Skip to main content

De bouwstenen voor een goede bewustwordingscampagne


Bewustwording. Een cruciaal onderwerp als het gaat om informatieveiligheid. Want je informatiebeveiliging kan technisch wel in orde zijn, wanneer medewerkers hier niet naar handelen liggen incidenten, zoals datalekken, nog steeds op de loer. Uit de vele krantenkoppen hierover, is af te leiden dat medewerkers vaak, al dan niet onbedoeld, een rol spelen bij het veroorzaken hiervan. Uiteindelijk is de informatiebeveiliging zo sterk als de zwakste schakel,

in dit geval de mens. Kortom, elke gemeente dient te bouwen aan een sterke informatieveilige omgeving, zowel op het vlak van techniek als op het vlak van de mens. Maar wat zijn de bouwstenen voor een goede bewustwordingscampagne?

Vaststellen van focuspunten

Volgens de BIG is bewustwording een randvoorwaarde voor een informatieveilige gemeente. Het is belangrijk dat de gemeente en haar individuele medewerkers de noodzaak voelen en zelf hun verantwoordelijkheid nemen. Om vast te stellen of aan deze randvoorwaarde wordt voldaan, is het meten van het informatieveiligheidsbewustzijn van medewerkers dan ook geen overbodige luxe. Dit kan, voorafgaand aan een bewustwordingscampagne op informatieveiligheidsvlak, worden gedaan door middel van een nulmeting (zie voor een voorbeeld de vragenlijst in de Handreiking Communicatieplan Informatiebeveiliging van de IBD).

Naast dat een nulmeting inzicht biedt in het huidige bewustzijnsniveau van medewerkers, helpen de resultaten ook bij het bepalen van de aandachtspunten tijdens de campagne. Zo kan er voor gekozen worden om meer aandacht te besteden aan onderwerpen waar laag op gescoord wordt. Een bijkomend voordeel van het uitzetten van een nulmeting is dat er na het uitzetten van de bewustwordingscampagne, nogmaals een meting kan worden uitgevoerd (1-meting). Deze resultaten worden vergeleken met de resultaten van de nulmeting. Zo kan worden aangetoond of de campagne gewerkt heeft en of het gewenste resultaat: het verhogen van het bewustwordingsniveau onder de medewerkers gedurende de afgelopen maanden, is behaald.

Plan de campagne

Aan de hand van de analyse en om verdere betrokkenheid te creëren bij alle medewerkers dient er vervolgens een plan de campagne te worden opgesteld voor een campagnematige vervolg- aanpak die gedurende een aantal maanden wordt uitgerold (zie ook de Handreiking Communicatieplan Informatiebeveiliging van de IBD). Met als doel: het bewustzijn van collega’s vergroten en hun gewoontes veranderen. Hierin wordt onder andere de doelstelling, strategie, doelgroep en de activiteitenplanning geformuleerd. Houd tijdens het maken van de activiteitenplanning rekening met het eventueel plaatsvinden van onverwachte gebeurtenissen, zoals een datalek.

Tevens dient er rekening gehouden te worden met de achterliggende doelstelling. Waarom wil je als gemeente dat medewerkers zich meer bewust zijn van hun rol als het gaat om informatieveiligheid? Mogelijke redenen kunnen zijn; het verkrijgen of behouden van een betrouwbaar imago, een streven naar kwaliteitsverbetering of het versterken van de zwakste schakel. Wil je kennis, houding en het gedrag van de medewerkers maximaal bevorderen? Houd het dan niet alleen bij het communiceren van feiten, maar maak ook de vertaalslag naar concrete werksituaties.

En dan.. aan de slag!

Als er een concreet plan de campagne op papier staat, is het tijd om dit om te zetten naar actie. Kortom, aan de slag! Tijdens het uitrollen en implementeren van de campagne is het goed om op een aantal zaken te letten:

  • Zorg voor een concrete boodschap die medewerkers direct kunnen implementeren in hun dagelijkse werkzaamheden. Dus niet ‘Denk meer aan informatieveiligheid tijdens je werk’ maar; ‘Vergrendel altijd je computer, ook als je even koffie gaat halen’.
  • Zorg ervoor dat de toon en vorm van de campagne in dezelfde herkenbare huisstijl is. Dit zorgt voor consistentie en hierdoor is de herkenbaarheid maximaal voor de medewerkers. Herhaling is immers de kracht voor het creëren van alertheid.
  • Zorg dat je gebruik maakt van een mix van communicatiemiddelen. Mensen leren verschillend en onthouden dingen beter als zij een onderwerp op verschillende manieren krijgen aangeboden. Wissel hierin af tussen interactieve middelen, zoals workshops of een game, en middelen die alleen informatie verschaffen, zoals berichten op intranet of een presentatie. Zorg tenslotte dat alle informatie die tijdens de campagne wordt verstrekt, ook op een speciale campagnepagina op intranet beschikbaar zijn, zodat medewerkers hier altijd op terug kunnen vallen.

Randvoorwaarden

Een bewustwordingscampagne kan in theorie nog zo goed in elkaar zitten, er zijn wel een aantal randvoorwaarden waar een goede campagne aan moet voldoen wil je het beoogde resultaat behalen. Allereerst dient er volledige commitment te zijn vanuit het bestuur/management. Zij dienen een positieve houding te hebben ten aanzien van informatiebeveiliging en daarbij ook hun eigen rol en verantwoordelijkheid te nemen. Zo dient informatiebeveiliging opgenomen te worden in beleid en jaarplannen, fungeren bestuur en management als voorbeeld voor de gemeentelijke medewerkers en spreken zij medewerkers aan op ongewenst gedrag. En wellicht voor de hand liggend, maar zeker niet onbelangrijk; de medewerkers moeten beschikken over de vaardigheden om het gewenste gedrag te vertonen en moeten zich ook bewust zijn van het feit dat ze hiertoe in staat zijn.

Huidige campagnes

Momenteel zijn er al veel gemeenten aan de slag met het uitzetten van een bewustwordingscampagne. Zo is de gemeente Eindhoven bezig met een 5-daagse intranetcampagne over informatieveiligheid, heeft de VNG een interne bewustwordingscampagne voor medewerkers ontwikkeld en heeft de gemeente Zwolle een BIG vakantieboek. Benieuwd naar meer bewustwordingscampagnes? Neem dan eens een kijkje op de website van de IBD, voor een overzicht hiervan.

Tot slot, bewustwording moet niet als een eenmalige activiteit worden gezien. Er dient blijvend te worden ingezet op bewustwording bij medewerkers op het gebied van informatieveiligheid.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

BCM-routekaart voor gemeenten

Met een goed geïmplementeerd BCM-systeem ben je als organisatie beter voorbereid, waardoor je sneller en effectiever kunt reageren op verstoringen.

Inzicht in je risico’s: onmisbaar voor elke gemeente

In de digitale wereld is het beschermen van informatie en het beheren van risico’s cruciaal, ook voor gemeenten. Waarom dit belangrijk is en hoe je dit aanpakt, lees je in deze blog.

Rapportage Datalekken AP 2023

Te veel organisaties in Nederland die worden getroffen door een cyberaanval, waarschuwen betrokkenen niet dat hun gegevens in verkeerde handen zijn gevallen’. Dit blijkt uit het jaarlijkse overzicht van datalekmeldingen in Nederland van de Autorit…

Wat is de rol van de Privacy Officer bij BCM?

Het is belangrijk dat de dienstverlening van de gemeente altijd doorgaat, ook in het geval van een incident of calamiteit. Dit noemen we bedrijfscontinuïteit. Nu is de vraag: wat is de rol van de Privacy Officer hierbij? Is dat alleen om de wet na…

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…