De bouwstenen voor een goede bewustwordingscampagne


Bewustwording. Een cruciaal onderwerp als het gaat om informatieveiligheid. Want je informatiebeveiliging kan technisch wel in orde zijn, wanneer medewerkers hier niet naar handelen liggen incidenten, zoals datalekken, nog steeds op de loer. Uit de vele krantenkoppen hierover, is af te leiden dat medewerkers vaak, al dan niet onbedoeld, een rol spelen bij het veroorzaken hiervan. Uiteindelijk is de informatiebeveiliging zo sterk als de zwakste schakel,

in dit geval de mens. Kortom, elke gemeente dient te bouwen aan een sterke informatieveilige omgeving, zowel op het vlak van techniek als op het vlak van de mens. Maar wat zijn de bouwstenen voor een goede bewustwordingscampagne?

Vaststellen van focuspunten

Volgens de BIG is bewustwording een randvoorwaarde voor een informatieveilige gemeente. Het is belangrijk dat de gemeente en haar individuele medewerkers de noodzaak voelen en zelf hun verantwoordelijkheid nemen. Om vast te stellen of aan deze randvoorwaarde wordt voldaan, is het meten van het informatieveiligheidsbewustzijn van medewerkers dan ook geen overbodige luxe. Dit kan, voorafgaand aan een bewustwordingscampagne op informatieveiligheidsvlak, worden gedaan door middel van een nulmeting (zie voor een voorbeeld de vragenlijst in de Handreiking Communicatieplan Informatiebeveiliging van de IBD).

Naast dat een nulmeting inzicht biedt in het huidige bewustzijnsniveau van medewerkers, helpen de resultaten ook bij het bepalen van de aandachtspunten tijdens de campagne. Zo kan er voor gekozen worden om meer aandacht te besteden aan onderwerpen waar laag op gescoord wordt. Een bijkomend voordeel van het uitzetten van een nulmeting is dat er na het uitzetten van de bewustwordingscampagne, nogmaals een meting kan worden uitgevoerd (1-meting). Deze resultaten worden vergeleken met de resultaten van de nulmeting. Zo kan worden aangetoond of de campagne gewerkt heeft en of het gewenste resultaat: het verhogen van het bewustwordingsniveau onder de medewerkers gedurende de afgelopen maanden, is behaald.

Plan de campagne

Aan de hand van de analyse en om verdere betrokkenheid te creëren bij alle medewerkers dient er vervolgens een plan de campagne te worden opgesteld voor een campagnematige vervolg- aanpak die gedurende een aantal maanden wordt uitgerold (zie ook de Handreiking Communicatieplan Informatiebeveiliging van de IBD). Met als doel: het bewustzijn van collega’s vergroten en hun gewoontes veranderen. Hierin wordt onder andere de doelstelling, strategie, doelgroep en de activiteitenplanning geformuleerd. Houd tijdens het maken van de activiteitenplanning rekening met het eventueel plaatsvinden van onverwachte gebeurtenissen, zoals een datalek.

Tevens dient er rekening gehouden te worden met de achterliggende doelstelling. Waarom wil je als gemeente dat medewerkers zich meer bewust zijn van hun rol als het gaat om informatieveiligheid? Mogelijke redenen kunnen zijn; het verkrijgen of behouden van een betrouwbaar imago, een streven naar kwaliteitsverbetering of het versterken van de zwakste schakel. Wil je kennis, houding en het gedrag van de medewerkers maximaal bevorderen? Houd het dan niet alleen bij het communiceren van feiten, maar maak ook de vertaalslag naar concrete werksituaties.

En dan.. aan de slag!

Als er een concreet plan de campagne op papier staat, is het tijd om dit om te zetten naar actie. Kortom, aan de slag! Tijdens het uitrollen en implementeren van de campagne is het goed om op een aantal zaken te letten:

  • Zorg voor een concrete boodschap die medewerkers direct kunnen implementeren in hun dagelijkse werkzaamheden. Dus niet ‘Denk meer aan informatieveiligheid tijdens je werk’ maar; ‘Vergrendel altijd je computer, ook als je even koffie gaat halen’.
  • Zorg ervoor dat de toon en vorm van de campagne in dezelfde herkenbare huisstijl is. Dit zorgt voor consistentie en hierdoor is de herkenbaarheid maximaal voor de medewerkers. Herhaling is immers de kracht voor het creëren van alertheid.
  • Zorg dat je gebruik maakt van een mix van communicatiemiddelen. Mensen leren verschillend en onthouden dingen beter als zij een onderwerp op verschillende manieren krijgen aangeboden. Wissel hierin af tussen interactieve middelen, zoals workshops of een game, en middelen die alleen informatie verschaffen, zoals berichten op intranet of een presentatie. Zorg tenslotte dat alle informatie die tijdens de campagne wordt verstrekt, ook op een speciale campagnepagina op intranet beschikbaar zijn, zodat medewerkers hier altijd op terug kunnen vallen.

Randvoorwaarden

Een bewustwordingscampagne kan in theorie nog zo goed in elkaar zitten, er zijn wel een aantal randvoorwaarden waar een goede campagne aan moet voldoen wil je het beoogde resultaat behalen. Allereerst dient er volledige commitment te zijn vanuit het bestuur/management. Zij dienen een positieve houding te hebben ten aanzien van informatiebeveiliging en daarbij ook hun eigen rol en verantwoordelijkheid te nemen. Zo dient informatiebeveiliging opgenomen te worden in beleid en jaarplannen, fungeren bestuur en management als voorbeeld voor de gemeentelijke medewerkers en spreken zij medewerkers aan op ongewenst gedrag. En wellicht voor de hand liggend, maar zeker niet onbelangrijk; de medewerkers moeten beschikken over de vaardigheden om het gewenste gedrag te vertonen en moeten zich ook bewust zijn van het feit dat ze hiertoe in staat zijn.

Huidige campagnes

Momenteel zijn er al veel gemeenten aan de slag met het uitzetten van een bewustwordingscampagne. Zo is de gemeente Eindhoven bezig met een 5-daagse intranetcampagne over informatieveiligheid, heeft de VNG een interne bewustwordingscampagne voor medewerkers ontwikkeld en heeft de gemeente Zwolle een BIG vakantieboek. Benieuwd naar meer bewustwordingscampagnes? Neem dan eens een kijkje op de website van de IBD, voor een overzicht hiervan.

Tot slot, bewustwording moet niet als een eenmalige activiteit worden gezien. Er dient blijvend te worden ingezet op bewustwording bij medewerkers op het gebied van informatieveiligheid.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Gemeentelijke privacy: Een blik achter de schermen

De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de…

Hoe zet je Artificial Intelligence (AI) succesvol in?

Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog

Een DPIA uitgevoerd en dan?

Voor gegevensverwerkingen met een hoog privacyrisico geldt dat je een DPIA moet uitvoeren. Maar wat doe je met de uitkomsten van een DPIA en hoe zorg je ervoor dat een DPIA geen eenmalige actie is maar over een bepaalde tijd herhaald wordt?

Hoe krijg je informatiebeveiliging op de bestuurstafel?

Het ambtelijk bestuur is eindverantwoordelijk voor informatiebeveiliging. Het is dus belangrijk dat zij een goed beeld hebben van de risico’s die informatiebeveiliging met zich mee brengt. Maar hoe krijg je als lijnmanager of CISO informatiebeveil…

Hoe voer je een DPIA uit?

Het uitvoeren van een DPIA is soms niet eenvoudig. In deze blog lees je daarom wat een DPIA precies is, wanneer je een DPIA uitvoert en welke stappen daarbij worden doorlopen.

Klaar voor actie: De rol van workshops in het voorbereiden van calamiteitenteams

Het uitvallen van belangrijke ICT-voorzieningen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de BIO is het inrichten van bedrijfscontinuïteit daarom verplicht. Maar wat is bedrijfscontinuïteit precies en hoe zorg je d…