2LRN4 security awareness platform
← Terug naar kennisbank

Waarom security awareness vaak mislukt

Praktische uitleg over waarom security awareness vaak mislukt voor organisaties die veilig gedrag structureel willen verbeteren.

Actueel

Van inzicht naar actie

Ontdek hoe je dit onderwerp omzet in een concreet awarenessprogramma met training, phishing simulaties en heldere managementrapportage.

Plan demo Bekijk de primaire oplossingspagina
Alain Rees
Oprichter & Security Awareness Specialist · 2LRN4

"Wanneer minder dan 1% van de medewerkers meedoet, ligt dat zelden aan de inhoud van de training." Recent hoorde ik tijdens een securitybijeenkomst dat onderwijsinstellingen hun contract met hun security awareness leverancier hebben beëindigd omdat slechts 50 van de duizenden medewerkers meededen. De conclusie: "De content sluit niet aan; laten we het zelf doen." Het is een begrijpelijke reactie, maar ook een misleidende. In de praktijk gaat het bijna altijd over communicatie, verandermanagement, cultuur en betrokkenheid — niet over de inhoud van een module.

Wanneer niemand meedoet, ligt dat zelden aan de content

Wie ooit een awarenessprogramma heeft uitgerold, weet dat content zelden de oorzaak is van lage betrokkenheid. Natuurlijk helpt het als materiaal herkenbaar, actueel en prettig te volgen is. Maar zelfs de beste video's en e-learning missen hun doel als medewerkers het gevoel hebben dat het "iets van ICT" is, of iets dat niet echt belangrijk is.

In zulke situaties ligt de uitdaging niet bij de training, maar bij de manier waarop de organisatie erover communiceert en het belang ervan zichtbaar maakt. Een organisatie die een leverancier weglegt vanwege "slechte content" lost het echte probleem niet op — en zet het programma volgend kwartaal opnieuw vast, ongeacht wie de content levert.

Betekenis, leiderschap en ritme — de échte motor

Gedrag verandert pas wanneer mensen begrijpen waarom iets ertoe doet. Dat begint dus niet bij een cursus, maar bij betekenis. Wanneer medewerkers niet ervaren wat digitale veiligheid met hún werk te maken heeft, blijft awareness iets abstracts. Iets waar je misschien ooit nog eens tijd voor maakt als je agenda leeg is. En die raakt natuurlijk nooit leeg.

Daar komt iets anders bij: medewerkers voelen feilloos aan of een onderwerp gedragen wordt door het management. Als een directie niet expliciet uitspreekt waarom awareness belangrijk is, of wanneer leidinggevenden deelname niet aanmoedigen, ontstaat er vrijblijvendheid. En vrijblijvendheid is de grootste vijand van verandering.

Daarnaast speelt ritme een cruciale rol. Awareness werkt zoals elke routine: je bouwt het op door herhaling. Een bericht op intranet, zes weken stilte, en dan ineens een verplichte training: dat voelt niet relevant. Maar een herkenbaar ritme — bijvoorbeeld maandelijks een kort thema — maakt het onderwerp normaal, behapbaar en voorspelbaar.

Awareness is verandermanagement, niet content-management

Wat vaak vergeten wordt, is dat awareness in essentie verandermanagement is. Het vraagt tijd, uitleg, herkenning en geduld. Medewerkers moeten het risico kunnen plaatsen in hun eigen context. Soms werkt het zelfs beter om eerst voorbeelden uit de privésfeer te gebruiken, omdat dat de drempel verlaagt.

Zelf content maken kan zeker waardevol zijn, vooral als het organisatie-specifiek of sectorspecifiek is. Maar het lost het kernprobleem niet op wanneer de onderliggende randvoorwaarden ontbreken. Content is geen motor; het is brandstof. Zonder motor beweegt er niets, hoe goed de brandstof ook is.

Cultuur bouw je samen

In organisaties waar awareness wél werkt, zie je dat het gesprek over digitale veiligheid niet beperkt blijft tot de ICT-afdeling. Leidinggevenden verwijzen ernaar in overleggen. HR koppelt het aan professioneel handelen. Communicatie zorgt voor zichtbaarheid. Ambassadeurs in de organisatie delen voorbeelden en ervaringen.

Wanneer dat fundament staat, volgt de deelname vanzelf. Dan maakt het zelfs bijna niet meer uit welke aanbieder je kiest — de organisatie zorgt er zelf voor dat het programma landt. Als we dáár beginnen, dan doet straks niet één procent mee, maar tachtig.

Van uitleg naar aanpak

Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar programma met training, phishing simulatie en managementrapportage.

Bekijk de programmapagina

Gerelateerde artikelen

FAQ

Wat is de échte oorzaak van lage deelname?

In 9 van de 10 gevallen: gebrek aan zichtbaar leiderschap en ontbrekende koppeling tussen het thema en het werk van de medewerker. Content komt op de derde plaats.

Helpt het om zelf content te maken?

Alleen als de organisatorische randvoorwaarden al staan. Anders verschuift het probleem zonder op te lossen — en heb je zelf ook nog content-onderhoud erbij.

Hoe meet je of het probleem bij content óf bij organisatie ligt?

Vergelijk deelname tussen teams binnen dezelfde organisatie. Als sommige teams 80% halen en andere 5%, ligt het bij management/cultuur, niet bij content.

Wat is de eerste stap om dit om te draaien?

Een directie die zichtbaar deelneemt — letterlijk een module afmaakt en daarover vertelt. Zonder leiderschap zinken alle andere interventies.

Externe bron: NIST - Security awareness and training

Lees ook
Waarom awarenessprogramma’s mislukken → Security awareness roadmap voor 12 maanden →
Volgende stap

Gebruik dit artikel als basis en bekijk daarna hoe 2LRN4 dit onderwerp praktisch vertaalt naar doelgroepsegmentatie, training en rapportage.

Plan demo Download gids Meer artikelen