Flexibel, herkenbaar en effectief: awareness in eigen hand 

Interview met Pascal van de Kaa, ROC van Amsterdam en Flevoland 

Cybersecurity- en privacyawareness is het meest effectief als het past bij je instelling en herkenbare situaties bevat voor medewerkers. Koop je daarvoor kant-en-klaar materiaal in, of ontwikkel en beheer je dat zelf? Het ROC van Amsterdam en Flevoland koos voor het laatste. Waar moet je rekening mee houden? En: hoe organiseer je dat? We vroegen Pascal van de Kaa, projectmanager Awareness op het gebied van Cyberveiligheid, hoe heeft zij dit heeft aangepakt.

De keuze om in eigen beheer te ontwikkelen 

“Uit een evaluatie van het vorige awareness-pakket bleek dat er behoefte was bij onze collega's om de inhoud zo dicht mogelijk bij hun eigen dagelijkse werk te houden. Herkenbare risico's met exact de juiste adviezen en de oplossingen die binnen onze organisatie van toepassing zijn."  

"Verder kwam uit de organisatie de vraag om de e-modules efficiënter te maken; iedereen is druk in het onderwijs en elke minuut telt. De een wil de modules door het jaar heen doen en de ander achter elkaar of op het moment dat de inhoud nodig is. Dus liever meerdere kleine, doelgerichte modules van 5-8 minuten dan een langere module van een half uur. Door deze wensen kwamen we uit op het in eigen beheer ontwikkelen van awareness-materiaal.” 

Meer grip 

De keuze om zelf te ontwikkelen geeft het ROC ook meer grip op het aanpassen en aanbieden van het materiaal. Pascal: “Door in eigen beheer te laten ontwikkelen kunnen we het materiaal heel eenvoudig zelf aanpassen en aanvullen.  Alles staat in onze eigen software die redelijk eenvoudig in gebruik is." 

"De producent maakt de animaties in onze video platform-omgeving, ontwikkelt de modules in ons LMS en de cameraman geeft ons op verzoek alle originele bronbestanden. En door de modules in ons eigen medewerkers-LMS te plaatsen, kunnen we de voortgang monitoren, leerlijnen maken voor bepaalde rollen en aanvullende producten aanbieden zoals workshops, spreekuren en trainingen.”

Enthousiasme en betrokkenheid

“We komen zoveel betrokkenheid en enthousiasme tegen nu we deze weg zijn ingeslagen. Zo veel collega's die willen helpen, die acteur zijn, meedenken en feedback geven. Wat ook heel goed uitpakt is hoe we nu onze informatiepagina op Sharepoint, onze campagnes, onze posters en de e-learning modules heel sterk met elkaar verbinden. Alles verwijst naar elkaar en versterkt elkaar in één herkenbare huisstijl.” 

Wat heb je eigenlijk nodig aan eigenschappen of vaardigheden als je een awareness-programma in eigen beheer wilt ontwikkelen? 
“Ik kom uit de wereld van onderwijsinnovatie, en die innovatie kan op gespannen voet staan met het beschermende karakter van cyberveiligheid. Je hebt eigenlijk helemaal niet veel inhoudelijke kennis nodig over security en privacy om een goed awarenessprogramma te kunnen maken. Mits je natuurlijk genoeg inhoudelijke experts in het team hebt zitten. Ik zie het juist als een voordeel dat ik een andere achtergrond heb. Je moet continu doorvragen, zo leer je het meest. Als ik het niet snap, snapt de rest van de medewerkers het ook niet, dus leg het me nog maar een keertje uit. Het is belangrijk dat je iemand hebt die durft en netwerkt, die slimme strategieën bedenkt om verschillende doelgroepen in de organisatie te activeren. Ik heb bijvoorbeeld opleidingsmanagers van ICT- en media-opleidingen gevraagd om ambassadeur te worden.” 

Door haar achtergrond merkt ze ook snel wanneer er te veel vaktermen en Engels gebruikt wordt.
“De eerste module heet bijvoorbeeld 'manipulatie en misleiding'. Dat was eerst 'social engineering'. Ik ben heel bewust bezig om Engelse woorden te vereenvoudigen en logisch te maken. Ook is de toon van bestaand awareness-trainingsmateriaal vaak dreigend, terwijl we juist een positieve mindset willen: waar kun je wel mee aan de slag? Maak het klein en toepasbaar op je eigen instelling. Door daar de essentie uit te halen houd je het kort en overzichtelijk.” 

Hobbels op de weg

“Wat ik lastig vind is dat sommige experts graag zoveel mogelijk informatie in 1 module willen stoppen, terwijl we de modules juist kort en behapbaar willen houden. Dat betekent dat je keuzes moet maken welke informatie je in welke module zet. Ik ben heel blij dat we nu tien basistitels hebben en dat was best een puzzel. Het proces voor awareness dat door de SURF Community voor Privacy en Informatiebeveiliging (SCIPR) is ontwikkeld, zorgde voor een logisch stappenplan om te volgen. Als eerste hebben we gekeken naar wat de grootste risico’s zijn. Daarna hebben we aan het Informatie Beveiliging en Privacy (IBP)-team gevraagd welke van de risico’s ze absoluut in de training willen in 2026."

Herkenbare casussen

"Soms werkt het beter om een paar herkenbare casussen uit onze praktijk op te halen en die te behandelen, dan de formele theorie. De collega’s moeten het herkennen en er iets mee kunnen in de praktijk. Als een onderwerp langer dan 6-7 minuten nodig heeft dan delen we het op in kleinere onderwerpen. Ook zijn sommige onderwerpen heel specifiek voor een kleinere doelgroep. Dan wordt het een special, een aparte module voor die ene doelgroep.” 

Beter en veilig samenwerken 

“In de modules geven we concrete adviezen en verwijzen we naar beleid en afspraken. Daardoor verplichten we onszelf om echt goed uit te zoeken hoe het zit in onze eigen omgeving. Wat zijn de beleidsregels en hoe willen we dat medewerkers handelen? Er kan een verschillend beeld zijn vanuit verschillende afdelingen. Dan kan een module pas afgemaakt worden als we een beleidsstuk hebben, of werkafspraken. Of er moet eerst iets geprogrammeerd of aangepast worden aan de IT-kant. Dat vertraagt dan wel, maar die tijd besparen we straks onze vijfduizend collega's. Er komen als het goed is straks minder vragen maar wel meer meldingen over datalekken en phishing. Dat is ook spannend. Het stellen van deze vragen werkt positief: het roept vragen op en zorgt ervoor dat we beter en veilig kunnen samenwerken.” 

Klaar voor productie 

Een groot deel van de modules is inmiddels af. In de loop van 2026 gaan jullie van start met de e- modules. Wat zijn jullie plannen voor de implementatie?

“We hebben een awareness-programma waarin alles met elkaar verbonden is. Er zijn maandcampagnes en maandthema’s die verwijzen naar de pagina cyberveiligheid. Op die pagina verwijzen we weer door naar de juiste e-learning modules die bij die onderwerpen horen. We beginnen met de leidinggevenden, daarna gaan we verder in het college van bestuur en in de verschillende teams. We betrekken veel meer stakeholders dan je aan het begin verwacht, om dit programma tot een succes te maken.” 

Open delen van materiaal 

Voor het ontwikkelen van het materiaal heb je iemand ingehuurd om de video’s te maken bij jullie in huis. Deze video’s deel je via WikiWijs, andere instellingen kunnen de video’s daar ook bekijken en downloaden. Waarom vind je het open delen van materialen belangrijk? 
"Elke onderwijsinstelling werkt met publiek geld. Ik vind het zonde dat elke school dat geld uitgeeft aan hetzelfde soort leermateriaal. Als we allemaal de keuze maken om alleen te betalen voor het ontwikkelen van het materiaal door een ontwikkelaar, en dat materiaal open met elkaar te delen, dan bouwen we met elkaar een voorbeeldbank met goede scripts en video's die iedereen kan gebruiken."

Vervolg 

2026 staat in het teken van de uitrol van de eerste tien modules. Heb je nog meer plannen voor het komende jaar? 
“We willen in maart 2026 de eerste tien basismodules klaar hebben, ook voor onze scholen in het voortgezet onderwijs. Daarna gaan we modules maken die heel specifiek zijn voor medewerkers in bepaalde rollen. Zoals bij de receptie, een conciërge of een medewerker Studentzaken. Ik ben er trots op dat we voor deze aanpak gekozen hebben en ik ben benieuwd naar de reacties.”