Security awareness training voor het MKB: aanpak en resultaten

Een groot deel van de cyberincidenten bij Nederlandse MKB-bedrijven begint niet bij een technisch lek, maar bij een medewerker die op het verkeerde moment op een verkeerde link klikt. De cijfers van het Nationaal Cyber Security Centrum laten al jaren hetzelfde patroon zien: 80 tot 90 procent van de geslaagde aanvallen begint met phishing of een andere vorm van social engineering. De firewall en de mailfilter doen hun werk, maar één afgeleide collega op een drukke woensdag is vaak voldoende.

Security awareness training is bedoeld om dat momentum te keren. Maar de manier waarop die training meestal wordt aangeboden — een verplichte e-learning van een half uur, één keer per jaar, met een vinkje aan het einde — werkt niet. Dit artikel beschrijft welke aanpak in 2026 wél resultaat oplevert voor een MKB van 25 tot 250 medewerkers, wat je ervan kan verwachten en hoe je een programma opzet zonder dat het je organisatie verandert in een continue paniektoestand.

Dit artikel sluit aan op onze blogs phishing herkennen: 7 voorbeelden en cybersecurity voor het MKB. Daar gaat het om de techniek en de basismaatregelen — dit artikel gaat over de mensen.

Wat is security awareness training, en waarom is het nodig?

Security awareness training is een gestructureerd programma dat medewerkers leert herkennen wat een digitaal risico is en hoe ze daar op moeten reageren. Geen IT-cursus, geen examen — een doorlopende oefening in opletten en melden.

De menselijke factor in cybersecurity

In bijna elk incidentrapport dat we de afgelopen jaren langs zagen komen, wijst het pad terug naar één van vier scenario's. Iemand klikt op een link in een e-mail die op het eerste gezicht van de bank of de boekhouder leek. Iemand voert inloggegevens in op een nepwebsite die in Google bovenaan stond. Iemand stuurt een factuur door zonder te merken dat het bankrekeningnummer in de mail is aangepast. Of iemand laat een collega meekijken op een terminal en herkent niet dat die "collega" een nieuwe IT-leverancier is die niet had moeten binnenkomen.

In al deze gevallen geldt: de medewerker doet niets bewust verkeerd. Het ontbreekt aan herkenningspunten. En dat is precies wat training kan oplossen — niet door angst aan te jagen, maar door patronen herkenbaar te maken.

Waarom een jaarlijkse e-learning niet werkt

We zien drie veel voorkomende problemen met de klassieke aanpak:

1. Vergeten. De gemiddelde retentie van een eenmalige e-learning is na drie maanden onder de 20 procent. Phishing-aanvallen volgen elkaar dagelijks op, niet eens per jaar.
2. Geen oefening. Theorie zonder praktijk werkt niet. Mensen leren security pas echt herkennen door het zelf te ervaren in een gecontroleerde omgeving.
3. Geen feedback-lus. Als niemand weet hoeveel mensen vorig jaar in de simulatie zijn getrapt, is er ook geen ijkpunt om verbetering te meten of bij te sturen.

De vier elementen van een werkend trainingsprogramma

Een effectief programma is geen los product. Het bestaat uit vier samenhangende onderdelen die elkaar versterken.

Element 1: phishingsimulaties die niet eenmalig zijn

De ruggegraat is een doorlopende reeks gecontroleerde phishingmails — typisch één tot twee per maand per medewerker. De variatie is belangrijk: een nepfactuur van een leverancier, een interne IT-aankondiging, een Microsoft-login-pagina, een AI-gegenereerde stem-deepfake bij directie. Wie klikt, komt op een korte uitleg-pagina ("dit was een test, dit waren de tekenen, zo herken je het de volgende keer"). Geen straf, geen publiek lijstje — wel registratie zodat de trend zichtbaar is.

In de praktijk dalen klikfrequenties van 25-30 procent in maand één naar 4-8 procent na een halfjaar. Dat is niet omdat medewerkers slimmer worden — het is omdat ze leren *vertragen* op een verdacht moment.

Element 2: korte modules in plaats van jaarlijkse marathons

In plaats van één lange e-learning van 45 minuten, werkt een programma van micro-modules van 3-5 minuten beter. Eens per maand een onderwerp: hoe herken je een nepfactuur, wat doe je met een verdachte sms, waarom is een wachtwoordmanager veiliger dan post-its, hoe meld je een incident. Een goed platform houdt bij wie wat heeft gevolgd en stuurt automatisch herinneringen.

De totale tijdsinvestering per medewerker komt uit op 30 tot 45 minuten per jaar — minder dan de oude jaarlijkse marathon, maar gespreid en herhaald.

Element 3: rolspecifieke training

Een receptioniste, een financiële medewerker en een systeembeheerder lopen verschillende risico's. De financieel medewerker heeft training nodig op CEO-fraude, factuurmanipulatie en bankwijzigings-mails. De systeembeheerder op privilege escalation en supply-chain risico's. De receptioniste op tailgating en social engineering aan de balie of telefoon. Een programma dat dit erkent voelt minder generiek aan, en de inhoud blijft langer hangen.

Element 4: cultuur en metingen, geen examen

Security awareness werkt alleen als melden veiliger voelt dan negeren. Concreet: maak een laagdrempelige meldknop in Outlook (de "phish-melden"-knop). Bevestig elke melding ook als die loos blijkt — dan blijven mensen melden. Houd één maandelijks meetpunt bij (klikfrequentie phishingsimulatie) en bespreek de trend in het management-overleg, niet om te bestraffen maar om te zien of het programma effect heeft.

Wat het in de praktijk oplevert

We zien bij MKB-klanten die een jaar lang doorlopend trainen consistent vier resultaten:

• Klikfrequentie phishingsimulatie zakt van 25-30 procent naar 4-8 procent.
• Aantal interne meldingen van verdachte mails stijgt — vaak een verdrievoudiging in het eerste halfjaar. Dat is goed, want elke melding is een aanval die niet doorging.
• Time-to-report van een echt incident daalt van uren naar minuten. In een ransomware-scenario maakt dat het verschil tussen één getroffen werkplek en een hele server.
• Audit-readiness voor NIS2 en NEN 7510 wordt aanzienlijk eenvoudiger. Beide normen vragen aantoonbare, herhaalde awareness-activiteiten — niet één e-learning per jaar.

Wat het *niet* oplevert: een organisatie die nooit meer wordt geraakt. Iemand zal alsnog op een goed gemaakte aanval klikken. Het programma zorgt dat de schade beperkt blijft en de respons snel is.

Aanpak voor een MKB van 25 tot 250 medewerkers

Een pragmatische aanpak in vier kwartalen ziet er ongeveer zo uit.

Kwartaal 1: nulmeting en basis

Begin met een ongekondigde phishingsimulatie zodat je een uitgangspunt hebt. Stel het platform in (in onze setup gebruiken we Microsoft Defender for Office 365 Attack Simulator of een gespecialiseerde leverancier zoals KnowBe4 of Hoxhunt — afhankelijk van budget en M365-licentie-niveau). Activeer de meldknop in Outlook. Zorg dat het management-team eerst zelf de eerste module heeft gevolgd voordat de rest aansluit.

Kwartaal 2: ritme opzetten

Eén phishingsimulatie per maand, één micro-module per maand. Spreek af hoe je omgaat met collega's die meerdere keren falen — niet bestraffend, wel met een persoonlijk gesprek of extra training.

Kwartaal 3: rolspecifieke verdieping

Voer rolspecifieke modules in voor financiën, IT en management. Voer de eerste audit-rapportage uit: wat was de begin-klikfrequentie, waar staan we nu, welke onderwerpen blijken het lastigst.

Kwartaal 4: verankering

Maak het onderdeel van onboarding (nieuwe medewerker volgt eerste module in week één). Koppel de jaarrapportage aan de NIS2/NEN 7510-bewijsvoering. Bespreek of het programma wordt verlengd, uitgebreid of geherijkt.

Veel gestelde vragen

Hoeveel tijd kost het mijn medewerkers per maand?

Drie tot vijf minuten voor de maandelijkse module en een paar seconden voor het beoordelen van een phishingsimulatie. In totaal zo'n 30-45 minuten per medewerker per jaar — minder dan de oude jaarlijkse e-learning.

Wat als iemand de phishingsimulatie blijft falen?

Drie of meer kliks in een halfjaar is een signaal voor een persoonlijk gesprek, niet voor een formele waarschuwing. Vrijwel altijd ligt de oorzaak in werkdruk of een specifieke kwetsbaarheid (een bepaald type mail dat doorbreekt). Extra ondersteuning werkt beter dan sancties — sancties leiden tot onderrapportage en dat is precies wat je niet wil.

Telt dit mee voor NIS2 of NEN 7510?

Ja. Beide normen vereisen aantoonbare en periodieke awareness-activiteiten. Een doorlopend programma met meet- en rapportage-functies levert direct het bewijsmateriaal op dat een auditor wil zien. Lees ook ons artikel over de NIS2-richtlijn voor de volledige scope-vraag.

Moeten we ook bestuurders en directeurs trainen?

Ja, en bij voorkeur als eerste. Phishing op directieniveau (CEO-fraude, deepfakes, gerichte spear-phishing) is een groeiend probleem. Bestuurders zijn een hoogwaardig doelwit, en een ransomware-aanval op de directie-mail kan een hele organisatie platleggen.

Wat kost het ongeveer?

Voor een MKB van 50-100 medewerkers ligt een doorlopend programma ergens tussen 6 en 12 euro per medewerker per maand, afhankelijk van het platform en de mate van begeleiding. Daar tegenover staat dat de gemiddelde kostprijs van één geslaagde phishing-aanval in het MKB op 35.000-75.000 euro ligt — dat is één voorkomen incident om de jaarinvestering al meervoudig terug te verdienen.

Hoe Virtual Computing dit aanpakt

We voeren security awareness training niet als losse dienst, maar als onderdeel van ons cybersecurity-pakket voor MKB-klanten. Concreet betekent dat:

• Een doorlopend phishingsimulatie-programma via Microsoft Defender for Office 365 of een gespecialiseerd platform
• Maandelijkse micro-modules in het Nederlands
• Meldknop "Phish Alert" gekoppeld aan ons SOC zodat verdachte mails direct geanalyseerd worden
• Maandelijkse rapportage en kwartaalreview met de IT-coördinator van de klant
• Audit-bewijsvoering voor NIS2, NEN 7510 en ISO 27001

Wil je weten hoe een programma er voor jouw organisatie uit zou zien? Neem contact op of bel 085-013 4500 voor een vrijblijvend adviesgesprek.