Security awareness zit in de kleine momenten
In gesprek met Max Bellemans, Privacy Officer bij VVA, Certified AI Compliance Officer
Security Awareness
Security awareness gaat volgens Max Bellemans niet over techniek, maar over gedrag. “Het zit ’m vooral in het menselijke gedeelte,” vertelt hij. “De meeste beveiligingsincidenten ontstaan niet door een geavanceerde hack, maar door kleine, alledaagse handelingen. Een wachtwoord dat toch net niet sterk genoeg is. Even snel klikken op een linkje tijdens een overleg. Juist die ogenschijnlijk onschuldige momenten worden vaak onderschat, terwijl de impact groot kan zijn.”
Geen IT–feestje
“Security awareness is geen IT–feestje,” zegt Max. “Het is een van–iedereen–feestje.”
Juist omdat risico’s vaak ontstaan door menselijk handelen, raakt awareness de hele organisatie.
Van bestuur tot baliemedewerker. Dat vraagt om een andere benadering dan alleen technische
maatregelen.
Binnen VVA werkt Max onder andere met mystery guests, mystery callers en het Phished–platform.
Het Phished–platform wordt gebruikt om het bewustzijn concreet en meetbaar te maken. “Bij de
implementatie van het platform starten we met een nulmeting door een realistische phishingmail te
sturen en te kijken hoe vaak erop geklikt wordt. Een jaar later herhalen we dat. Dan zie je echt
ontwikkeling.”
Herhaling maakt het verschil
Volgens Max werkt een eenmalige training niet. “Dat is hooguit een opfrisser. Awareness moet je blijven herhalen. Het is structurele bewustwording onder medewerkers.”
“Draagvlak maakt het verschil. Security awareness werkt alleen als het echt gedragen wordt door de
organisatie, met duidelijke prioriteit vanuit bestuur en management. Wanneer het wordt neergelegd
bij iemand die het ‘erbij’ moet doen, raakt het al snel ondergesneeuwd.”
De opkomst van AI verandert volgens Max het speelveld. “Phishingmails worden steeds
realistischer. Dat maakt ze moeilijker te herkennen.” Tegelijkertijd ziet hij dat AI ook ingezet kan
worden om beveiliging te versterken, bijvoorbeeld via slimme scanners of detectietools.
Maar ook hier geldt: bewust omgaan met data is essentieel. “Je moet goed nadenken over wat je
invoert in AI–tools en waar data wordt opgeslagen. De AI Act onderstreept dat ook.”
Kleine handelingen, grote impact
Security awareness draait volgens Max uiteindelijk om één ding: continu bewust blijven van je
eigen handelen. “Het zit in die kleine momenten. Even snel klikken, even snel informatie delen. Juist daar ontstaat
risico.”
Door structureel te meten, te oefenen en te verbeteren, groeit awareness van losse activiteit naar
onderdeel van de organisatiecultuur.
