApp-bericht van "een familielid"), trek dan de parallel naar werk. Niet andersom.
Wat als ICT echt zegt dat ze het niet begrijpen?
Vraag door: "wat is hier precies onbegrepen?" In 8 van de 10 gevallen blijkt het de jargon, niet het concept.
Externe bron: NCSC - Menselijke factor in cyberveiligheid