Plan-do-check-act: een praktische aanpak voor duurzame cybersecurity awareness
De meeste cyber-awareness-campagnes volgen een bekend ritme: een poster hier, een phishing-simulatie daar en extra activiteiten tijdens de Cybersecuritymaand. Dan eindigt de campagne en gaat iedereen weer over naar de orde van de dag. Dat is de cyclus die Rosanne Pouw, productmanager Awareness & Training bij SURF, wil doorbreken. Met de Plan-Do-Check-Act benadering kan elke instelling awareness verbeteren: praktisch, continu en meetbaar.
Rosanne helpt Nederlandse universiteiten en hogescholen met het verhogen van awareness op het gebied van cybersecurity en privacy. Daarbij koppelt ze cybersecurity aan sociale psychologie. “Om ervoor te zorgen dat awareness-campagnes leiden tot verandering in gedrag moeten we begrijpen hoe onze hersenen werken. Gedragsverandering is een combinatie van mens, proces en techniek.”
"Het is niet realistisch om te denken dat je alle incidenten kunt voorkomen door mensen aan te leren niet op links te klikken. Het is wel realistisch om te geloven dat de mensen die voor je werken, het juiste willen doen. Dat moeten we zo makkelijk en veilig mogelijk voor hen maken."
Dit zijn de pijlers van de Plan-Do-Check-Act (PDCA)-benadering van awareness, die momenteel wordt ontwikkeld door enkele Nederlandse universiteiten en hogescholen samen met SURF.
Voorbij de angst: duurzame bewustwording opbouwen
"Awareness op het gebied van cybersecurity is vaak gebaseerd op angst en dreiging. Daarmee trek je de aandacht. Met voorbeelden van recente incidenten, uitleg wat cybercriminelen met gegevens kunnen doen. Die angst werkt op korte termijn, maar leidt niet tot gedragsverandering op de lange termijn.”
"Instellingen investeren in bewustwordingscampagnes — ze huren consultants in, halen e-learningplatforms in huis, rollen trainingen uit — in de overtuiging dat ze daar veiliger van worden. Maar medewerkers vergeten wat ze geleerd hebben, de risico’s en dreigingen veranderen, en de kortetermijnwinst in security awareness vertaalt zich zelden in blijvende gedragsverandering."
Daarom stelde de awareness-werkgroep van de SURF Community voor Informatiebeveiliging & Privacy de vraag: hoe komen we tot duurzame gedragsverandering?
"Samen hebben we een plan gemaakt voor de lange termijn," zegt Rosanne. "Daarin staan drie vraagstukken centraal: wat kunnen we zelf aan awareness doen binnen onze instellingen, welke vaardigheden hebben we daarvoor nodig, en welke onderdelen kunnen we inkopen of inhuren?"
Stop met mensen te willen veranderen
Rosanne's achtergrond in sociale psychologie vormt hoe zij naar cybersecurity kijkt. Effectieve awareness begint volgens haar met herkennen hoe mensen denken en zich gedragen.
"Onderzoek toont aan dat het menselijk brein in de omgang met technologie veel minder rationeel is dan we vaak denken. We verwachten dat zodra mensen wat het risico is, ze hun gedrag zouden veranderen. Maar als je honger hebt, moe, gestrest of druk bent, gebruik je niet de volledige capaciteit van je hersenen. Je wilt gewoon zo snel mogelijk inloggen, dus dan gebruik je 'welkom123' in plaats van een sterk wachtwoord."
“Strenge regels klinken in theorie misschien goed. Maar in de praktijk volgen mensen de regels niet op of overtreden ze de regels omdat die in de weg zitten. We blijven steeds meer regels toevoegen waar mensen zich aan moeten houden, waarvan sommige elkaar tegenspreken. Daardoor raken mensen overweldigd en geven het op. Ze hebben het gevoel dat ze het nooit goed doen."
"Mensen gebruiken technologie om dingen te doen die hen helpen hun doelen bereiken. Zoals het gebruiken van software die niet door je instelling aangeboden wordt. Medewerkers hebben een functionele vraag: als de IT-afdeling daar geen toegestane tools voor heeft, kijken mensen naar wat er buiten de instelling te vinden is. Ze hebben het gevoel dat de voordelen opwegen tegen de mogelijke schade."
Hou rekening met de menselijke natuur
Bewustwordingsprogramma's moeten daarom meer rekening houden met de menselijke natuur. Dat betekent minder regels, duidelijkere en realistische verwachtingen en systemen die veilig gedrag gemakkelijk maken.
"Je kunt mensen vertellen dat ze niet op links moeten klikken, maar klikken op links hoort bij hun dagelijks werk. Wat kunnen we nog meer doen naast informeren en trainen om de cyberweerbaarheid te verhogen? Informeren en trainen is nog steeds relevant, in combinatie met technische en procedurele maatregelen. Zo voorkom je dat het hele systeem uitvalt als iemand per ongeluk op een phishing-link klikt."
"De sleutel tot effectieve awareness is het complete plaatje te bekijken: de specifieke risico's voor je organisatie, het gedrag dat je verwacht van je medewerkers en studenten, en de risico’s die je kunt oplossen met technische of proceswijzigingen in combinatie met awareness."
PDCA: bewustwording meetbaar en beheersbaar maken
Hier komt het PDCA-model om de hoek kijken. Het model bevat verschillende disciplines en is gericht op continue verbetering. Het biedt awareness-professionals een herkenbare structuur voor het plannen, uitvoeren, evalueren en verbeteren van awareness.
"De PDCA-aanpak is niet een eenmalige activiteit; het laat zien dat je als organisatie continu aan verbetering werkt," legt Rosanne uit. "Het geeft een gestructureerd overzicht van alle vaardigheden en disciplines die nodig zijn om een te groeien in hoe je awareness in je organisatie aanpakt.
Leidinggevenden kennen de PDCA-cyclus waardoor het makkelijker is om stakeholders te overtuigen. Onderdeel van het proces is het meetbaar maken van awareness en cyberveilig gedrag. Het helpt om je awareness-aanpak te onderbouwen met concrete plannen en uitkomsten te tonen."
"Vaak is de grootste hindernis aan anderen uitleggen wat je gaat doen, waarom, hoeveel tijd en moeite het zal kosten en wat het gaat opleveren," zegt Rosanne. "Het PDCA-model definieert welke informatie je nodig hebt om anderen in deze mindset te brengen: niet alleen de leidinggevenden, maar mensen uit alle afdelingen. Want als je alleen over risico's praat zonder uit te leggen welk gedrag je wilt veranderen, zien mensen niet in waarom ze tijd en aandacht in awareness zouden moeten investeren."
Voor awareness-professionals verdeelt het procesmodel het werk in beheersbare stappen: het identificeren van de specifieke risico's waarmee hun instelling wordt geconfronteerd, welk gedrag veranderd moet worden, samenwerking met stakeholders en monitoren wat werkt en wat niet.
“Het is een heel praktisch kader. We hebben gekeken naar de onderdelen die je echt nodig hebt voor effectieve awareness — risicomanagement, gedragsverandering, planning, training en informeren, betrokkenheid van stakeholders, evaluatie — en ze in een logische volgorde geplaatst. Het geeft je structuur en houvast, vooral als je niet weet waar je moet beginnen."
Om dit te ondersteunen ontwikkelt de werkgroep ook templates, oefeningen en voorbeelden. Het materiaal wordt jaarlijks herzien en aangepast, zodat het zich blijft ontwikkelen als een levend, door de community gedragen model.
PDCA in actie: van kleine campagnes tot coördinatie tussen meerdere faculteiten
Sinds het voorjaar van 2025 testen de Erasmus universiteit en Fontys hogeschool het PDCA-model, en er zijn meer instellingen bezig met het adopteren van het model. De resultaten zijn veelbelovend en benadrukken hoe flexibel het model is: geschikt voor zowel kleine interventies en meerjarenstrategieën.
Campagne over infostealer-malware
Toen universiteiten te maken kregen met een golf van malware gericht op het stelen van gegevens, is de PDCA-aanpak gebruikt om een gerichte, op bewijs gebaseerde campagne te plannen.
De universiteiten definieerden twee concrete doelgroepen en bijbehorende gewenst gedrag: personeel en studenten melden verdachte activiteiten, en servicedeskteams volgen nauwkeurig een proces voor het verwijderen van infostealers. Rond deze twee doelen zijn materialen ontwikkeld, met een proces, templates en voorbeelden, die instellingen kunnen aanpassen naar de eigen praktijk.
Deze praktische aanpak maakt duidelijk welke acties nodig zijn, en wat de impact is van awareness activiteiten zoals e-learnings en bijeenkomsten op dit onderwerp.
Coördinatie tussen diverse faculteiten aan de Erasmus Universiteit
Erasmus University gebruikt het PDCA-kader om bewustwording te coördineren tussen meerdere faculteiten met gedecentraliseerde awareness-teams, met aandacht voor hun verschillen.
"De PDCA-structuur is hetzelfde, maar elke faculteit kan beslissen wat voor hen het belangrijkst is en welke acties het meest effectief zijn. Sommige gaan over internationaal onderzoek, andere over gezondheidsgegevens. Het kader brengt ze allemaal op één lijn, maar geeft hun ook de vrijheid om te onderscheiden op basis van hun specifieke risico's."
Een levend model
Het PDCA-model is ontworpen om zich te blijven ontwikkelen. “We hopen dat het een levend model wordt. Ik heb gemerkt dat de PDCA-boodschap echt aanslaat bij mensen. Ze vinden het logisch om op deze manier te werken. Dat zorgt ervoor dat awareness iets wordt waar de hele instelling een beeld bij heeft en aan bijdraagt."
Aan instellingen voor hoger onderwijs die verstrikt zijn in eenmalige campagnes, biedt PDCA iets nieuws: een praktische, mensgerichte manier om van ad-hoc activiteiten naar ingebedde praktijken te gaan, van angst naar empowerment, en van rigide regels naar bewuste veerkracht.
Door van elkaar te leren, kan de menselijke factor in cyberweerbaarheid de sterkste verdediging van de sector worden.
Meer weten over het PDCA-model voor cybersecurity awareness?
Over Rosanne Pouw
Rosanne Pouw is Product Manager Awareness & Training bij SURF. Zij helpt Nederlandse onderzoeks- en onderwijsinstellingen om het beveiligingsbewustzijn te vergroten met de Cybersave Yourself Toolkit.
Ze heeft een MSc in sociale psychologie, een master Public Information Management en een Executive Master Business Administration. Rosanne is lid van de Human Factors in Cyber Security Working Group - ACCSS en heeft bijgedragen aan verschillende publicaties van NCSC-NL over bewustwording, zoals 'Voorbij de e-learning'.
