"Een klik is niet het echte risico. Het echte risico is een klik waar niemand iets over durft te zeggen." Phishing-simulaties worden in veel organisaties gezien als hét bewijs dat een awarenessprogramma werkt. Maar in de praktijk loopt het vaak heel anders. In plaats van veiligheid te vergroten, veroorzaken phishing-simulaties regelmatig precies het tegenovergestelde: angst, frustratie en wantrouwen.
Medewerkers ervaren het meestal als een truc
Het begint bij de manier waarop medewerkers een simulatie ervaren. Voor securityprofessionals voelt een simulatie als een testmoment, een kans om gedrag te observeren en mensen bewuster te maken. Maar medewerkers ervaren het meestal als een val: een truc, bedoeld om hen te betrappen. En wie zich betrapt voelt, leert niet sneller — die sluit zich af.
Je ziet het in de praktijk overal terug: mensen worden voorzichtig, defensief, soms zelfs geïrriteerd. Ze durven minder snel vragen te stellen, omdat ze bang zijn "dom" gevonden te worden. Ze melden verdachte mails minder actief, omdat ze bang zijn dat het weer een test is.
De ironie is dat een simulatie die bedoeld was om melden te stimuleren, precies dat melden ondermijnt.
Waarom verkeerde prikkels leiden tot verkeerd gedrag
Awareness draait niet om perfect gedrag, maar om meldbereidheid en openheid. Het doel is niet dat medewerkers nooit meer op een verkeerde link klikken. Het doel is dat ze het melden zodra het gebeurt, zodat schade kan worden beperkt.
Maar veel simulaties zijn precies dat: een cijfermoment. Er worden lijstjes gemaakt van "klikkers". Afdelingen worden met elkaar vergeleken. Het gevolg is voorspelbaar: medewerkers gaan het onderwerp vermijden. Ze klikken minder, maar ze melden ook minder. De organisatie lijkt veiliger, maar in werkelijkheid is de risicobereidheid groter geworden.
Hoe phishing wél werkt: vertrouwen boven toetsing
De oplossing zit niet in het schrappen van phishing-simulaties, maar in het veranderen van de bedoeling ervan. Een goede simulatie is geen toets, maar een gespreksstarter. Het doel is niet om te meten wie klikt, maar om zichtbaar te maken of mensen weten wat ze moeten doen als er iets misgaat.
In plaats van te focussen op het klikpercentage, verschuift de aandacht naar meldbereidheid. Niet: "Wie maakte een fout?", maar: "Hoe snel werd het gemeld, en wat kunnen we ervan leren?"
Wanneer een simulatie wordt aangekondigd als onderdeel van een leerproces, wanneer medewerkers vooraf begrijpen waarom het gebeurt, en wanneer fouten gezien worden als input voor verbetering, ontstaat er iets heel anders: vertrouwen. Wanneer we die verschuiving maken, merk je dat de organisatie niet alleen minder klikt, maar vooral veel meer meldt. En dát is de ontwikkeling die uiteindelijk het verschil maakt.
Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar programma met training, phishing simulatie en managementrapportage.
Bekijk de phishingpaginaGerelateerde artikelen
- Wanneer gamification averechts werkt
- Wanneer phishing-simulaties averechts werken
- Incidenten melden zonder schaamte
FAQ
Moet je phishing simulatie aankondigen?
Ja, op programma-niveau (medewerkers weten dat er regelmatig simulaties zijn) — maar niet per timing. Dat houdt het signaal echt zonder de val-dynamiek.
Wat is de juiste KPI?
Report rate — het percentage medewerkers dat een verdacht bericht meldt. Hoger is altijd beter. Click rate alleen vertelt niets over weerbaarheid.
Hoe ga je om met "klikkers"?
Zelfde reactie voor iedereen die klikt: een korte uitlegmodule (1-2 min), niet een persoonlijk gesprek met de leidinggevende. Geen naamslijstjes.
Kun je dit aan toezichthouders uitleggen?
Ja. Cbw / NIS2-toezichthouders kijken naar trend, niet naar absolute cijfers. Dalende klikrate én stijgende meldrate over 12 maanden = sterk bewijs van werkende awareness.
Externe bron: CISA - Phishing guidance