De bouwstenen voor een goede bewustwordingscampagne


Bewustwording. Een cruciaal onderwerp als het gaat om informatieveiligheid. Want je informatiebeveiliging kan technisch wel in orde zijn, wanneer medewerkers hier niet naar handelen liggen incidenten, zoals datalekken, nog steeds op de loer. Uit de vele krantenkoppen hierover, is af te leiden dat medewerkers vaak, al dan niet onbedoeld, een rol spelen bij het veroorzaken hiervan. Uiteindelijk is de informatiebeveiliging zo sterk als de zwakste schakel,

in dit geval de mens. Kortom, elke gemeente dient te bouwen aan een sterke informatieveilige omgeving, zowel op het vlak van techniek als op het vlak van de mens. Maar wat zijn de bouwstenen voor een goede bewustwordingscampagne?

Vaststellen van focuspunten

Volgens de BIG is bewustwording een randvoorwaarde voor een informatieveilige gemeente. Het is belangrijk dat de gemeente en haar individuele medewerkers de noodzaak voelen en zelf hun verantwoordelijkheid nemen. Om vast te stellen of aan deze randvoorwaarde wordt voldaan, is het meten van het informatieveiligheidsbewustzijn van medewerkers dan ook geen overbodige luxe. Dit kan, voorafgaand aan een bewustwordingscampagne op informatieveiligheidsvlak, worden gedaan door middel van een nulmeting (zie voor een voorbeeld de vragenlijst in de Handreiking Communicatieplan Informatiebeveiliging van de IBD).

Naast dat een nulmeting inzicht biedt in het huidige bewustzijnsniveau van medewerkers, helpen de resultaten ook bij het bepalen van de aandachtspunten tijdens de campagne. Zo kan er voor gekozen worden om meer aandacht te besteden aan onderwerpen waar laag op gescoord wordt. Een bijkomend voordeel van het uitzetten van een nulmeting is dat er na het uitzetten van de bewustwordingscampagne, nogmaals een meting kan worden uitgevoerd (1-meting). Deze resultaten worden vergeleken met de resultaten van de nulmeting. Zo kan worden aangetoond of de campagne gewerkt heeft en of het gewenste resultaat: het verhogen van het bewustwordingsniveau onder de medewerkers gedurende de afgelopen maanden, is behaald.

Plan de campagne

Aan de hand van de analyse en om verdere betrokkenheid te creëren bij alle medewerkers dient er vervolgens een plan de campagne te worden opgesteld voor een campagnematige vervolg- aanpak die gedurende een aantal maanden wordt uitgerold (zie ook de Handreiking Communicatieplan Informatiebeveiliging van de IBD). Met als doel: het bewustzijn van collega’s vergroten en hun gewoontes veranderen. Hierin wordt onder andere de doelstelling, strategie, doelgroep en de activiteitenplanning geformuleerd. Houd tijdens het maken van de activiteitenplanning rekening met het eventueel plaatsvinden van onverwachte gebeurtenissen, zoals een datalek.

Tevens dient er rekening gehouden te worden met de achterliggende doelstelling. Waarom wil je als gemeente dat medewerkers zich meer bewust zijn van hun rol als het gaat om informatieveiligheid? Mogelijke redenen kunnen zijn; het verkrijgen of behouden van een betrouwbaar imago, een streven naar kwaliteitsverbetering of het versterken van de zwakste schakel. Wil je kennis, houding en het gedrag van de medewerkers maximaal bevorderen? Houd het dan niet alleen bij het communiceren van feiten, maar maak ook de vertaalslag naar concrete werksituaties.

En dan.. aan de slag!

Als er een concreet plan de campagne op papier staat, is het tijd om dit om te zetten naar actie. Kortom, aan de slag! Tijdens het uitrollen en implementeren van de campagne is het goed om op een aantal zaken te letten:

  • Zorg voor een concrete boodschap die medewerkers direct kunnen implementeren in hun dagelijkse werkzaamheden. Dus niet ‘Denk meer aan informatieveiligheid tijdens je werk’ maar; ‘Vergrendel altijd je computer, ook als je even koffie gaat halen’.
  • Zorg ervoor dat de toon en vorm van de campagne in dezelfde herkenbare huisstijl is. Dit zorgt voor consistentie en hierdoor is de herkenbaarheid maximaal voor de medewerkers. Herhaling is immers de kracht voor het creëren van alertheid.
  • Zorg dat je gebruik maakt van een mix van communicatiemiddelen. Mensen leren verschillend en onthouden dingen beter als zij een onderwerp op verschillende manieren krijgen aangeboden. Wissel hierin af tussen interactieve middelen, zoals workshops of een game, en middelen die alleen informatie verschaffen, zoals berichten op intranet of een presentatie. Zorg tenslotte dat alle informatie die tijdens de campagne wordt verstrekt, ook op een speciale campagnepagina op intranet beschikbaar zijn, zodat medewerkers hier altijd op terug kunnen vallen.

Randvoorwaarden

Een bewustwordingscampagne kan in theorie nog zo goed in elkaar zitten, er zijn wel een aantal randvoorwaarden waar een goede campagne aan moet voldoen wil je het beoogde resultaat behalen. Allereerst dient er volledige commitment te zijn vanuit het bestuur/management. Zij dienen een positieve houding te hebben ten aanzien van informatiebeveiliging en daarbij ook hun eigen rol en verantwoordelijkheid te nemen. Zo dient informatiebeveiliging opgenomen te worden in beleid en jaarplannen, fungeren bestuur en management als voorbeeld voor de gemeentelijke medewerkers en spreken zij medewerkers aan op ongewenst gedrag. En wellicht voor de hand liggend, maar zeker niet onbelangrijk; de medewerkers moeten beschikken over de vaardigheden om het gewenste gedrag te vertonen en moeten zich ook bewust zijn van het feit dat ze hiertoe in staat zijn.

Huidige campagnes

Momenteel zijn er al veel gemeenten aan de slag met het uitzetten van een bewustwordingscampagne. Zo is de gemeente Eindhoven bezig met een 5-daagse intranetcampagne over informatieveiligheid, heeft de VNG een interne bewustwordingscampagne voor medewerkers ontwikkeld en heeft de gemeente Zwolle een BIG vakantieboek. Benieuwd naar meer bewustwordingscampagnes? Neem dan eens een kijkje op de website van de IBD, voor een overzicht hiervan.

Tot slot, bewustwording moet niet als een eenmalige activiteit worden gezien. Er dient blijvend te worden ingezet op bewustwording bij medewerkers op het gebied van informatieveiligheid.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…

Tijdig betrokken worden als FG

In het kader van de dag van de FG een blog speciaal voor de Functionaris Gegevensbescherming. Formeel is meestal wel vastgelegd dat je als FG ‘tijdig en behoorlijk’ betrokken moet worden, maar in de praktijk word je nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Datalek melden: Hoeveel tijd heb je eigenlijk?

Als een datalek is ontstaan bij een verwerker, wanneer start dan de 72-uurstermijn voor het melden bij de toezichthoudende autoriteit? In onze nieuwe blog onderzoeken we twee visies.