Hoe zet je een succesvolle cybersecurity awareness campagne op

Geplaatst op: 29/10/2025
Geschreven door: Jos Fonteijn

Inleiding

De zwakste schakel in informatiebeveiliging is zelden technologie, maar de mens. Denk aan klikken op phishinglinks, onbeveiligde wifi gebruiken of wachtwoorden op post-its. Een goede awarenesscampagne helpt dit gedrag te veranderen en risico’s te verkleinen.

1. Planning en voorbereiding

Doelstellingen bepalen
Bepaal vooraf wat de campagne moet bereiken: veiliger gedrag, beter begrip van data-privacy, of minder fouten bij gebruik van mail en mobiele apps. Stem doelen af op de aard van de organisatie — een bank heeft andere risico’s dan een productiebedrijf.

Risicoanalyse
Breng de belangrijkste informatiebeveiligingsrisico’s in kaart: wat kan er misgaan, wat is de impact, en hoe groot is de kans? Gebruik deze analyse om prioriteiten te stellen.

Doelgroepen definiëren
Segmenteer de organisatie in relevante groepen (afdelingen, teams, functies) en betrek waar nodig ook externe partijen zoals leveranciers of partners. Elk type medewerker heeft een ander risicoprofiel en kennisniveau.

Reference board
Combineer risico’s en doelgroepen in een eenvoudige matrix. Dit vormt de basis voor de inhoud van de campagne.

Eenvoudig voorbeeld van een eerste opzet van een reference board:

Planning
Maak een globale planning met de fasen en herhalingsmomenten van de campagne. Herhaling is essentieel voor blijvend effect.

2. Ontwikkelen van boodschap en inhoud

Kernboodschap en identiteit
Creëer een duidelijke, pakkende slogan en eventueel een herkenbaar logo dat past bij de organisatie. De boodschap moet eenvoudig, concreet en herhaalbaar zijn.

Eenvoudig voorbeeld:

Communicatie in begrijpelijke taal
Gebruik korte zinnen, praktische voorbeelden en herkenbare scenario’s. Vermijd technische termen tenzij de doelgroep die begrijpt.

Gebruik meerdere formats
Combineer digitale en fysieke middelen:

  • e-learning en quizzen
  • nieuws op intranet of via mail en mobiele apps
  • posters, workshops, phishing-simulaties
  • praktische gadgets (mokken, sleutelhangers, enz.)

Communicatieplan
Leg vast:

  • welke kanalen voor welke doelgroep worden gebruikt
  • wie aanspreekpunt is bij vragen (CISO, awareness-team, HR)
  • hoe vaak er communicatie plaatsvindt
  • hoe management en ambassadeurs worden betrokken

Herhaling, zichtbaarheid en toegankelijkheid zijn cruciale succesfactoren.

3. Uitvoering en betrokkenheid stimuleren

Phishing simulatie
Plan regelmatige, realistische simulaties. Pas moeilijkheidsgraad aan per doelgroep of medewerker, op basis van eerdere resultaten.
Zorg dat wie op een valse link klikt, een duidelijke terugkoppeling krijgt. Zo leren medewerkers zonder bestraffing.

Training met betrekking tot data privacy en AVG
Bied trainingen aan over onderwerpen als:

  • verantwoordelijkheden onder AVG
  • correcte toepassing van BIV (Beschikbaarheid, Integriteit, Vertrouwelijkheid)
  • veilig omgaan met persoonsgegevens, mails en mobiele apps

Generatieve AI
Medewerkers gebruiken tools als ChatGPT of Copilot steeds vaker. Train hen in veilig gebruik: geen bedrijfsgevoelige informatie delen, en bewust omgaan met prompts. Op de website van Cyber Security Challengers (https://www.cybersecuritychallengers.nl/actueel/) vind je enkele artikelen die dieper op de risico’s hiervan ingaan.

Feedback en motivatie
Resultaten van simulaties en e-learning moeten alleen geanonimiseerd worden gedeeld, tenzij anders overeengekomen.
Vermijd straffen; gebruik liever positieve prikkels zoals certificaten of kleine beloningen om deelname te stimuleren.

Andere thema’s
Verwerk ook onderwerpen als wachtwoordbeheer, clean-desk-policy, veilig gebruik van wifi buiten kantoor, en het afsluiten van werkstations.

AI-gestuurde social engineering wordt gezien als een van de grootste cyberdreigingen voor 2026, omdat aanvallers AI gebruiken om extreem overtuigende en gepersonaliseerde misleidingen te creëren. De grens tussen een simpele phishingmail en een gerichte infiltratie vervaagt, doordat AI berichten, stemmen en interfaces kan nabootsen op grote schaal. Organisaties moeten daarom hun bewustwordingstrainingen blijven vernieuwen en medewerkers leren om AI-gegenereerde manipulatie te herkennen, kritisch te blijven en altijd te verifiëren.

4. Evaluatie en verbetering

Meten van effectiviteit
Gebruik KPI’s, enquêtes of tests om te zien of gedrag verandert — bijvoorbeeld of minder mensen in phishing trappen.
Analyseer successen en knelpunten, en communiceer de resultaten naar medewerkers en management.

Continu verbeteren
Gebruik feedback om de campagne te verfijnen. Maak security awareness cyclisch: herhaal jaarlijks of halfjaarlijks (eventueel in kortere vormen) om het onderwerp levend te houden.

Conclusie

Een succesvolle cybersecurity awarenesscampagne vraagt geen rocket science, maar wel aandacht, herhaling en draagvlak. De belangrijkste voorwaarden:

  • Steun van directie en management
  • Betrokkenheid van alle medewerkers
  • Duidelijke communicatie en positieve feedback
  • Regelmatige herhaling

Met deze aanpak groeit security awareness uit tot een vast onderdeel van de organisatiecultuur.