Hoe Stichting VCO bewustwording voor cybersecurity creëert

Martin van den Bor en Elice Boonen, verantwoordelijk voor de bedrijfsvoering en organisatie bij VCO, delen hoe zij medewerkers én leerlingen beschermen tegen cyberdreigingen. 

Bij VCO ligt de focus niet alleen op onderwijs, maar ook op het vergroten van het bewustzijn rondom cyberveiligheid. “De grootste uitdaging is gedragsverandering,” vertelt Martin. “Veel risico’s ontstaan simpelweg doordat mensen onvoldoende kennis of vaardigheden hebben om cyberdreigingen te herkennen en af te wenden.” 

Bij een monitoring door een externe partij, werd duidelijk dat medewerkers meer ondersteuning nodig hadden om cyberveilig te werken. “We merkten bijvoorbeeld dat phishingmails lastig te herkennen waren en dat sommige beveiligingsmaatregelen nog niet vanzelfsprekend waren,” vertelt Elice. “Deze inzichten lieten ons zien dat we moesten investeren in praktische hulpmiddelen en trainingen om onze mensen sterker te maken tegen cyberdreigingen.” 

Creatieve bewustwording 

Om de risico's van menselijke fouten tegen te gaan, besloot VCO de bewustwording op een creatieve manier aan te pakken. “We wilden het niet opleggen, maar ook aantrekkelijk en laagdrempelig maken voor onze medewerkers,” zegt Martin. VCO ontwikkelde een intranetpagina met belangrijke informatie over veilig gegevensbeheer. “We zorgen ervoor dat medewerkers altijd weten waar ze het beleid kunnen raadplegen, en plaatsen regelmatig korte nieuwsberichten om hen op de hoogte te houden van updates,” voegt Elice toe. 

Naast de intranetpagina werden er vragenkaartjes ontworpen die in vergaderruimtes en op verschillende plekken binnen de scholen zichtbaar zijn. Deze kaartjes zijn bedoeld om het gesprek op gang te brengen, bijvoorbeeld tijdens vergaderingen, maar kunnen ook zelfstandig door medewerkers worden gelezen om bewustzijn te vergroten. Ze bevatten vragen zoals ‘Weet jij hoe je persoonsgegevens veilig opslaat?’ of ‘Herken jij een phishingmail?’  

Daarnaast werden er een boekje, informatieposters en een kennisclip ontwikkeld. Deze veelzijdige benadering zorgt voor interactie en houdt de medewerkers voortdurend bewust van de risico’s. Startende leerkrachten hebben aangegeven dat zij deze aanpak als effectief en bewustzijnsverhogend ervaren. 

Chocoladerepen en phishing-simulaties 

VCO maakt van bewustwording geen saaie taak, maar een speelse uitdaging. Tijdens de introductiedag voor nieuwe medewerkers werden chocoladerepen uitgedeeld die meer waren dan een lekkere traktatie. Op de verpakking stonden de grondslagen van de AVG vermeld, samen met een QR-code die verwees naar de intranetpagina over digitale veiligheid. Deze creatieve aanpak combineert lekkers met leren, waardoor medewerkers op een informele manier bewust worden gemaakt van cyberveiligheid. “We maken het niet alleen leerzaam, maar ook aantrekkelijk,” zegt Martin. Dit stimuleert medewerkers om actief deel te nemen aan de campagne en vergroot hun motivatie om zich in te zetten voor digitale veiligheid. 

Daarnaast voert de stichting phishing-simulaties uit via Phished Academy. “Medewerkers ontvangen gesimuleerde phishingmails, en wij monitoren hoe ze hiermee omgaan,” legt Elice uit. “Wanneer we merken dat iemand vaker op phishinglinks klikt, kunnen we hen gericht aanspreken en ondersteunen.” Door deze simulaties leren medewerkers phishingmails beter te herkennen en raken ze meer bewust van hoe ze moeten handelen als ze twijfelen over de betrouwbaarheid van een e-mail.  

Meer alertheid en integrale veiligheid 

De inspanningen beginnen hun vruchten af te werpen, en dit wordt bevestigd door de monitoring via het dashboard dat wordt gebruikt in samenwerking met Phished. Hieruit blijkt niet alleen een toename in alertheid, maar ook inzicht in kwetsbare momenten, zoals direct na vakanties. “We merken dat medewerkers nu veel kritischer zijn bij het openen van links in e-mails,” vertelt Martin. “Ze checken vaker of iets wel veilig is en nemen eerder contact op met de ICT-afdeling als ze twijfelen.” 

De omgang met gevoelige gegevens is ook verbeterd. Medewerkers kijken kritischer naar wie ze gevoelige informatie mailen en nemen contact op wanneer ze iets niet vertrouwen of twijfelen of gegevens gedeeld mogen worden. “We ontvangen bijvoorbeeld vaker berichten of telefoontjes van medewerkers met vragen hierover,” voegt Elice toe. “Tegelijk is er altijd ruimte voor verbetering, maar de bewustwording is inmiddels beter geïntegreerd in de organisatie.” 

Hoewel VCO al belangrijke stappen heeft gezet, zijn ze er nog niet. “We willen deze initiatieven blijven ontwikkelen en verbeteren,” zegt Elice. “Cyberrisico’s veranderen voortdurend, dus we moeten alert blijven en nieuwe methodes vinden om medewerkers bewust te maken.” 

Cybersecurity begint bij jezelf 

De aanpak van VCO laat zien dat bewustwording over cybersecurity en privacy geen saaie taak hoeft te zijn. Door het onderwerp op een toegankelijke en creatieve manier te brengen, worden medewerkers zich beter bewust van de risico’s die ze zelf lopen. Zoals Elice het samenvat: “Je kunt de beste technologie hebben, maar uiteindelijk begint de veiligheid bij de mensen zelf.”  

Met deze aanpak toont VCO Harderwijk-Hierden aan hoe je cybersecurity en AVG-compliance op een praktische en duurzame manier kunt integreren in een onderwijsorganisatie. Het resultaat is een veilige omgeving waarin zowel medewerkers als leerlingen beter beschermd zijn tegen cyberbedreigingen.