Phishing Simulatie & Testen

Elke dag worden Nederlandse medewerkers bestookt met phishingmails die steeds geloofwaardiger worden. Pakketbezorging van een vertrouwde webshop, een urgente melding van de IT-helpdesk, een mailtje dat oogstbetrouwbaar van de directeur komt — de technieken worden verfijnder terwijl de meeste organisaties hun medewerkers alleen met jaarlijkse e-learning modules trainen. Dat is onvoldoende. Phishing is verantwoordelijk voor het merendeel van alle cyberincidenten, en de enige manier om medewerkers echt weerbaar te maken is hen regelmatig te confronteren met realistische aanvallen — in gecontroleerde omstandigheden. Dat is precies wat phishing simulatie doet.

Wat is phishing simulatie en waarom verschilt het van gewone training?

Phishing simulatie is het gecontroleerd versturen van nep-phishingmails naar je eigen medewerkers om te meten wie klikt, wie meldt en wie kwetsbaar is — zonder dat er daadwerkelijk schade ontstaat. Het doel is niet om medewerkers te betrappen of te beschamen, maar om gedrag meetbaar te maken en gericht te verbeteren. Een simulatieprogramma bootst realistische aanvalsscenario's na, van pakketbezorgingsmails tot CEO-fraude, zodat medewerkers leren herkennen wat echt is en wat niet.

Het cruciale verschil met traditionele awareness training ligt in wat er gemeten wordt. Traditionele e-learning meet kennis: haalt een medewerker 80 procent op een toets, dan is de module als geslaagd gemarkeerd. Phishing simulatie meet gedrag: klikt de medewerker daadwerkelijk op een verdachte link als die in zijn inbox terechtkomt op een doordeweekse dinsdag tussen twee vergaderingen? Kennis en gedrag lopen regelmatig uiteen. Onderzoek toont keer op keer aan dat medewerkers die prima scoren op phishing-bewustzijnstoetsen toch klikken als een simulatie hen op het verkeerde moment bereikt met het juiste sociale manipulatiemechanisme.

De twee benaderingen vullen elkaar aan en mogen niet als alternatieven worden beschouwd. Organisaties die simulatie combineren met awareness training zien de sterkste en meest duurzame gedragsverandering. Kennis zonder praktijk beklijft niet; praktijk zonder uitleg frustreert. De meeste volwassen platforms bieden beide als geïntegreerde oplossing, waarbij een klik op een simulatie direct leidt naar een educatieve landingspagina die uitlegt wat er fout ging en hoe je het de volgende keer herkent.

De cijfers zijn overtuigend: van 33 procent naar 4 procent

Het meest geciteerde onderzoek naar phishing simulatie komt van KnowBe4, gebaseerd op data van miljoenen gebruikers wereldwijd. De conclusie is consistent over meerdere jaren: organisaties die starten met simulatie hebben gemiddeld een klikrate van 33,1 procent bij de eerste meting. Na negentig dagen reguliere simulatie daalt dit naar 18,9 procent. Na twaalf maanden stabiliseert de klikrate rond 4,1 procent. Dit is geen eenmalige bevinding maar een patroon dat consistent terugkeert over sectoren, regio's en bedrijfsgroottes heen.

Nederlandse benchmarkdata bevestigt dit beeld. In de gezondheidszorg starten organisaties met klikrates tussen de 28 en 35 procent; na twaalf maanden simulatie liggen deze tussen de 3 en 6 procent. De financiële dienstverlening begint iets lager — tussen 20 en 28 procent — en eindigt na een jaar op 2 tot 5 procent. Overheidsorganisaties vertrekken gemiddeld op 25 tot 32 procent en komen uit op 4 tot 7 procent. Zelfs technologiebedrijven, waarvan medewerkers vaak als meer digitaal onderlegd worden beschouwd, starten op 15 tot 22 procent. Een Nederlands ziekenhuis dat deelnam aan een documentatiestudie illustreert het praktische effect: de klikrate daalde van 28 procent bij de eerste simulatie naar 4 procent na twaalf maanden maandelijkse oefeningen. Tegelijkertijd steeg het meldingspercentage van 12 procent naar 67 procent — medewerkers werden niet alleen minder vatbaar voor aanvallen, maar ook actiever in het signaleren ervan.

De gedragsverandering verloopt in drie herkenbare fasen. In de eerste fase, de eerste drie maanden, ontdekken medewerkers dat zij kwetsbaar zijn. Dit is psychologisch noodzakelijk: de meeste mensen overschatten hun eigen vermogen om phishing te herkennen. De klikrate daalt in deze fase van gemiddeld 33 procent naar circa 19 procent. In de tweede fase, maand drie tot zes, beginnen medewerkers patronen te herkennen en actief te melden. In de derde fase, maand zes tot twaalf, wordt de herkenning automatisch. De klikrate stabiliseert onder de 5 procent en het meldingspercentage stijgt boven de 60 procent. Herhaalde blootstelling aan realistische scenario's bouwt een automatische herkenningsreflex op — vergelijkbaar met hoe brandoefeningen werken.

De financiële onderbouwing van een investering in phishing simulatie is eveneens overtuigend. Osterman Research en Forrester berekenden een ROI van 276 procent over drie jaar voor organisaties die security awareness programma's met phishing simulatie inzetten. Die berekening houdt rekening met lagere incidentkosten, minder downtime, minder forensisch onderzoek en minder reputatieschade. Bij een gemiddelde phishingschade van 14,8 miljoen dollar per organisatie per jaar — een cijfer dat de Ponemon Institute en IBM jaarlijks publiceren — is een investering van 10 tot 80 euro per medewerker verwaarloosbaar. Een organisatie met vijftig medewerkers die 2.000 euro per jaar investeert in simulatie en daarmee de kans op een incident met 50 procent verlaagt, bespaart verwacht 135.000 euro aan schade. De ROI in dat scenario bedraagt 6.650 procent.

Hoe zet je een effectief simulatieprogramma op?

Een phishing simulatieprogramma opzetten vergt meer dan het versturen van nep-mails. Een goed programma begint met een baseline meting: verstuur in week één en twee een eerste simulatie zonder vooraankondiging. Meet de klikrate, de rapporteerrate en het aantal medewerkers dat credentials invoert. Dit is je nulmeting, het vertrekpunt voor alle latere vergelijkingen.

In week drie en vier volgt de awareness kickoff: communiceer de resultaten geanonimiseerd — nooit individueel — en start een basistraining. Leg aan medewerkers en de ondernemingsraad uit waarom het programma bestaat en wat zij kunnen verwachten. Transparantie over het feit dat simulaties worden uitgevoerd zonder te onthullen wanneer ze plaatsvinden is de juridisch correcte aanpak die ook het draagvlak vergroot.

Vanaf maand twee beginnen de doorlopende simulaties. Verstuur maandelijks één à twee campagnes met varierende scenario's. Wissel af tussen urgentiemails, CEO-fraude, pakketbezorging, IT-support en seizoensgebonden thema's als belastingaangifte, Black Friday en vakantieplanning. Varieer ook het kanaal: niet alleen e-mail, maar ook SMS, QR-codes en zelfs voicemailberichten. Gebruik minimaal 8 tot 12 verschillende scenario's per jaar, want als medewerkers dezelfde sjabloon meerdere keren zien, leren ze dat specifieke sjabloon herkennen in plaats van phishing in het algemeen.

Na elke simulatie volgt gerichte opvolging. Medewerkers die klikken krijgen direct een educatieve landingspagina die uitlegt wat er fout ging. Herhaalde klikkers krijgen extra training aangeboden. Medewerkers die melden krijgen positieve bevestiging: dit actieve meldgedrag is de kern van een menselijke firewall en verdient aanmoediging.

Welke KPI's moet je bijhouden?

De klikrate is de meest gebruikte metric, maar zeker niet de enige relevante indicator. Een klikrate van 5 procent met een meldingspercentage van 70 procent is aantoonbaar waardevoller dan een klikrate van 3 procent met een meldingspercentage van 10 procent, omdat het eerste scenario aangeeft dat de meeste medewerkers actief verdachte mails signaleren. De meldingspercentage meet het aantal medewerkers dat verdachte mails actief rapporteert en vormt daarmee de maatstaf voor actieve verdediging. Als doel na twaalf maanden geldt een klikrate onder de 5 procent en een meldingspercentage boven de 60 procent.

Credential invoer is de gevaarlijkste indicator: hoeveel medewerkers voeren daadwerkelijk een wachtwoord in op een nep-inlogpagina? Dit getal moet onder de 1 procent blijven. Tevens is de reactiesnelheid van belang: hoe snel na het verzenden van de simulatie wordt de eerste melding ontvangen? Een tijd tot melding van minder dan vijf minuten geeft aan dat je organisatie snel kan reageren op een echte aanval.

Rapporteer kwartaalcijfers aan het management en de CISO, uitgesplitst naar afdeling en functiegroep. Afdelingshoofden willen hun teamscores zien; IT wil de risicogroepen kennen; het bestuur wil de trend zien over tijd.

Veelgemaakte fouten die het programma ondermijnen

Acht valkuilen komen consistent terug bij organisaties die hun simulatieprogramma evalueren. De eerste is naming and shaming: medewerkers publiekelijk aanspreken op klikgedrag creëert angst in plaats van alertheid. Het resultaat is dat medewerkers verdachte mails niet meer melden uit angst voor negatieve gevolgen. Houd resultaten geanonimiseerd op teamniveau en verwerk opvolging via extra training, nooit via schaamte.

De tweede fout is de eenmalige simulatie. Een enkele phishing test is een momentopname, geen programma. Gedragsverandering vereist herhaalde blootstelling over minimaal twaalf maanden. Organisaties die stoppen na een baseline meting zien hun klikrates binnen drie maanden terugkeren naar het oorspronkelijke niveau.

Management uitsluiten is de derde fout. C-level en directie zijn de meest aantrekkelijke doelwitten voor spear phishing en CEO-fraude. Als het management niet deelneemt aan simulaties, mist de organisatie haar grootste risico en ondermijnt het de geloofwaardigheid van het programma. Medewerkers vragen zich terecht af: als het voor de directie niet hoeft, waarom dan voor ons?

Alleen e-mail simuleren is de vijfde fout. QR-code phishing, ook wel quishing genoemd, steeg met 400 procent in 2023 en 2024. SMS-phishing en voice phishing via deepfake audio nemen eveneens toe. Een programma dat alleen e-mail simuleert, traint medewerkers voor de aanvallen van twee jaar geleden, niet voor de dreigingen van vandaag.

Compliance: NIS2 maakt simulatie verplicht

De Cyberbeveiligingswet, de Nederlandse implementatie van de NIS2-richtlijn, maakt security awareness en training wettelijk verplicht voor ongeveer tienduizend Nederlandse organisaties (Bron: NCSC / Digitale Overheid). Artikel 20, lid 2 stelt dat leden van het bestuur van essentiële en belangrijke entiteiten verplicht zijn een opleiding te volgen en vergelijkbare opleidingen op regelmatige basis aan hun personeel aan te bieden. Phishing simulatie is de meest directe en meetbare invulling van deze verplichting.

Artikel 21, lid 2, sub g verplicht organisaties bovendien tot basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging. Phishing simulatie valt hier direct onder als meetbare basishygiënemaatregel. De combinatie van klikrate en meldingspercentage als KPI's maakt het aantoonbaar dat een organisatie structureel investeert in het verbeteren van menselijk gedrag.

Voor NIS2-compliance geldt een aanbevolen cadans waarbij bestuurders kwartaallijks deelnemen aan simulaties, alle medewerkers maandelijks en klikrates en meldingspercentages maandelijks worden gemeten en kwartaallijks gerapporteerd. Bewaar alle simulatieresultaten minimaal drie jaar. Bij een NIS2-audit moet je kunnen aantonen dat je structureel investeert in security awareness. Een dashboard met twaalf of meer maanden trenddata is het sterkste bewijs.

Phishing simulatie raakt ook aan de AVG: de software registreert wie klikt en wie niet, en dat zijn persoonsgegevens. Je bent verplicht een DPIA uit te voeren voordat je start. Communiceer vooraf aan de ondernemingsraad en medewerkers dat er gesimuleerd wordt — niet wanneer, maar dat het gebeurt. Zorg voor EU-hosting van de simulatiedata en neem de verwerking op in het verwerkingsregister. Lees meer over privacy-compliance bij digitale beveiligingsmaatregelen via onze gids over privacy en data protection.

Selectiecriteria: waar moet een oplossing aan voldoen?

Niet elke phishing simulatieoplossing is gelijk. AI-gestuurde scenario's verdienen de voorkeur boven vaste templates: AI past scenario's aan op basis van functie, afdeling en eerder gedrag van medewerkers. Vaste templates worden na een paar rondes herkend en verliezen hun effectiviteit. Nederlandse taalondersteuning is essentieel voor Nederlandse organisaties — Engelstalige phishing wordt sneller als nep herkend en geeft daardoor een onrealistisch gunstig beeld van de werkelijke kwetsbaarheid.

Een meldknop, ook wel report button, in Outlook of Gmail verlaagt de drempel om te melden en verhoogt het meldingspercentage aanzienlijk. Zonder zo'n knop moeten medewerkers via een omweg melden, wat leidt tot ondermelden. SOC-integratie — een koppeling met je Security Operations Center — zorgt ervoor dat gemelde phishing direct wordt geanalyseerd in plaats van verloren te gaan in een generieke mailbox. Kijk ook naar gamification: leaderboards, badges en scores verhogen de betrokkenheid en zorgen ervoor dat medewerkers actief blijven deelnemen aan het programma.

Vergelijk phishing simulatie ook met verwante oplossingen als security awareness training en social engineering testen. Awareness training legt de kennisbasis, simulatie meet en verbetert gedrag, en social engineering assessments door een red team testen de uiteindelijke weerbaarheid van de organisatie in een realistisch aanvalsscenario.

Trends die het landschap veranderen

Vier ontwikkelingen veranderen phishing simulatie de komende jaren fundamenteel. Ten eerste is 86 procent van alle organisaties in 2024 geconfronteerd met een AI-gestuurd phishingincident. Generatieve AI maakt phishingmails foutloos, gepersonaliseerd en in perfect Nederlands. De traditionele herkenningspunten — spelfouten, een vreemd e-mailadres, een generieke aanhef — verdwijnen. Simulatieprogramma's moeten mee-evolueren: AI-gegenereerde scenario's zijn noodzakelijk om medewerkers te trainen tegen AI-gegenereerde aanvallen.

Ten tweede is quishing — QR-code phishing — met 400 procent gestegen in 2023 en 2024. QR-codes omzeilen traditionele e-mail security filters omdat de URL verborgen zit in een afbeelding. Aanvallers plaatsen kwaadaardige QR-codes in parkeergarages, op posters en in e-mails. Simulatieprogramma's die alleen tekstlinks testen, missen deze groeiende aanvalsvector volledig.

Ten derde is voice phishing met deepfake audio met 1.600 procent gestegen. Aanvallers klonen de stem van een CEO of CFO en bellen medewerkers met urgente betalingsverzoeken. Multi-channel simulatie, inclusief voice en video, wordt de nieuwe standaard voor security awareness programma's.

Ten vierde vervaagt de grens tussen e-mail phishing, smishing, vishing en quishing. Aanvallers combineren kanalen: een e-mail met een QR-code die leidt naar een nep-inlogpagina, gevolgd door een bevestigingstelefoontje. Effectieve simulatieprogramma's trainen medewerkers op alle kanalen, niet alleen e-mail.

Kosten en hoe je de juiste keuze maakt

De kosten van phishing simulatie variëren van 5 euro per medewerker voor een eenmalige test tot 80 euro per medewerker per jaar voor een volledig managed programma met geïntegreerde awareness training. Voor een organisatie met vijftig medewerkers betekent een basisabonnement circa 500 tot 1.250 euro per jaar; een middenweg zit op 1.000 tot 2.000 euro; een managed service komt uit op 1.500 tot 3.000 euro per jaar. Voor organisaties van 100 tot 250 medewerkers lopen de managed service kosten op naar 7.500 tot 15.000 euro per jaar.

Vraag potentiële leveranciers tien concrete vragen: worden scenario's AI-gestuurd aangemaakt of zijn het vaste templates? Ondersteunen jullie Nederlandse en meertalige scenario's? Waar worden mijn data gehost — EU of daarbuiten? Bieden jullie een meldknop voor Outlook en Gmail? Hoe werkt de automatische opvolging na een klik? Ondersteunen jullie multi-channel simulaties inclusief SMS, QR en voice? Welke rapportages zijn beschikbaar voor management en CISO? Hoe integreren jullie met onze bestaande security tooling? Bieden jullie NIS2-compliance documentatie? En wat is de minimale contractduur?

De combinatie van phishing simulatie met bredere cybersecuritymaatregelen zoals endpoint detection en response en email security vormt een gelaagde verdediging waarbij technische controles en menselijk gedrag elkaar versterken. Lees ook over security awareness e-learning platforms als basis voor kennisoverdracht, en over NIS2 compliance begeleiding voor organisaties die hun volledige compliance traject willen structureren.

Phishing simulatie is geen nice-to-have maar een bewezen methode om het grootste aanvalsvlak van elke organisatie — de medewerker — structureel te verkleinen. De data is duidelijk, de ROI is overtuigend en de wetgeving vraagt er om. De vraag is niet óf je een programma opzet, maar wanneer.

Aan de slag: drie stappen om vandaag te beginnen

Wie wil starten met phishing simulatie staat voor drie concrete beslissingen. De eerste is het bepalen van de uitgangssituatie. Hoeveel medewerkers heeft de organisatie? Is er al een vorm van awareness training aanwezig? Bestaat er een meldknop of meldprocedure voor verdachte mails? Kent de organisatie haar huidige klikrate? Als het antwoord op deze vragen nee is of onbekend, begint alles met een baseline meting: een eerste simulatie zonder vooraankondiging die de werkelijke kwetsbaarheid blootlegt.

De tweede stap is het vergelijken van minimaal drie aanbieders. Gebruik daarvoor de tien vragen uit het vorige hoofdstuk als toetsingskader. Let specifiek op Nederlandse taalondersteuning, EU-hosting van gegevens, multi-channel ondersteuning en de kwaliteit van de rapportages. De derde stap is klein beginnen en opschalen: start met maandelijkse e-mailsimulaties voor de hele organisatie. Voeg na drie maanden multi-channel scenario's toe. Bouw na zes maanden naar een volledig awareness programma met simulatie, training en gestructureerde rapportage.

Phishing treft organisaties ongeacht omvang, sector of volwassenheid van de IT-afdeling. De menselijke factor blijft de meest consistente aanvalsvector, en phishing simulatie is de meest directe manier om die factor structureel te verbeteren. Begin vandaag met een baseline meting — en bouw van daaruit een programma dat uw organisatie jaar na jaar weerbaarder maakt.