De mens als zwakste én sterkste schakel: lessen uit 2025

‍In december staat bij Flowerbed de mens achter het bedrijf centraal. We laten zien wie er achter onze diensten schuilgaat, maar ook welke rol mensen spelen in iets wat vaak “technisch” wordt genoemd: security. Want als 2025 ons één ding heeft laten zien, dan is het wel dit: de mens kan tegelijk de zwakste en de sterkste schakel zijn.

Phishing, AI-gegenereerde mails, deepfakes, geavanceerde AI-scams, ze kwamen dit jaar allemaal voorbij in onze content, klantgesprekken en incidenten. In awarenessprogramma’s met KnowBe4, in praktijkcases bij klanten en in evaluaties na een spannend moment. In deze blog delen we een paar observaties uit de dagelijkse praktijk. Geen theoretisch verhaal, maar wat we bij echte organisaties zagen gebeuren.

‍

Waar het in 2025 nog steeds vaak misgaat

Een eerste observatie is misschien weinig verrassend, maar wel belangrijk: mensen klikken vooral verkeerd als ze druk zijn. De meeste misstappen die wij in simulaties en echte incidenten terugzien, gebeuren niet omdat iemand “dom” is, maar omdat iemand moe is, gehaast, afgeleid of met drie dingen tegelijk bezig.

Een medewerker die snel nog even zijn mail wegwerkt voor een afspraak, is gevoeliger voor een factuurmail met een “spoedverzoek”. Iemand die net een echte IT-melding heeft gehad, klikt eerder op een daarop lijkende phishingmail die slim met AI is opgesteld. Vooral AI-gegenereerde berichten met goede taal, herkenbare namen en echte logo’s bleken in 2025 veel overtuigender dan de klassieke fout gespelde phishingmail.

Wat ook opvalt: schaamte vergroot de schade. Medewerkers die per ongeluk hebben geklikt, wachten soms uren of zelfs dagen met melden omdat ze bang zijn voor een boze reactie of een “vingerwijssessie”. Die verloren tijd kan net het verschil maken tussen een klein incident en een grote verstoring.

‍

Welke awareness-aanpak wél werkt

De afgelopen jaren is awareness bij veel organisaties “iets met e-learning” geweest. In 2025 zagen we duidelijk dat dat niet genoeg is. Wat wél werkt, is een combinatie van realistische oefening, herhaling en dialoog.

Simulaties met platforms zoals KnowBe4 helpen om medewerkers in een veilige setting te confronteren met phishingmails die echt lijken op wat zij dagelijks ontvangen. AI maakt het mogelijk om die mails beter te laten aansluiten op de organisatie en branche, zodat het niet voelt als een spelletje, maar als echte herkenbare situaties. De meerwaarde ontstaat pas echt als die simulaties worden opgevolgd met goede uitleg en gesprek. Waarom was deze mail verdacht, welke signalen had je kunnen zien, hoe kun je het de volgende keer anders doen.

Korte, regelmatige prikkels werken beter dan één keer per jaar een lange training. Microlearnings, korte video’s, een voorbeeld in het intranet of het periodiek delen van een “phishing van de maand” zorgen dat het onderwerp top of mind blijft, zonder dat mensen er tegenop gaan zien.

En misschien de belangrijkste factor: de toon. Awareness die iedereen behandelt als potentieel risico werkt averechts. Awareness die mensen serieus neemt, fouten gebruikt als leermoment en medewerkers uitnodigt om mee te denken, levert merkbaar betere resultaten op.

‍

Hoe management het verschil maakt, in positieve en negatieve zin

Een derde observatie gaat over management en directie. Bewust of onbewust zetten zij de toon. In organisaties waar bestuurders en managers zelf alle awareness-trainingen netjes doorlopen, openlijk toegeven dat zij ook weleens twijfelen over een mail en actief vragen om verdachte zaken te melden, zie je een heel andere cultuur ontstaan dan waar security wordt gezien als “iets van IT”.

Als leidinggevenden zuchten bij het woord security, uitzonderingen vragen op beleid of zelf onveilig gedrag vertonen “omdat het nu even sneller moet”, dan nemen medewerkers dat gedrag over. Aan de andere kant zien we dat één of twee managers die wél het goede voorbeeld geven, een grote positieve impact kunnen hebben. Bijvoorbeeld door in een teamoverleg kort een phishing-simulatie te bespreken en te benadrukken dat melden belangrijker is dan nooit fouten maken.

Ook beslissingen over tijd en middelen spelen mee. Awareness die er “even bij wordt gedaan” in de lunchpauze, voelt als een verplicht nummer. Als er bewust tijd wordt vrijgemaakt, wordt de boodschap meteen serieuzer genomen.

‍

De mens als sterkste schakel: wat goed ging in 2025

Gelukkig heeft 2025 niet alleen laten zien waar het mis kan gaan, maar ook hoe krachtig mensen kunnen zijn als ze de juiste tools en cultuur krijgen. We zagen talloze voorbeelden van medewerkers die nét op tijd aan de bel trokken bij een vreemde betaalopdracht, een telefoontje dat “niet helemaal klopte” of een AI-gegenereerde voicemail die verdacht veel op een bekende stem leek.

Opvallend is dat “sterke schakels” vaak niet de meest technische mensen in een organisatie zijn. Het zijn medewerkers die hun intuïtie serieus nemen, elkaar durven aan te spreken en weten waar ze iets kunnen melden. Een receptioniste die een dubieuze bezoeker niet zomaar binnenlaat. Een financieel medewerker die een spoedbetaling checkt bij de manager in plaats van direct op “verzenden” te klikken. Een collega die een verdachte mail meteen doorstuurt naar IT in plaats van hem stilletjes weg te gooien.

Waar deze successen bijna altijd mee samenhangen, is een laagdrempelige meldcultuur. Medewerkers weten dat ze beter één keer teveel kunnen melden dan één keer te weinig, en dat ze niet worden afgerekend op het feit dat ze twijfelden, maar gewaardeerd worden omdat ze het deelden.

‍

Als je in 2026 één ding verandert in je organisatie, laat het dan dit zijn

Als we alle ervaringen uit 2025 samenvatten, springen er veel mogelijke verbeterpunten uit. Als we er één moeten kiezen die in de meeste organisaties het grootste effect heeft, dan is het deze: zorg voor een meldcultuur waarin het normaal is om twijfels en fouten rondom security direct te delen.

Dat betekent concreet dat medewerkers weten waar ze terecht kunnen met een verdachte mail, vreemd telefoontje of foutieve klik. Dat leidinggevenden laten zien dat zij zelf ook melden en vragen stellen. En dat incidenten, inclusief simulaties via bijvoorbeeld KnowBe4, worden gebruikt om samen te leren in plaats van met een beschuldigende vinger te wijzen.

Technologie, filtering en AI-gestuurde bescherming zijn onmisbaar om de grote stroom aan dreigingen behapbaar te houden. Maar uiteindelijk maakt het gedrag van mensen het verschil. In 2025 zagen we dagelijks hoe de mens zowel een kwetsbare factor kan zijn als een enorm krachtige verdedigingslinie. In 2026 ligt de uitdaging niet alleen in betere tools, maar vooral in het versterken van die menselijke schakel.

‍