Vier op de tien medewerkers klikken op phishinglink, en bijna niemand meldt het

De eerste onaangekondigde phishingsimulatie is schrikken: 40 procent klikt en 1 op de 10 logt zelfs in, ook na een jaarlijkse training. Wie regelmatig oefent, ziet het risico test na test dalen.

Stel: je krijgt een mail die lijkt te komen van je leidinggevende, met het dringende verzoek om snel even in te loggen. In een team van twintig mensen klikken er acht op de link. Twee typen vervolgens hun wachtwoord in op een neppagina. En niemand meldt dat er iets niet klopte. Dat is het beeld bij de eerste keer dat een organisatie dit echt test. Het komt uit de eerste simulatie bij zo'n 250 organisaties die in 2025 en 2026 net waren begonnen met de Security Awareness Training van Guardey, van ziekenhuizen en universiteiten tot retailers, in geanonimiseerde en geaggregeerde vorm.

Belangrijk: deze nulmeting zegt niets over de inzet van een organisatie, maar alles over de aanpak. Want het gaat hier juist om werkgevers die al iets aan bewustwording deden, vaak een verplichte jaarlijkse e-learning. Hoeveel mensen erin trappen hangt bovendien sterk af van hoe overtuigend de nepmail is; bij een geloofwaardige, op de organisatie toegespitste mail loopt het op tot zo'n 40 procent. Firewalls, spamfilters en tweestapsverificatie blijven onmisbaar en vangen veel af. Maar geen enkel filter houdt alles tegen, en juist de mail die er doorheen glipt belandt bij een mens die onder tijdsdruk staat.

De spelfouten zijn verdwenen

Het cliché van de nepmail vol taalfouten gaat niet langer op. Aanvallers zetten inmiddels AI in om foutloze, persoonlijke berichten te schrijven die nauwelijks van echt te onderscheiden zijn. Er wordt zelfs geëxperimenteerd met deepfake-telefoontjes waarin de stem van een leidinggevende wordt nagebootst om een betaling of inlog af te dwingen. Precies de signalen waaraan medewerkers vroeger een nepbericht herkenden, vallen daarmee weg. Dat maakt herkenning op gevoel onbetrouwbaar en oefening belangrijker dan ooit.

Hoe reëel dat is, bleek begin 2026 bij telecomprovider Odido. De hack die de gegevens van zo'n 6,2 miljoen klanten blootlegde, begon volgens beveiligingsonderzoekers niet met een technisch lek, maar met een phishingmail naar medewerkers. De aanvallers belden hen daarna op terwijl ze zich voordeden als de eigen IT-afdeling, en omzeilden zo zelfs de tweestapsverificatie.

Het gevolg: namen, adressen, bankrekeningnummers en zelfs paspoort- en BSN-nummers van miljoenen Nederlanders op straat, met schadeclaims, een melding bij de Autoriteit Persoonsgegevens en blijvende reputatieschade. En Odido stond niet alleen; begin 2026 trof een reeks datalekken ook namen als Basic-Fit en Booking.com. Dat zulke incidenten zich opstapelen, is niet voor niets de reden dat de regels worden aangescherpt.

Oefenen helpt, maar het melden blijft achter

Dat hoge startcijfer zegt weinig over de inzet van een organisatie en alles over de vorm. Een jaarlijkse videocursus die je in één keer wegklikt, beklijft niet: medewerkers wéten dat ze verdachte links moeten laten staan, maar klikken onder werkdruk alsnog. Het is een beeld dat ook steeds terugkomt in gesprekken met IT-verantwoordelijken, nog vóór hun organisatie met trainen begint: iedereen kent de regels, tot die ene drukke ochtend. Pas als oefenen een vast ritme krijgt, kantelt het beeld. Bij korte, herhaalde phishingtests zakt het klikpercentage zichtbaar, en, minstens zo belangrijk, gaan medewerkers de mails mélden in plaats van wegklikken.

Dat melden is het signaal waar securityteams op zitten te wachten. Eén medewerker die op tijd aan de bel trekt, kan een aanval stoppen voordat die zich door het hele netwerk vreet. En juist daar zit de blinde vlek: bij de eerste meting meldt vrijwel niemand. Naar nul gaat het klikpercentage nooit, maar daar zit de winst ook niet: die zit in elke medewerker die de aanval voortaan herkent en doorgeeft.

Aantoonbaar gedrag wordt een eis

Met de komst van de Nederlandse Cyberbeveiligingswet, de invoering van de Europese NIS2-richtlijn, verandert er iets fundamenteels. NIS2 maakt cybersecuritytraining voor de hele organisatie tot een wettelijke verplichting, niet langer een vrijblijvende e-learning. En in de auditpraktijk van ISO 27001 gaat het inmiddels nog een stap verder: een aanwezigheidslijst volstaat niet meer, auditors vragen om bewijs dat de training ook effect heeft. Een grafiek die laat zien dat het klikpercentage over meerdere simulaties daalt, geldt daarbij als overtuigend bewijs. Voor IT-managers, HR en bestuurders betekent dat: niet alleen laten zien dát er beleid is, maar ook dat het werkt.

En de druk is acuut. De Cyberbeveiligingswet, de Nederlandse uitwerking van NIS2, werd in april 2026 door de Tweede Kamer aangenomen en treedt naar verwachting al rond 1 juli 2026 in werking. De regels raken een brede groep: organisaties vanaf vijftig medewerkers, of meer dan tien miljoen euro omzet, in sectoren als zorg, energie, transport, drinkwater, afvalverwerking, productie, digitale dienstverlening en de overheid. Voor hen is cyberhygiëne en het trainen van personeel geen aanbeveling meer, maar een wettelijke plicht waarop kan worden gehandhaafd, met boetes en bestuurdersaansprakelijkheid als stok achter de deur.

Daarmee verschuift de vraag. Techniek alleen is onvoldoende zolang de mens niet structureel wordt meegenomen, en de mens laat zich niet in één training vangen. De combinatie van realistische simulaties, korte herhaalde oefenmomenten en meetbare gedragsdata geeft organisaties voor het eerst een betrouwbaar beeld van hun menselijke risico, en daarmee een basis om gericht te verbeteren. Niet door de schuld bij de medewerker te leggen, maar door hem week na week iets weerbaarder te maken.