Prøv vores prisberegner
Prisberegner
juni 5, 2026

KPI’er for phishing tests: Sådan måler I succes uden at skabe skyld

Phishing tests kan give værdifuld viden om, hvordan medarbejdere reagerer på falske mails. Men hvis testen kun handler om, hvem der klikker, kan den hurtigt skabe skyld, modstand og utryghed…

Phishing tests kan give værdifuld viden om, hvordan medarbejdere reagerer på falske mails. Men hvis testen kun handler om, hvem der klikker, kan den hurtigt skabe skyld, modstand og utryghed i arbejdsmiljøet.

Derfor bør succes i phishing tests måles bredere. Klikraten er vigtig, men den fortæller ikke hele historien. Det er lige så vigtigt at se på rapportering, læring, forbedring over tid og om medarbejderne bliver mere trygge ved at reagere korrekt.

Vi hjælper virksomheder med at gøre phishing tests læringsorienterede. Med realistiske testmails, øjeblikkelig feedback og rapportering kan I følge udviklingen uden at gøre medarbejderne til problemet.

Hvorfor skal phishing tests måles?

Phishing tests gør medarbejderadfærd mere konkret.

I stedet for kun at tale om risiko kan virksomheden se:

  • hvordan medarbejdere reagerer på realistiske mails
  • hvilke mailtyper der skaber flest klik
  • om awareness træning virker
  • hvor der er behov for opfølgning
  • hvordan udviklingen ser ud over tid
  • om indsatsen kan dokumenteres

For ledelsen giver det et bedre risikobillede. For IT giver det data til opfølgning. For HR giver det et grundlag for læring og onboarding. For compliance giver det dokumentation.

Phishing tests bør ikke handle om skyld

En phishing test bør ikke bruges til at udstille medarbejdere. Hvis medarbejdere føler sig fanget eller udskammet, kan det skade sikkerhedskulturen. De kan blive mindre tilbøjelige til at rapportere mistænkelige mails eller spørge om hjælp, når de er i tvivl.

Derfor bør phishing tests bruges til:

  • læring
  • feedback
  • forbedring
  • rapportering
  • dokumentation
  • fælles sikkerhedskultur

Med SecureFirst får medarbejderen øjeblikkelig feedback, hvis der bliver klikket i en testmail. Feedbacken forklarer, hvilke faresignaler mailen indeholdt, og hvad medarbejderen bør gøre næste gang. Det gør testen til en læringssituation i stedet for en skyldøvelse.

5 KPI’er du bør måle efter

Phishing tests handler ikke kun om klikraten. Klikraten er ofte det første tal, virksomheder kigger på. Det er et relevant nøgletal, men det er ikke nok. En høj klikrate kan vise, at der er behov for mere træning. En lav klikrate kan vise fremgang. Men tallet fortæller ikke hele historien. Her er 5 KPI’er, I bør måle efter for at få et mere retvisende billede af, om jeres phishing tests faktisk styrker medarbejdernes adfærd og virksomhedens sikkerhedskultur.

KPI 1: Klikrate over tid

Klikraten viser, hvor mange medarbejdere der klikker på et link i en phishing test. Det er et vigtigt tal, fordi det giver et første indblik i, hvor sårbar organisationen er over for bestemte typer mails. Men klikraten bør altid måles over tid. En enkelt test kan være påvirket af mailens emne, sværhedsgrad eller timing. Det interessante er udviklingen. Hvis klikraten falder over flere tests, tyder det på, at medarbejderne bliver bedre til at stoppe op og vurdere mails, før de klikker. I vores platform kan I følge klikrater løbende og se, om træningen skaber fremdrift.

KPI 2: Rapporteringsrate

En medarbejder, der opdager og rapporterer en mistænkelig mail, er en styrke for virksomheden. Derfor bør I ikke kun måle fejl. I bør også måle den rigtige adfærd. Rapporteringsraten viser, hvor mange medarbejdere der aktivt melder en mistænkelig mail videre til IT eller den ansvarlige sikkerhedsfunktion. Det er en vigtig KPI, fordi phishing ikke kun handler om at undgå klik. Det handler også om at reagere korrekt, når noget virker mistænkeligt. Hvis rapporteringsraten stiger, er det et tegn på, at medarbejderne bliver mere opmærksomme og mere trygge ved at handle.

KPI 3: Gentagne klik

Det er normalt, at medarbejdere kan klikke i en phishing test. Det bør ikke bruges til at udstille enkeltpersoner. Men det er relevant at se på, om samme typer fejl gentager sig. Gentagne klik kan vise, hvor der er behov for mere målrettet træning. Det kan være bestemte mailtyper, afdelinger eller arbejdssituationer, der skaber særlig risiko. Her er det vigtigt at bruge data konstruktivt. Målet er ikke at finde syndebukke, men at forstå, hvor træningen skal styrkes.

Med vores platform kan I følge mønstre i phishing tests og bruge indsigterne til at tilpasse awareness træningen.

KPI 4: Gennemførsel af awareness træning

Phishing tests viser, hvordan medarbejdere reagerer i praksis. Awareness træning giver dem viden om, hvordan de bør reagere. Derfor bør gennemførsel af awareness træning også være en central KPI. Hvis mange medarbejdere ikke gennemfører træningen, er det svært at forvente varig adfærdsændring.

I bør måle:

  • hvor mange der gennemfører træningen
  • hvor hurtigt de gennemfører den
  • hvordan de klarer quizzer
  • om gennemført træning påvirker klikraten
  • hvilke afdelinger der mangler opfølgning

KPI 5: Forbedring efter feedback

En god phishing test stopper ikke ved klik. Den bør give medarbejderen konkret feedback, så fejlen bliver omsat til læring. Derfor bør I måle, om medarbejdere og teams forbedrer sig efter feedback. Hvis en afdeling klikker meget i én test, men klarer sig bedre efter målrettet træning og forklaring, er det et stærkt tegn på effekt. 

Vores platform fremhæver øjeblikkelig feedback som en vigtig del af phishing simulation. Når medarbejderen får forklaret faresignalerne med det samme, bliver læringen mere konkret og lettere at huske næste gang.

Hvad bør ledelsen se i rapporterne?

Ledelsen har sjældent brug for tekniske detaljer. Den har brug for overblik, udvikling og klare næste skridt.

En god rapport bør vise:

  • samlet klikrate
  • udvikling siden sidste test
  • rapporteringsrate
  • gennemført awareness træning
  • særligt udsatte mailtyper
  • afdelinger med behov for opfølgning
  • anbefalede næste handlinger

Med vores platform kan I bruge rapporter til at dokumentere fremdrift over for ledelse, bestyrelse, kunder, forsikring eller compliance-ansvarlige.

Undgå disse fejl i målingen

Virksomheder bør undgå at:

  • måle kun på klikrate
  • udstille medarbejdere med navne
  • bruge testen som kontrol frem for læring
  • undlade feedback
  • gennemføre test uden opfølgning
  • ignorere rapporteringsrate
  • sammenligne afdelinger uden kontekst
  • springe awareness træning over

Phishing tests skaber størst værdi, når de bruges til at forstå adfærd og forbedre træningen.

Sådan kommer I i gang

En god proces kan se sådan ud:

  1. Definér formålet med jeres phishing tests.
  2. Informér medarbejderne om, at formålet er læring.
  3. Gennemfør realistiske, men sikre testmails.
  4. Giv feedback med det samme ved klik.
  5. Mål klikrate, rapportering og udvikling over tid.
  6. Kombinér resultaterne med awareness træning.
  7. Brug rapporterne til at dokumentere fremdrift.

Vi hjælper jer med at samle disse trin i én platform, så phishing tests bliver lettere at gennemføre, følge op på og dokumentere.

Mål udvikling 

Phishing tests skaber størst værdi, når de bruges til læring og forbedring. Klikraten er vigtig, men den bør aldrig stå alene. Virksomheder bør også måle rapportering, gentagne klik, gennemførsel af awareness-træning og forbedring efter feedback.

Når målingen bruges konstruktivt, bliver phishing tests et værktøj til at styrke medarbejdernes adfærd og virksomhedens sikkerhedskultur.

Med vores platform kan I samle phishing simulation, awareness-træning og rapportering i én platform. Det gør det lettere at gennemføre tests, give medarbejdere feedback og dokumentere fremdrift over tid uden at gøre medarbejderne til problemet.

Prøv en gratis phishing simulation

Se SecureFirsts awareness-træning

Dion Grydell

Introduktionsmøde – SecureFirst

Book en demoRing op

Spørgsmål?

Har du nogen spørgsmål er du altid velkommen til at kontakte os enten via telefon eller ved at sende os en mail.  

Kontakt