In veel organisaties hangt een hardnekkig beeld: medewerkers zijn “digitaal niet zo handig”, begrijpen privacy- en securityrisico’s niet en raken snel overweldigd door nieuwe tools of maatregelen. Het is een beeld dat vaak onuitgesproken blijft, maar wel sterk van invloed is op hoe securitycommunicatie wordt vormgegeven. De boodschap wordt versimpeld, verzacht of defensief gebracht, alsof medewerkers vooral ontzien moeten worden.
“Het echte probleem is zelden een gebrek aan digitale vaardigheden. Het probleem is hoe we het uitleggen.”
Maar wie goed kijkt — en vooral: wie goed uitlegt — ziet iets heel anders. Medewerkers blijken vaak veel vaardiger en nieuwsgieriger dan gedacht. Niet omdat zij technische experts zijn, maar omdat zij dagelijks keuzes maken waarin digitale veiligheid een rol speelt. Ze herkennen phishing in WhatsApp-groepen, beveiligen foto’s op hun telefoon, gebruiken wachtwoordmanagers voor privéaccounts en voelen verrassend goed aan wanneer iets “niet klopt”.
Het verschil tussen afhaken en aansluiten
In awarenessprogramma’s worden risico’s vaak beschreven in technische termen, beleidszinnen of abstracte scenario’s. Daardoor wordt de boodschap onbedoeld ingewikkeld, formeel en afstandelijk. Medewerkers herkennen zichzelf er niet in. Ze zien niet wat het met hun dagelijkse werk te maken heeft. En dan haken ze af. Niet omdat ze het niet kunnen, maar omdat het niet wordt uitgelegd op een manier die aansluit bij hun wereld.
Zodra risico’s concreet worden gemaakt, verandert alles. Een voorbeeld uit een herkenbare situatie — een “collega” die op vrijdagmiddag iets dringend vraagt, of een pakketje dat zogenaamd niet bezorgd kon worden — activeert meteen herkenning. Medewerkers denken mee, delen hun eigen ervaringen en herkennen vergelijkbare situaties uit hun dagelijks leven.
Daarom werkt storytelling zo goed. Niet omdat verhalen mooier zijn dan beleid, maar omdat ze techniek koppelen aan menselijk gedrag. Verhalen verkleinen de afstand tussen weten en doen. En juist in security awareness draait het uiteindelijk om gedrag, niet om kennis alleen.
Wat er gebeurt als je medewerkers wél serieus neemt
Wanneer organisaties stoppen met het onderschatten van medewerkers, ontstaat er ruimte voor een gelijkwaardig gesprek. Mensen durven sneller incidenten te melden omdat ze niet bang zijn om “dom” gevonden te worden. Security wordt niet langer gepresenteerd als iets ingewikkelds dat alleen experts begrijpen, maar als iets dat medewerkers al deels beheersen — thuis en op het werk.
In die context leren medewerkers niet alleen sneller, maar onthouden ze ook beter wat ze leren. Ze voelen zich serieus genomen en herkennen dat zij onderdeel zijn van de oplossing, niet het probleem. Awareness wordt dan effectief. Niet omdat medewerkers veranderen, maar omdat de benadering verandert. Wanneer uitleg helder is, voorbeelden realistisch zijn en aansluiten op eigen ervaring, blijken medewerkers veel digitaal vaardiger dan vaak wordt gedacht. Awareness begint dan niet bij techniek, maar bij vertrouwen.