Waarom bewustwordingscampagnes mislukken


Als het gaat om informatieveiligheid en privacy is en blijft de mens vaak de zwakte schakel. Het is om die reden van belang dat elke gemeentelijke collega doordacht en slim omgaat met informatieveiligheid en privacy. Veel gemeenten zetten hiervoor een bewustwordingscampagne op. Hoe je dit doet, beschreef ik in een eerdere blog ; De bouwstenen voor een goede bewustwordingscampagne. In praktijk blijken veel bewustwordingscampagnes echter niet te werken,

ofwel te ‘mislukken’. Hoe komt dit? In deze blog gaan we in op hoe je bewustwording wel tot een succes maakt.

Waarom bewustwording niet werkt

Op woensdag 11 april woonde ik de IBD-regiobijeenkomst bij in Zwolle. Het onderwerp dat tijdens deze regiobijeenkomst centraal stond was: ‘Waarom bewustwording niet werkt’. Aanleiding voor het onderwerp is de vele berichtgeving, onder andere ook vanuit het Dreigingsbeeld van de IBD, waarbij in het merendeel van de gevallen als het gaat om incidenten op privacy- en informatieveiligheidsvlak, de mens vaak de zwakste schakel is: we klikken op foute links in e-mailberichten, verwarren het AAN-veld met het BCC-veld waardoor mails bij verkeerde personen terecht komen, verliezen laptops en telefoons en we laten onze wachtwoorden slingeren. Het zijn maar een paar voorbeelden waar de gemiddelde mens zich af en toe met zekerheid schuldig aan maakt. Als reactie hierop, en tevens één van de stappen vanuit de AVG, wordt binnen gemeenten een bewustwordingscampagne opgezet. Maar de ene bewustwordingscampagne is de andere niet. Sommige organisaties of directies denken dat je er met een paar posters en banners al bent. Helaas werkt dit in de praktijk toch anders. Bewustwording is namelijk meer dan alleen maar het ‘zenden’ van informatie.

Waar gaat het mis?

Tijdens de regiobijeenkomst werden een aantal redenen besproken waarom het vaak mis gaat met campagnes. Ik zet ze graag nogmaals op een rij met daarbij waarom het vanuit mijn mening precies hierop fout gaat:

  • ‘Campagnes zijn niet in lijn met business risico’s, niet echt herkenbaar’: bij een bewustwordingscampagne is het belangrijk dat het herkenbaar en ‘dichtbij’ is voor collega’s. En de eerste stap hierin is niet anders dan in andere bewustwordingstrajecten: bewustwording van de échte risico’s, hoe ver af ze ook lijken. Kortom, wat wordt ik er beter van? Situaties moeten vergelijkbaar zijn met wat mensen in het echt tegenkomen op de werkvloer maar ook privé.
  • ‘De voortgang noch de waarde voor de organisatie wordt gemeten’: vaak wordt er van alles georganiseerd rondom bewustwording maar wordt er niet gemeten wat het effect is, ofwel of het alertheidsniveau onder collega’s ook daadwerkelijk verhoogd is. Het is uiteraard belangrijk om de kennis en het bijbehorende gedrag te monitoren en te toetsen, zodat de maatregelen, indien gewenst per afdeling of onderwerp, hierop kunnen worden bijgesteld.
  • Onrealistische verwachtingen over menselijk gedrag: Vaak willen we mensen veranderen. En zeker het veranderen van onze gewoontes is helaas niet zo makkelijk als het lijkt. Als mens gedijen we namelijk goed bij gewoontes, dat geeft ons de ruimte om te focussen op de zaken die er echt toe doen en onze aandacht en concentratie nodig hebben. Gewoontes kun je niet zomaar veranderen, wel kun je gewoontes vervangen door nieuwe gewoontes. Al onze huidige gewoontes zijn immers allemaal ook ooit een keer aangeleerd.
  • ‘Onrealistische verwachtingen over campagnes’: vaak heersen er diverse verwachtingen over campagnes. Wat bij de ene gemeente een succes is hoeft bij een andere gemeente niet te werken. Een campagne op maat werkt vaak beter.
  • De juiste skills/personen worden niet gebruikt. Het is belangrijk om de juiste inhoudelijke mensen in huis te hebben. Vaak wordt het onderwerp bewustwording bij de afdeling Communicatie belegd. Zij beschikken niet altijd over de benodigde capaciteit of de benodigde specifieke inhoudelijke kennis aangaande de onderwerpen informatieveiligheid en privacy. Daarnaast spelen bestuur, management en teamleiders een belangrijke rol bij het betrekken van hun medewerkers en het volgen van de voortgang van hun medewerkers. Zij moeten de ‘verandering’ trekken en leiden en het échte gesprek voeren. Daarbij is het belangrijk dat zij in hun leiderschap gevoed worden bij het doorvoeren/-vertalen van de bewustwordingscampagne richting de medewerkers.
  • ‘Bewustwording wordt gezien als achtergrondruis’: We moeten vandaag de dag al zoveel. Daarnaast roept verandering vanzelf een natuurlijke weerstand op bij medewerkers.

Hoe maak je bewustwording wél tot een succes?

Allereerst is het als gemeente belangrijk om na te denken wat je met een campagne wilt bereiken. Doe je het omdat het ‘moet’, zodat je een vinkje kunt zetten bij deze maatregel en kunt laten zien dat je compliant bent? Dan zou ik het vooral bij die paar posters en banners laten. Eén ding is dan wel zeker. Het aantal datalekken zal er niet minder op worden en medewerkers zullen hoogstwaarschijnlijk ook geen ander gedrag gaan vertonen.

Wil je dat de bewustwording echt doordringt bij collega’s, het onderwerp uiteindelijk in de dagelijkse routine van de kern van de organisatiecultuur behoort én leidt tot minder incidenten en dus ook minder schade (zoals bijvoorbeeld boetes)? Dan moet je zorgen voor een blijvende en meetbare gedragsverandering als het gaat om informatieveiligheid en privacy. Waarbij je kunt stellen dat er eigenlijk sprake is van een cultuurverandering binnen een gemeente als het gaat om deze onderwerpen. Een bewustwordingscampagne is namelijk succesvol als het nieuwe gewenste gedrag ingebed is in de organisatie en het gedrag van de medewerkers. Dat betekent dat er nieuwe normen en waarden zijn gecreëerd waardoor medewerkers het normaal vinden dat er op de nieuwe manier gewerkt wordt en elkaar ook (durven) aan (te) spreken als dit niet het geval is. Dat betekent dat mensen niet alleen bewust moeten worden gemaakt (waar de meeste campagnes zich op richten), maar dat mensen ook aangezet moeten worden tot een nieuwe houding en nieuw gedrag (gedragsverandering).

Bewustwording is een continu proces

Een verandering van gedrag is niet een verandering die over één nacht ijs gaat, en zeker niet een verandering die vanzelf gaat. Tijd, aandacht en herhaling van de boodschap (zoals reminders in de werkomgeving) zijn de belangrijkste elementen hierbij. Als organisatie kun je je medewerkers helpen bij het wennen aan de nieuwe houding en het nieuwe gewenste gedrag door ook aandacht te hebben voor de motivatie van de betrokkenen. Ga dus ook de werkvloer op, ga in overleg met de mensen die het nieuwe gedrag moeten vertonen en ontwikkel samen nieuwe ideeën over hoe je hen kunt helpen om tot dit gewenste gedrag te komen. Alleen op die manier krijg je informatieveiligheid en privacy écht in het hart en hoofd van collega’s.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Wat zijn mijn plichten als verwerkingsverantwoordelijke?

Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.

Wachtwoorden beheren? Gebruik een wachtwoordmanager!

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!

Rechten van betrokkenen binnen een gemeentelijke context

Als burger heb je verschillende rechten om controle te houden over je persoonsgegevens – ook wel rechten van betrokkenen genoemd. Maar met welke rechten krijg je als gemeente in de praktijk echt te maken?

CISO versus ISO, wie doet wat?

Binnen de gemeente hebben we de (verplichte) CISO en/of ISO. Maar welke taken horen er nu eigenlijk bij de CISO te liggen en wat zou de ISO moeten doen? Kortom, hoe verhouden deze functies zich tot elkaar en wat zijn de verschillen?

Help! Een dataclassificatie, DPIA en een BIA?!

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA e…

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in