De realiteit van krimpende budgetten dwingt veel gemeenten en overheidsorganisaties tot moeilijke keuzes. Ook op het gebied van security awareness. Toch hoeft bezuinigen niet te betekenen dat je inlevert op veiligheid. Door strategisch te budgetteren, focus aan te brengen en slim te plannen, kun je ook met beperkte middelen impact blijven maken.
De valkuil: álles willen blijven doen
Wanneer budgetten onder druk staan, komt er vaak ruis in de besluitvorming. Awarenessprogramma’s worden versnipperd, campagnes krijgen een ad-hoc karakter, en het overzicht verdwijnt. De grootste valkuil? Denken dat je álles moet blijven doen. Dat leidt tot versnippering en verlies van effectiviteit. Je loopt bovendien het risico dat bewustwording verslapt, terwijl cyberdreigingen onverminderd doorgaan. Juist dán moet je scherpe keuzes durven maken.
Slim budgetteren met het STOP – DOORGAAN – START-model
Een praktisch hulpmiddel om de juiste keuzes te maken is het STOP – DOORGAAN – START-model. Hiermee neem je risico’s als uitgangspunt en bepaal je welke activiteiten nog bijdragen aan gedragsverandering, en welke niet.
STOP – Waar kun je op bezuinigen?
Niet alles wat je doet binnen awareness is kritisch. Door te evalueren wat écht impact heeft, kun je bewuste keuzes maken in wat je loslaat. Voorbeelden:
- Algemene ‘bewustwordingscampagnes’ zonder concreet gedragsdoel
→ Denk aan posters of intranetberichten zonder concrete boodschap, opvolging of meetbaar effect.
✅ Stop hiermee en richt je op gedrag dat je écht wilt beïnvloeden. - Trainingen voor doelgroepen zonder verhoogd risico
→ Bijvoorbeeld jaarlijkse phishing trainingen voor medewerkers die nauwelijks e-mail ontvangen of geen toegang hebben tot gevoelige systemen.
✅ Investeer liever in risicogroepen. - Verouderde awarenessmodules of tools die niet gebruikt worden
→ Een e-learning van vijf jaar oud die nog ergens ‘mee draait’ maar geen eigenaarschap of opvolging meer heeft.
✅ Schrap deze en voorkom schijnveiligheid. - Campagnes zonder meting of evaluatie
→ Geen data = geen inzicht = weggegooid geld.
✅ Stop met activiteiten waar je geen resultaat van kunt aantonen.
DOORGAAN – Wat mag je níét laten vallen?
Dit zijn de elementen waarvan Brooklyn Partners keer op keer ziet: hier zit de impact, en hier maak je het verschil. Als je deze laat vallen, loop je aantoonbaar meer risico.
- Phishing-simulaties voor kritieke afdelingen
→ Zoals financiële administratie, IT-beheer, juridische teams en directie.
✅ Combineer dit met opvolging op gedragsniveau: wie klikte, wie rapporteerde, wie meldde niets? - Continu meten van volwassenheid en gedrag
→ Bijvoorbeeld met tools zoals de Cyberbarometer, interviews, of gedragsanalyses.
✅ Wat je niet meet, kun je niet verbeteren – en krijg je ook niet gebudgetteerd. - Begeleiding van high-risk momenten in de organisatie
→ Nieuwe systemen, fusies, nieuwe wetgeving, of grote communicatiecampagnes zijn momenten waarop bewustwording essentieel is.
✅ Vergeet ‘jaarkalenderdenken’: sluit aan op de context. - Ambassadeursnetwerk of Cyber Security Community
→ Medewerkers uit verschillende afdelingen die bewustwording helpen verspreiden.
✅ Kost weinig, levert veel op: betrokkenheid, draagvlak en zichtbaarheid. - Koppeling met compliance of onboarding
→ Awareness is geen los eiland, maar onderdeel van het grotere geheel.
✅ Laat trainingen meelopen in HR-processen en koppel aan ISO27001, Cyber Beveiligingswet, DORA, BIO etc. - E-learningmodules gekoppeld aan onboarding en compliance
- Herhaalde communicatie rondom gedragsregels (bijv. wachtwoordgebruik, datadeling)
Meet wat het oplevert: door resultaten te koppelen aan risico’s (minder incidenten, meer meldingen, snellere respons), kun je de waarde ervan onderbouwen richting bestuur.
START – Waarom een meerjarenplan nu slim is
Juist in tijden van bezuiniging is het verstandig om vooruit te denken en te investeren in structuur. Daarmee voorkom je dat je volgend jaar wéér bij nul begint. Door je awarenessaanpak in meerdere jaren uit te smeren:
- kun je investeringen spreiden;
- houd je meer grip op resultaten;
- en kun je bouwen aan draagvlak in je organisatie.
Een CISO uit een middelgrote gemeente vertelt:
"Toen we zagen dat ons budget zou dalen, zijn we niet direct gaan schrappen. We hebben gekeken wat écht nodig is om onze risico’s te beperken, en zijn bewust gestart met een driejarig programma. Het hielp ons om keuzes te onderbouwen en gericht te communiceren en te bouwen aan cultuur."
Zo’n aanpak zorgt ook dat je zichtbaar vooruit werkt aan je beveiligingsdoelen – iets waar bestuurders op aanhaken. Hoe doe je dat dan precies?
- Start met een meerjarenaanpak
→ Werk in fases: jaar 1 = basis , jaar 2 = verdieping bij risicogroepen, jaar 3 = borg processen.
✅ Verdeel je budget slim en voorkom piekbelasting in jaarplannen. - Start met gedragsdoelstellingen per doelgroep
→ Niet: “We willen dat mensen alert zijn.” Wel: “We willen dat 80% van de leidinggevenden verdachte mails binnen 2 minuten meldt.”
✅ Zo maak je het meetbaar én overtuigend richting bestuur. - Start met het zichtbaar maken van je resultaten
→ Gebruik dashboards, maandrapportages, of kleine updates richting management. Wees helder over wat je van ze nodig hebt.
✅ Wat zichtbaar is, blijft op de radar én in het budget.
Hoe houd je vertrouwen als je stopt met iets?
Een lastige vraag: wat als je moet stoppen met iets dat zichtbaar was in de organisatie? Bijvoorbeeld een interne campagne of kwartaaltraining?
- Wees transparant: Leg uit waarom je stopt en wat je in de plaats doet.
- Benoem de voordelen: Minder kosten, meer focus, hogere effectiviteit.
- Benoem wat blijft: Zo voorkom je dat medewerkers denken dat veiligheid minder belangrijk wordt.
Tot slot: bezuinigen is ook een kans
Bezuinigen hoeft geen achteruitgang te betekenen. Zie het als een kans om je programma opnieuw tegen het licht te houden. Door te meten, te kiezen en te communiceren werk je aan een sterker en effectiever awarenessprogramma – ook met minder middelen.
Denk vooruit. Maak keuzes. En houd de regie over veiligheid in jouw organisatie.
