Ravijnjaar of niet, de signalen zijn duidelijk: het worden krappe jaren. Veel gemeenten en andere overheidsorganisaties zien zich genoodzaakt om te bezuinigen, terwijl de eisen voor digitale veiligheid juist toenemen. Investeringen in security awareness komen daarmee onder druk te staan. Maar stoppen is geen optie: zonder bewustzijn bij medewerkers lopen systemen, processen én gevoelige informatie gevaar.
De oplossing? Stop met ad-hoc campagnes en begin met bouwen. Door security awareness op te nemen in een meerjarenprogramma spreid je je investering, werk je strategisch aan gedragsverandering én creëer je continuïteit. In dit artikel lees je hoe je dat aanpakt, jaar voor jaar.
Waarom werken met een meerjarenplan?
Een meerjarenaanpak heeft meerdere voordelen:
- Budgetteren over jaren geeft rust én ruimte. Door de investering te spreiden, voorkom je piekuitgaven en sluit je beter aan bij begrotingscycli.
- Het zorgt voor voorspelbaarheid en draagvlak. Je laat zien dat awareness geen eenmalig project is, maar een strategisch programma.
- Meerjarenplannen zijn aantoonbaar effectiever. Gedrag verandert niet in één campagne – het vraagt om herhaling, variatie en borging.
Het SANS Institute beschrijft in hun Security Awareness Maturity Model hoe organisaties groeien van ad-hoc acties naar structurele gedragsverandering. De hogere volwassenheidsniveaus vragen om meetbare effecten en continue verbetering – iets wat alleen haalbaar is in een programma dat meerdere jaren omvat.
Het stappenplan: zo bouw je je awarenessprogramma op
Hoe ziet zo’n meerjarenprogramma eruit? Brooklyn Partners werkt met een helder groeipad van drie jaar, waarbij elke fase zijn eigen focus, middelen en doelen heeft. Hieronder het stappenplan in detail, inclusief praktische tips.
Jaar 1 – Meten en starten met focus
In plaats van meteen groot te denken, begin je met meten. Wat is de huidige situatie in jouw organisatie? Welke risico’s zijn het meest urgent? En welk gedrag wil je veranderen?
- Start met een nulmeting: Breng kennis, houding en gedrag in kaart. Dit helpt bij het scherpstellen van je aanpak én biedt later bewijs van impact.
- Kies een smalle focus: Breng focus aan in je programma, zodat je geen geld weggooit aan gedragsdoelen die jouw medewerkers al beheersen.
- Sluit aan op bestaande processen: Denk aan onboarding, teamoverleggen of interne communicatiekanalen. Hierdoor is je campagne minder belastend én beter zichtbaar.
- Zorg voor zichtbaarheid: Werk met korte, herkenbare campagnes of acties – liever behapbare acties in plaats van zware en tijdrovende campagnes zonder gericht gedragsdoel. De organisatie moet er in deze fase nog aan wennen, overlaad mensen daarom niet.
- Bouw je interne positionering op: Leg uit aan je bestuur dat dit jaar de basis is voor een meerjarige aanpak met meetbare opbrengst.
💡 Gebruik dit jaar om intern draagvlak te creëren bij de juiste stakeholders. Laat zien dat je bewust begint met meten, klein inzet en duidelijke keuzes maakt.
Jaar 2 – Verdiepen en verankeren
Nu je beter weet wat werkt en waar nog kansen liggen, kun je verbreden. In dit jaar zet je in op verdieping én verbinding met de rest van de organisatie.
- Breid je scope uit: Voeg nieuwe thema’s toe, zoals veilig delen van informatie of omgang met AI-tools.
- Integreer met andere teams / de juiste stakeholders: Werk samen met HR (onboarding), communicatie (interne kanalen) en IT (technische maatregelen).
- Gebruik variatie in formats: Wissel e-learnings af met games om het seriously fun te maken, maar ook met posters, video’s (study clips) en workshops. Herhaling met afwisseling is cruciaal.
- Laat eerste resultaten zien: Denk aan verbeterde scores in gedragsmetingen, minder incidenten of hogere bewustzijnsscores in enquêtes.
- Borg structureel in bestaande ritmes: Awareness moet geen extraatje zijn, maar onderdeel worden van je bedrijfsvoering.
💡 In dit jaar leg je de basis voor structurele verandering: niet door méér te doen, maar door slimmer samen te werken.
Jaar 3 – Borgen en opschalen
In het derde jaar is het tijd om je programma structureel te verankeren en de impact meetbaar te maken.
- Integreer awareness in beleid en processen: Bijvoorbeeld in je securitykalender, onboardingtrajecten of jaarplannen.
- Maak effect meetbaar: Denk aan gedragsmetingen (zoals de Cyber Barometer), incidentanalyses, risicoperceptie of medewerkerstevredenheid.
- Schaal op waar mogelijk: Werk met interne trainers, awareness tooling of ambassadeurs die collega’s actief betrekken.
- Verleg de focus van activiteit naar impact: Het gaat niet om het aantal workshops, maar om de resultaten die je ermee behaalt.
- Rapporteer op strategisch niveau: Laat zien hoe awareness bijdraagt aan organisatiedoelen zoals betrouwbaarheid, compliance of dienstverleningskwaliteit.
💡 Ambassadeurs spelen in dit jaar een belangrijke rol. Ze helpen bij het creëren van intern draagvlak én versterken de zichtbaarheid van je programma.
Hoe onderbouw je dit intern?
Een meerjarenplan vraagt om investeringen – en dus om overtuigingskracht. Zo onderbouw je je aanpak:
- Financieel: Verspreide cashflow in plaats van piekinvesteringen. Meer grip op je begroting.
- Cultureel: Je investeert in gedragsontwikkeling, niet in losse kennis. Dat vraagt om herhaling en borging.
- Effectiviteit: Uit onderzoek blijkt dat structurele awarenessaanpak tot duurzamer gedrag leidt. Campagnes zonder herhaling zakken snel weg.
💡 Tip: Verwijs naar het SANS Maturity Model of trendmeting als onderbouwing. Daarin staat dat gedragsverandering alleen duurzaam is als je investeert in herhaling, maatwerk en evaluatie.
Tot slot
Een krap budget hoeft geen showstopper te zijn voor security awareness. Door je aanpak te spreiden over meerdere jaren, kies je voor een stevig fundament. Je maakt slimme keuzes, werkt toe naar borging én kunt intern onderbouwen waarom deze route effectief is. Zo creëer je met beperkte middelen tóch een sterke securitycultuur die blijft staan – ook in tijden van bezuinigingen.
