Phishing-simulaties uitvoeren voor je medewerkers is een van de effectiefste manieren om de menselijke kant van beveiliging te versterken. Techniek houdt veel tegen, maar phishing mikt op mensen, niet op systemen. Een medewerker die op een malafide link klikt, omzeilt al je technische maatregelen. Simulaties trainen precies die zwakke schakel in een veilige omgeving.
Wat een phishing-simulatie is
Bij een simulatie stuur je zelf nepphishing naar je eigen mensen. Klikt iemand op de link of vult diegene gegevens in, dan krijgt de medewerker een leermoment in plaats van een echte aanval. Je meet de klikratio en gebruikt die als nulmeting en voortgangsindicator.
Het doel is niet mensen te betrappen, maar het herkenningsvermogen te verhogen. Dat onderscheid bepaalt of je programma werkt of averechts uitpakt.
Straffen werkt averechts
Als medewerkers bang zijn voor consequenties bij een klik, gaan ze echte phishing juist verzwijgen uit schaamte of angst. Daarmee verlies je je belangrijkste vroege waarschuwing. Communiceer dat simulaties leerinstrumenten zijn en geen beoordelingsmiddel.
Tooling kiezen
Google Workspace heeft anno 2026 geen ingebouwde, volledige phishing-simulatietool in de Admin-console. Voor het simuleren zelf gebruik je dus een gespecialiseerd platform dat via veilige doorvoer met Workspace integreert. Bekende aanbieders zijn onder meer IRONSCALES, Phished, Wizer, PhishingBox en SoSafe.
Wel zit er aan de detectiekant het nodige in Workspace. Je kunt in het Admin-console onder Apps, Google Workspace, Gmail, Spam, phishing en malware de geavanceerde phishing- en malwarebescherming inschakelen. En voor medewerkers is er de gratis Report Phishing-add-on uit de Google Workspace Marketplace, waarmee ze verdachte mail met een knop kunnen melden. Die meldknop is een waardevolle aanvulling op je simulatieprogramma.
Veilige aflevering
Een simulatieplatform moet zijn testmails ongehinderd kunnen afleveren, anders blokkeert je spamfilter ze. Voeg de afzenders en IP-adressen van je simulatietool toe aan een toegestane lijst (allowlist) in het Admin-console, maar uitsluitend voor de simulatie. Allowlist nooit permanent al het verkeer van dat domein, want dan creeer je zelf een gat. Houd er rekening mee dat wijzigingen tot 24 uur kunnen duren voordat ze actief zijn.
Een campagne opzetten
Begin altijd met een baseline. Je wilt weten waar je staat voordat je traint.
Phishing-simulatie opzetten
- Kies een simulatieplatform dat met Workspace integreert.
- Voeg de afzenders en IP-adressen van de tool toe aan een toegestane lijst voor de duur van de campagne.
- Stel een eerste baseline-campagne in met een realistisch maar herkenbaar scenario.
- Stuur naar een representatieve groep en meet klik- en invulratio.
- Koppel directe microtraining aan wie klikt, op het moment zelf.
- Herhaal periodiek met wisselende, geleidelijk lastigere scenario's.
- Volg de trend over tijd in plaats van losse momentopnames.
Realistische maar eerlijke scenario's
Goede scenario's lijken op echte phishing zonder oneerlijk te zijn. Veelgebruikte thema's zijn een nepfactuur, een gedeeld document, een wachtwoordreset of een pakketbezorging. Pas het lastigheidsniveau geleidelijk aan.
Houd scenario's respectvol
Vermijd extreem manipulatieve onderwerpen, zoals een nepbericht over een bonus of een ontslag. Die scoren hoge klikratio's, maar beschadigen het vertrouwen en de leerbereidheid. Je wilt mensen scherper maken, niet boos. Houd scenario's realistisch maar respectvol.
Resultaten omzetten in training
De simulatie is geen doel maar een meetinstrument. De echte waarde zit in de training die volgt. Wie klikt, krijgt direct een korte uitleg over de signalen die hij of zij had kunnen herkennen. Zie security awareness-training voor het bredere programma.
De stappen van een gezond programma zien er zo uit:
| Stap | Wat je doet | Doel |
|---|---|---|
| Baseline meten | Eerste meting van klik- en invulratio | Startpunt vaststellen |
| Direct leren | Microtraining op het moment van de klik | Signalen leren herkennen |
| Periodiek herhalen | Wisselende scenario's elk kwartaal | Vaardigheid onderhouden |
| Trend volgen | Geaggregeerde cijfers over tijd | Verbetering aantonen |
| Melders belonen | Wie verdachte mail rapporteert prijzen | Vroege waarschuwing versterken |
Een belangrijk detail: beloon mensen die verdachte mail melden. Een hoge meldratio is waardevoller dan een lage klikratio, want het betekent dat je vroege waarschuwing werkt.
Mag ik zomaar nepphishing naar mijn medewerkers sturen?
Ja, als werkgever mag je je eigen medewerkers trainen, mits je het ethisch en transparant inricht. Communiceer vooraf dat het bedrijf simulaties uitvoert, zonder de exacte timing te verklappen. Stem het zo nodig af met je ondernemingsraad of privacyfunctionaris.
Hoe vaak moet ik simuleren?
Periodiek, bijvoorbeeld elk kwartaal. Te vaak leidt tot afstomping, te weinig laat de vaardigheid wegzakken. Een vast ritme werkt het best.
Wat is een goede klikratio?
Bij een eerste meting zijn dubbele cijfers heel normaal. Het gaat om de trend: een dalende klikratio en een stijgende meldratio over tijd tonen vooruitgang.
Moet ik individuele resultaten delen met managers?
Liever niet op individueel niveau. Rapporteer geaggregeerd. Individuele beschaming ondermijnt de leerintentie en de meldbereidheid.
Heeft Google Workspace zelf een phishing-simulatietool?
Nee, voor het simuleren zelf is er geen ingebouwde tool in de Admin-console. Wel kun je geavanceerde phishing- en malwarebescherming inschakelen en de gratis Report Phishing-add-on uitrollen, zodat medewerkers verdachte mail met een knop kunnen melden.
Wat doe ik als iemand op een simulatie klikt?
Toon direct een korte, neutrale leerpagina met de signalen die hij of zij had kunnen herkennen. Geen verwijt, wel uitleg. Bied eventueel een vervolgmodule aan en houd de toon bemoedigend.
Met een ethisch opgezet programma dat meet, traint en beloont in plaats van straft, maak je je medewerkers daadwerkelijk weerbaarder tegen phishing. De simulatie is het meetlint, de training en de cultuur maken het verschil.