"De afstand ontstaat niet omdat medewerkers niet willen, maar omdat de nulmeting geen betekenis voor hen heeft." Het woord nulmeting klinkt alsof je een zorgvuldig startpunt markeert. Een serieuze eerste stap richting een doordacht awarenessprogramma. Maar zo wordt het niet ervaren door medewerkers, voor hen is het een lange vragenlijst die voelt als huiswerk, vaak los van hun dagelijkse realiteit.
Waarom nulmetingen zelden meten wat je écht wilt weten
Veel organisaties overschatten wat een nulmeting kan opleveren. De gedachte is helder: medewerkers vullen eerlijk in wat ze weten, en daarmee ontstaat een beeld van het kennisniveau in de organisatie. Maar awareness werkt alleen wanneer medewerkers de relevantie voelen en het onderwerp kunnen plaatsen in hun eigen context. Een generieke vragenlijst doet dat niet.
Het gevolg is dat zo'n nulmeting zelden oplevert wat je ervan hoopt. Medewerkers vullen de vragenlijst niet in vanuit nieuwsgierigheid, maar vanuit de gedachte dat ze het "goed" moeten doen. Ze geven antwoorden waarvan ze denken dat die gewenst zijn, of ze gokken wanneer een vraag te ver van hun dagelijkse werk af staat.
Het pijnlijke vervolg
En dan gebeurt er iets wat het vertrouwen écht ondermijnt: de nulmeting blijkt helemaal niet te leiden tot maatwerk. In plaats daarvan verschijnt er een standaardtraining, voor iedereen precies hetzelfde, los van wat ze hebben ingevuld. Het programma dat "op niveau" zou zijn, voelt ineens als een generieke oplossing die al lang klaarlag.
Het wordt nog pijnlijker wanneer de daaropvolgende e-learning binnenkomt: een module over sterke wachtwoorden, met dezelfde voorbeelden en dezelfde adviezen die medewerkers al jaren kennen. Voor velen voelt dit als een bevestiging van hun vermoeden dat de nulmeting niets heeft opgeleverd.
De echte start: niet meten, maar luisteren
De inzichten die je wel nodig hebt, komen zelden uit een vragenlijst. Die ontstaan juist in de gesprekken die je met medewerkers voert, in hoe je ziet dat ze in hun dagelijkse werk met risico's omgaan. En in de momenten waarop ze vertellen hoe vergelijkbare situaties zich ook in hun privéleven voordoen.
Awareness begint niet bij een formulier, maar bij betekenis. Bij het laten zien waarom iets ertoe doet, in taal die medewerkers begrijpen en met voorbeelden die ze herkennen. Op het moment dat die herkenning ontstaat, verandert de dynamiek. Medewerkers voelen zich aangesproken, niet beoordeeld.
Een nulmeting kan een onderdeel zijn van zo'n aanpak, maar alleen wanneer hij compact is, begrijpelijk, relevant en gekoppeld aan echte vervolgacties. Niet als startpunt dat het programma legitimeert, maar als onderdeel van een ritme waarin je luistert, test, vertelt en terugkoppelt.
Gedragsverandering meet je niet in één moment. Je meet het in beweging, en die beweging begint bij een andere vraag dan "Wat weet je nu?" Die begint bij: "Wat maakt dit relevant voor jou?"
Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar programma met training, phishing simulatie en managementrapportage.
Bekijk de programmapaginaGerelateerde artikelen
- Gedragsverandering in security awareness
- Medewerkers betrekken bij security awareness
- Waarom security awareness vaak mislukt, en niet aan de content ligt
FAQ
Moet je dan helemaal geen nulmeting doen?
Een korte, contextgevoelige meting (5-10 vragen, 2 minuten) kan nuttig zijn als hij aantoonbaar tot maatwerk leidt. Een 30-vragen-survey vrijwel nooit.
Hoe weet je wat medewerkers nodig hebben zonder vragenlijst?
Praat met 5-10 representatieve medewerkers per doelgroep, kwalitatief. Dat geeft betere inzichten dan 1000 ingevulde formulieren.
Wat doe je met de "nulmeting voor de auditor"?
Toon dat je risico-inventarisatie hebt gedaan op basis van interviews, incidentdata en sectorbenchmarks, niet enkel op basis van een medewerker-vragenlijst.
Werkt een phishing simulatie als nulmeting?
Beter dan een vragenlijst: het meet gedrag, niet zelf-rapportage. Maar pas op: zie het niet als toets, zie het als startgesprek.
Externe bron: NIST - Security awareness and training