Data-bewustzijn is niet iets wat je eenmalig opbouwt met een verplichte training. Het is een cultuur die je continu onderhoudt. Medewerkers die data-bewust zijn, maken dagelijks de juiste keuzes zonder dat je erbij hoeft te zijn.
Waarom standaard security-trainingen niet werken
De meeste organisaties vertrouwen op jaarlijkse verplichte e-learning-modules over AVG en informatiebeveiliging. De resultaten zijn wisselend. Medewerkers klikken door de slides heen, beantwoorden de toetsvragen en vergeten de inhoud binnen een week.
Effectiever zijn:
- Korte, frequente leermomenten (micro-trainingen)
- Voorbeelden uit de eigen werkomgeving
- Directe koppeling aan dagelijkse tools (Gmail, Drive, Meet)
- Zichtbare gevolgen, zowel positief als negatief
Begin klein, herhaal vaak
Eén onderwerp per maand, vijf minuten lang, beklijft beter dan een jaarlijkse sessie van twee uur. Herhaling en herkenbaarheid winnen het van volledigheid.
Micro-trainingen: kort en concreet
Een micro-training duurt 5 tot 10 minuten en behandelt één specifiek onderwerp. Een voorbeeldritme over vier weken:
Week 1: Deelrechten in Drive. Vraag medewerkers te controleren welke bestanden ze extern hebben gedeeld. Ga naar drive.google.com, open een bestand, klik op Delen en bekijk of er iets op "Iedereen met de link" staat. Zijn er bestanden die eigenlijk intern moeten zijn?
Week 2: Phishing herkennen. Stuur een echt voorbeeld van een phishing-e-mail (anoniem gemaakt) die het bedrijf heeft ontvangen. Bespreek de kenmerken: kunstmatige urgentie, een afwijkend afzenderadres en een verdachte link.
Week 3: Wachtwoordhygiene. Organiseer een korte demo van een wachtwoordmanager. Laat zien hoe een sterk wachtwoord eruitziet en waarom hergebruik gevaarlijk is. Wijs ook op tweestapsverificatie als extra slot.
Week 4: Scherm vergrendelen. Herinner medewerkers aan de gewoonte om hun scherm te vergrendelen bij het verlaten van hun werkplek. Op Windows doe je dat met Win+L, op Mac met Ctrl+Cmd+Q.
Micro-training inroosteren in Google Agenda
- Maak een terugkerende afspraak aan op de eerste maandag van de maand.
- Nodig alle medewerkers uit als gasten.
- Voeg in de beschrijving de link toe naar de trainingsvideo of het document.
- Houd de training asynchroon, zodat medewerkers het op hun eigen tempo volgen.
Data-bewust gedrag zichtbaar maken
Gedrag dat zichtbaar beloond wordt, herhaalt zich. Koppel data-bewust gedrag aan concrete risico's voor het team in plaats van aan abstracte wetten. De zin "als deze klantdata uitlekt, bellen die klanten ons boos op" werkt beter dan "wij zijn verplicht door de AVG". En erken goed gedrag publiekelijk: als iemand een phishing-mail correct rapporteert, bedank die persoon in het teamoverleg.
Maak van fouten geen afrekenmoment
Wie bang is om afgestraft te worden, meldt incidenten niet of te laat. Reageer op een gemelde fout met dank en een leermoment, niet met een verwijt. Een snel gemelde fout is goud waard.
Concrete voorbeelden vanuit Google Workspace
Gebruik situaties die medewerkers herkennen. Drie voorbeelden die je direct kunt navertellen:
Verkeerd gedeelde Drive-map. "Vorige week ontdekten we dat onze offertemap gedeeld stond op 'Iedereen met de link'. Dat betekent dat iedereen met die link de offertes van anderen kon zien. Controleer je eigen mappen via rechtermuisknop, dan Delen, en bekijk wie er toegang heeft."
Externe vergadering opgenomen zonder toestemming. "We kregen een klacht van een externe partner dat een Meet-vergadering was opgenomen zonder toestemming. Vraag altijd vooraf toestemming voor je begint met opnemen, ook bij een informeel gesprek."
Persoonlijke gegevens in een gedeeld Sheet. "In ons klantensheet stonden BSN-nummers en geboortedata. Dat vereist AVG-beschermingsmaatregelen die we nog niet hadden getroffen. We hebben het inmiddels gecorrigeerd, en het is een goed signaal om even door je eigen Sheets te kijken."
Meten en verbeteren
Vraag elk kwartaal anoniem aan medewerkers:
- Weet je wat je moet doen als je een verdachte e-mail ontvangt?
- Heb je je Drive-deelrechten ooit gecontroleerd?
- Heb je ooit getwijfeld over een datahandeling maar niets gedaan?
De antwoorden geven je richting voor de volgende trainingsronde. Houd ook eenvoudige signalen bij, zoals het aantal gemelde phishing-mails en het aantal bestanden dat nog openbaar gedeeld staat. Een stijgend aantal meldingen is hier juist een goed teken: het betekent dat mensen opletten.
Hoe motiveer ik medewerkers die weinig interesse tonen in security?
Koppel data-bewust gedrag aan concrete risico's voor hun eigen team in plaats van aan abstracte wetten, en erken goed gedrag publiekelijk. Mensen reageren sterker op een herkenbaar gevolg ("dan bellen onze klanten ons boos op") dan op een regel.
Hoe lang mag een micro-training duren?
Idealiter 5 tot 10 minuten over precies één onderwerp. Korter dan een gewone vergadering, kort genoeg om tussen het werk door te volgen, en behapbaar genoeg om te onthouden.
Hoe vaak moet ik dit herhalen?
Maandelijks werkt voor de meeste organisaties goed. Een vast ritme, bijvoorbeeld de eerste maandag van de maand, maakt het voorspelbaar en zorgt dat het niet wegzakt onder ander werk.
Hoe meet ik of het effect heeft?
Stel elk kwartaal een paar anonieme vragen en houd eenvoudige cijfers bij, zoals het aantal gemelde phishing-mails en het aantal openbaar gedeelde bestanden. Meer meldingen betekent meestal meer bewustzijn, niet meer problemen.
Moet ik echte phishing-voorbeelden gebruiken?
Ja, mits geanonimiseerd. Echte voorbeelden uit de eigen mailbox zijn herkenbaarder en overtuigender dan generieke voorbeelden, en laten zien dat de dreiging concreet is.
Wat als iemand toch een fout maakt met data?
Behandel het als leermoment, niet als afrekenmoment. Bedank de melder, herstel de situatie en gebruik het anoniem als voorbeeld in de volgende micro-training, zodat anderen ervan leren.