Recent hoorde ik tijdens een securitybijeenkomst dat onderwijsinstellingen hun contract met hun security awareness-leverancier hadden beëindigd. De reden: van de duizenden medewerkers deden er slechts vijftig mee aan de trainingen.
De conclusie die daaruit werd getrokken was snel gemaakt: “De content sluit niet aan; laten we het zelf doen.” Het is een begrijpelijke reactie, maar ook een misleidende. Want wanneer minder dan één procent van de medewerkers meedoet, ligt dat vrijwel nooit aan de inhoud van de training. In de praktijk gaat het bijna altijd over communicatie, verandermanagement, cultuur en betrokkenheid.
In dit artikel leg ik uit waarom dat zo is, wat organisaties vaak over het hoofd zien en hoe je awareness wél succesvol maakt.
Wanneer niemand meedoet, ligt dat zelden aan de content
Wanneer minder dan één procent van een organisatie deelneemt aan awarenessactiviteiten, is dat geen inhoudelijk probleem. Dan is er iets fundamenteel anders aan de hand.
Wie ooit een awarenessprogramma heeft uitgerold, weet dat content zelden de oorzaak is van lage betrokkenheid. Natuurlijk helpt het als trainingen herkenbaar, actueel en prettig te volgen zijn. Maar zelfs de beste video’s en e-learnings missen hun doel wanneer medewerkers het gevoel hebben dat awareness “iets van ICT” is of iets wat niet echt belangrijk is.
In zulke situaties ligt de uitdaging niet bij de training zelf, maar bij de manier waarop de organisatie het belang ervan communiceert en zichtbaar maakt.
Betekenis, leiderschap en ritme: de echte motor achter awareness
Gedrag verandert pas wanneer mensen begrijpen waarom iets ertoe doet. Dat begint niet bij een cursus, maar bij betekenis. Als medewerkers niet ervaren wat digitale veiligheid met hún werk te maken heeft, blijft awareness abstract. Iets waar je misschien ooit aandacht aan besteedt als de agenda leeg is. En die raakt zelden leeg.
Daarnaast voelen medewerkers feilloos aan of een onderwerp wordt gedragen door het management. Wanneer een directie niet expliciet benoemt waarom awareness belangrijk is, of wanneer leidinggevenden deelname niet stimuleren, ontstaat vrijblijvendheid. En vrijblijvendheid is de grootste vijand van gedragsverandering.
Het is dan ook geen toeval dat organisaties met sterke managementbetrokkenheid vrijwel altijd hogere deelnamepercentages zien. Zelfs wanneer de content eenvoudig of verre van perfect is.
Ritme speelt daarbij een cruciale rol. Awareness werkt zoals elke routine: door herhaling. Een losse intranetpost, weken stilte en daarna plots een verplichte training voelt willekeurig. Maar een herkenbaar ritme — bijvoorbeeld maandelijks een kort thema — maakt awareness voorspelbaar en normaal. Medewerkers weten wat er komt, waarom het komt en dat ze onderdeel zijn van een doorlopende ontwikkeling.
Wat vaak wordt vergeten, is dat awareness in essentie verandermanagement is. Het vraagt tijd, uitleg, herkenning en geduld. Medewerkers moeten risico’s kunnen plaatsen in hun eigen context. Soms werkt het zelfs beter om te beginnen met voorbeelden uit de privésfeer, omdat die de drempel verlagen. Pas daarna ontstaat het inzicht wat dat betekent voor het werk.
Awareness is cultuurverandering — en cultuur bouw je samen
Zelf content ontwikkelen kan waardevol zijn, zeker wanneer het organisatie- of sectorspecifiek is. Maar het lost het kernprobleem niet op wanneer de randvoorwaarden ontbreken. Content is geen motor; het is brandstof. Zonder motor komt er niets in beweging, hoe goed de brandstof ook is.
De echte vraag die organisaties zichzelf moeten stellen is dan ook niet: “Hoe maken we betere content?” maar: “Hoe zorgen we dat medewerkers begrijpen waarom dit belangrijk is en zich gesteund voelen om mee te doen?”
In organisaties waar awareness wél werkt, blijft digitale veiligheid niet beperkt tot de ICT-afdeling. Leidinggevenden benoemen het in overleggen. HR koppelt het aan professioneel handelen. Communicatie zorgt voor zichtbaarheid. Ambassadeurs delen ervaringen. Medewerkers voelen dat security geen verplicht nummer is, maar onderdeel van goed werk.
Wanneer dat fundament staat, volgt deelname vanzelf. Dan maakt het nauwelijks nog uit wie de content levert — de organisatie zorgt er zelf voor dat het programma landt.
De situatie bij de onderwijsinstellingen is dus geen bewijs dat de content tekortschiet. Het is een signaal dat awareness meer is dan training alleen. Het is cultuur. En cultuur verander je niet met nieuwe video’s, maar met betekenis, communicatie en leiderschap.
Als we dáár beginnen, doet straks niet één procent mee, maar tachtig. En dan wordt niet de content het succes, maar de organisatie zelf.