Phishing-simulaties worden in veel organisaties gezien als hét bewijs dat een awarenessprogramma werkt. Er wordt gekeken naar het percentage medewerkers dat klikt, naar wie “faalt”, en naar welke afdelingen het slecht doen. Het klinkt allemaal logisch: phishing is een groot risico, dus door het te oefenen zou je de organisatie veiliger maken. Maar in de praktijk loopt het vaak heel anders.
“Een klik is niet het echte risico. Het echte risico is een klik waar niemand iets over durft te zeggen.”
In plaats van veiligheid te vergroten, veroorzaken phishing-simulaties regelmatig precies het tegenovergestelde: angst, frustratie en wantrouwen. Niet alleen bij medewerkers, maar ook tussen teams, leidinggevenden en security-afdelingen. En dat is niet omdat phishing-simulaties per definitie slecht zijn, maar omdat ze te vaak worden ingezet zonder de psychologische randvoorwaarden die nodig zijn om ervan te leren.
Medewerkers ervaren het meestal als een truc
Voor securityprofessionals voelt een simulatie als een testmoment, een kans om gedrag te observeren en mensen bewuster te maken. Maar medewerkers ervaren het vaak als een val: een truc bedoeld om hen te betrappen. En wie zich betrapt voelt, leert niet sneller — die sluit zich af.
Dat zie je overal terug. Mensen worden voorzichtiger, defensiever, soms zelfs geïrriteerd. Ze durven minder snel vragen te stellen, uit angst om “dom” gevonden te worden. Ze melden verdachte mails minder actief, omdat ze denken dat het opnieuw een test is.
De ironie is pijnlijk: een simulatie die bedoeld was om melden te stimuleren, ondermijnt juist dat melden. Niet omdat medewerkers niet willen leren, maar omdat de manier waarop simulaties worden ingezet het verkeerde gedrag uitlokt.
Waarom verkeerde prikkels leiden tot verkeerd gedrag
Awareness draait niet om perfect gedrag, maar om meldbereidheid en openheid. Het doel is niet dat medewerkers nooit meer op een verkeerde link klikken, maar dat ze het melden zodra het gebeurt, zodat schade kan worden beperkt.
Toch worden simulaties vaak gebruikt als cijfermoment. Er ontstaan lijstjes van “klikkers”. Afdelingen worden vergeleken. Soms krijgen medewerkers zelfs een waarschuwing, niet vanwege echte schade, maar vanwege een fictieve fout. Het gevolg is voorspelbaar: medewerkers vermijden het onderwerp. Ze klikken misschien minder, maar ze melden ook minder.
Hoe phishing wél werkt: vertrouwen boven toetsing
De oplossing zit niet in het schrappen van phishing-simulaties, maar in het veranderen van hun bedoeling. Een goede simulatie is geen toets, maar een gespreksstarter. Het gaat niet om wie klikt, maar om wie weet wat te doen als het misgaat.
Wanneer simulaties worden aangekondigd als leerinstrument, wanneer fouten worden gezien als input voor verbetering, en wanneer melden belangrijker is dan meten, ontstaat vertrouwen. En juist dat vertrouwen is de basis voor echte veiligheid.
Phishing is een serieus risico. Maar phishing-simulaties werken alleen binnen een cultuur van openheid en respect. Niet als valstrik, maar als oefening. Niet als oordeel, maar als leermoment.
Dan zie je dat organisaties niet alleen minder klikken, maar vooral veel meer melden. En dát is uiteindelijk wat het verschil maakt.