Security awareness is vaak een afvinkoefening: één keer per jaar een training en klaar. Maar wie écht gedragsverandering wil bereiken, moet verder kijken dan kennis overdragen. In dit artikel duiken we in de psychologie achter awareness: wat werkt écht, en waarom?
Waarom awareness faalt
Security awareness-programma’s zijn vaak ontworpen om aan een compliance-eis te voldoen. Denk aan een jaarlijkse e-learning, een PowerPoint met do’s en don’ts, of een phishingtest. Afgevinkt, op naar het volgende project. Maar ondertussen klikken medewerkers nog steeds op links in verdachte e-mails, gebruiken ze zwakke wachtwoorden of laten ze hun toegangspas op hun bureau liggen.
Waarom werkt het dan niet?
- Omdat het blijft bij informatie. Medewerkers krijgen kennis aangeboden, maar die vertaalt zich zelden in gedrag.
- Omdat de boodschap verdwijnt. Zonder herhaling, emotionele betrokkenheid of sociale norm beklijft de informatie niet.
- Omdat awareness niet leeft in de cultuur. Het voelt als ‘iets van IT’ of ‘een verplicht nummertje’, in plaats van iets wat iedereen aangaat.
🎙️ “Awareness wordt vaak gereduceerd tot een jaarlijks uurtje training om een vinkje te halen voor ISO 27001. In volwassen industrieën – denk scheepvaart of luchtvaart – is continue opleiding vanzelfsprekend. Maar in ICT zijn we gemakzuchtig, en dat is een gevaar.” – Brenno de Winter
Een treffende vergelijking: in de luchtvaart is doorlopende training de standaard. Piloten en cabinepersoneel oefenen regelmatig crisissituaties, checklists en procedures. Waarom zouden we in security dan genoegen nemen met een jaarlijkse training?
Van kennis naar gedrag: de psychologische sleutels
1. Herhaling en continu leren
Een eenmalige training blijft niet hangen. Gedrag veranderen vraagt om ritme. Juist korte, frequente leerprikkels zorgen ervoor dat kennis top of mind blijft.
Net als in sectoren waar veiligheid cruciaal is, moet leren in security onderdeel worden van het dagelijks werk. Niet groot en hoogover, maar klein en van toepassing
Voorbeelden van effectieve formats:
- Study Clips: korte video's waarin je in 1,5 minuut meegeeft wat je nodig hebt
- Kwartaalchallenges: speelse formats waarin teams samen leren
- Onboarding met awareness: vanaf dag één de juiste mindset
2. Positieve emotie en zelfonthulling
Angst werkt maar beperkt. Het kan blokkeren of weerstand oproepen. Wat beter werkt: humor, herkenning en menselijkheid.
Wanneer een collega of leidinggevende open is over een eigen fout, verlaagt dat de drempel om zelf ook iets te melden. Zoals Brenno of Hans, die hun eigen blunders delen—en daarmee juist een veilige cultuur versterken.
Veiligheidsfouten bespreekbaar maken moet de norm zijn. Niet om af te straffen, maar om van te leren.
3. Sociale beïnvloeding en cultuur
Gedrag verandert niet in isolatie. Mensen spiegelen zich aan collega’s, aan wat normaal is in hun team. Daarom is sociale beïnvloeding een krachtig hulpmiddel.
Hoe zet je dat in?
- Introduceer zichtbare rituelen, zoals je toegangspas altijd dragen
- Start ludieke acties waarbij mensen elkaar op een leuke manier aanspreken
- Zorg dat het normaal is om elkaar te corrigeren, zonder gezichtsverlies
Van ‘ik luister wel’ naar ‘ik spreek mijn collega aan’—dáár zit de impact.
4. FOMO en beloning
Awareness moet niet voelen als een verplicht nummertje. Het moet voelen als iets waar je bij wílt horen. Veilig gedrag op de werkvloer vraagt om meer dan kennis. Het vraagt om motivatie en betrokkenheid. En juist dáár zit de kracht van een goede awarenesscampagne: die is niet saai of belerend, maar aantrekkelijk, herkenbaar en ja, serieus leuk!
Bij Brooklyn noemen we dat “seriously fun”. Want awareness mag best een glimlach opleveren. Humor, verrassende acties of een beetje competitie zorgen voor positieve aandacht. Zo creëer je een sfeer waarin mensen niet alleen begrijpen wat er van hen verwacht wordt, maar ook graag meedoen.
Voorbeeld uit de praktijk: Fleur zette een awarenessactie op waarbij medewerkers een mok of reep chocolade kregen als ze deelnamen. Simpel, laagdrempelig, maar effectief: het gaf net dat extra zetje. Mensen wilden meedoen, niet omdat het moest, maar omdat het leuk en zichtbaar was.
“Ik creëer FOMO: campagnes moeten zo leuk en relevant zijn dat collega’s zeggen ‘jammer dat ik dat gemist heb’. Puzzels, keramische mokken of chocoladerepen met een boodschap zijn kleine, positieve prikkels die blijven hangen.” – Fleur van Leusden
“Met humor en ludieke sessies—video’s, spelletjes, gedichtjes—doorbreek je weerstand: ‘Waarom moeten we spelletjes spelen, we zijn toch geen kleuterschool’, zeiden ze eerst. Nu spreken collega’s elkaar erop aan als ze hun pas niet zichtbaar dragen.” – Brenno de Winter
Voorbeeldscenario’s uit de praktijk
- Een medewerker die dankzij een ludieke actie wél zijn toegangspas draagt, omdat “iedereen het doet.”
- Een teamlid die zo’n herken-phishing-held is die alle vier de phishing campagnes niet alleen herkende, maar ook rapporteerde, en daarmee een leuke prijs wint.
- Een awarenesscampagne waarbij zelfs de mensen die níet meededen achteraf spijt hadden dat ze het gemist hadden, zoals het missen van een video waarin je collega een rol had.
Hoe pas je dit toe in jouw organisatie?
Stap 1 – Laat de jaarlijkse training los
Ga voor herhaling, korte leermomenten en structurele aandacht. Gedrag verander je niet met een eenmalige actie.
Stap 2 – Zet in op emotie en herkenning
Gebruik humor, menselijke verhalen en zelfonthulling om echte betrokkenheid te creëren.
Stap 3 – Beloon positief gedrag
Maak goed gedrag zichtbaar en aantrekkelijk. Kleine beloningen helpen meer dan je denkt.
Stap 4 – Betrek ambassadeurs
Laat collega’s het goede voorbeeld geven. Wat je ziet, ga je sneller zelf ook doen.
Tot slot
Security awareness gaat over méér dan kennis. Het gaat over gedrag. En gedrag verander je niet met cijfers, maar met psychologie. Door in te zetten op herhaling, emotie, sociale normen en beloning bouw je aan een organisatie waar veilige keuzes vanzelfsprekend zijn.
Niet omdat het moet. Maar omdat het werkt.