# Security awareness-training voor Google Workspace-gebruikers

Security awareness-training voor Google Workspace-gebruikers richt zich op de menselijke kant van beveiliging. Je kunt technisch alles dichttimmeren, maar zolang medewerkers gevoelige bestanden openbaar delen of op phishing-links klikken, blijft er een gat. Awareness-training dicht dat gat door gedrag te veranderen, niet door angst te zaaien.

## Waarom awareness-training onmisbaar is

Het overgrote deel van succesvolle aanvallen begint bij een mens. Een medewerker die op een link klikt, een wachtwoord hergebruikt of een Drive-map per ongeluk op openbaar zet. Geen enkele technische maatregel vangt al die menselijke fouten op. Training is de enige manier om die laag te versterken.

In tegenstelling tot eenmalige presentaties werkt awareness alleen als het doorlopend en concreet is. Een jaarlijkse sessie van een uur beklijft niet. Korte, regelmatige momenten gekoppeld aan echte situaties wel.

:::info title="Koppel aan dagelijks gebruik"
Training werkt het best als ze aansluit op wat mensen daadwerkelijk doen in Workspace. Leer veilig delen op het moment dat iemand een Drive-map deelt, niet abstract in een klaslokaal. Relevantie bepaalt of de les beklijft.
:::

## Kernonderwerpen voor Workspace-gebruikers

Beperk je tot wat relevant is voor het dagelijks werk. Te veel onderwerpen verwateren de boodschap. Houd het bij deze vier kernthema's:

- **Phishing herkennen.** Let op verdachte afzenders, onverwachte bijlagen, een urgente toon en vreemde links. Train vooral hoe je twijfelgevallen meldt in plaats van zelf te beoordelen.
- **Veilig delen in Drive.** Maak het verschil duidelijk tussen delen met specifieke mensen en delen via een link met "iedereen". Behandel wanneer extern delen mag en hoe je een vervaldatum of weergaverechten instelt.
- **Sterke authenticatie.** Leg uit waarom 2-stapsverificatie verplicht is, hoe passkeys werken als wachtwoordloze opvolger en waarom je wachtwoorden nooit hergebruikt.
- **Datalekken melden.** Maak helder wat een datalek is, wanneer je het meldt en bij wie. Snelheid telt, en melden wordt gewaardeerd in plaats van afgestraft.

## Een doorlopend programma opzetten

Eenmalig trainen is verspilde moeite. Bouw een ritme.

:::howto title="Awareness-programma opzetten"
1. Bepaal de kernonderwerpen die passen bij jouw organisatie en risico's.
2. Maak korte modules van enkele minuten per onderwerp.
3. Plan een vast ritme, bijvoorbeeld een onderwerp per maand.
4. Koppel phishing-simulaties als praktijktoets aan de theorie.
5. Meet gedrag, niet alleen voltooiing van modules.
6. Verfris jaarlijks de inhoud op basis van nieuwe dreigingen.
:::

:::warn title="Meet gedrag, geen vinkjes"
Beoordeel awareness niet op het percentage mensen dat een module heeft afgerond. Iemand kan een video afspelen zonder iets te leren. Meet echt gedrag: de klikratio in simulaties, het aantal meldingen van verdachte mail en hoeveel gevoelige bestanden onbedoeld openbaar staan. Voltooiingspercentages geven schijnzekerheid.
:::

## Cultuur boven compliance

De beste awareness-cultuur is er een waarin mensen zich veilig voelen om fouten en twijfels te melden. Als melden leidt tot straf, stopt het melden. Als melden wordt gewaardeerd, krijg je vroege signalen van echte aanvallen.

:::tip title="Maak melden laagdrempelig"
Een eenvoudige knop of mailadres waar mensen verdachte berichten naartoe sturen, plus een bedankje terug, doet meer voor je beveiliging dan welke verplichte cursus ook. Mensen die durven te melden zijn je beste sensoren.
:::

## Meten en bijsturen

Koppel je programma aan meetbare indicatoren. Phishing-simulaties geven een klikratio die je over de maanden volgt. Het beveiligingscentrum in de Admin-console (Beveiliging, Security center, Dashboard) toont onder meer hoeveel bestanden extern gedeeld zijn en signalen van mogelijke spoofing. Samen vormen ze een beeld van je menselijke beveiligingslaag.

Een eenvoudig ritme om aan te houden:

| Moment | Activiteit |
| --- | --- |
| Maand 1 | Nulmeting met phishing-simulatie en deelanalyse |
| Maand 2 tot 12 | Maandelijkse korte module per kernonderwerp |
| Elk kwartaal | Phishing-simulatie als praktijktoets |
| Halfjaarlijks | Resultaten evalueren en programma bijsturen |
| Jaarlijks | Inhoud vernieuwen op basis van nieuwe dreigingen |

:::faq
### Hoe lang moet een trainingsmodule zijn?
Kort. Enkele minuten per onderwerp werkt beter dan een lange sessie. Mensen onthouden meer van regelmatige korte momenten dan van een jaarlijkse marathon.

### Moet iedereen dezelfde training krijgen?
Basisonderwerpen gelden voor iedereen, maar geef rolgerichte aanvulling. Beheerders en mensen die met gevoelige data werken hebben extra training nodig.

### Hoe overtuig ik het management van het nut?
Toon de cijfers: een dalende klikratio en een stijgende meldratio. Koppel het aan compliance-eisen zoals de NIS2-richtlijn, die awareness-training en bestuurlijke verantwoordelijkheid verplicht stelt voor organisaties in kritieke sectoren.

### Werkt verplicht stellen beter dan vrijwillig?
Een basisniveau verplicht stellen is verstandig, maar dwang zonder relevantie leidt tot afvinkgedrag. Combineer verplichting met inhoud die mensen echt helpt.

### Hoe vaak moet ik phishing-simulaties draaien?
Een keer per kwartaal is een werkbaar ritme. Vaak genoeg om alertheid te houden, maar niet zo vaak dat mensen afstompen of zich bespied voelen. Stem de moeilijkheid geleidelijk op.

### Wat doe ik als iemand toch op een simulatie klikt?
Geen straf, wel een direct leermoment. Laat meteen zien welke signalen gemist zijn en bied een korte herhaling aan. Een veilige reactie houdt het meldgedrag in stand.
:::

Met een doorlopend, concreet en cultuurgericht programma maak je je medewerkers tot een actieve beveiligingslaag in plaats van het zwakste punt. De techniek beschermt het systeem, bewuste mensen beschermen de techniek.