Waarom bewustwordingscampagnes mislukken


Als het gaat om informatieveiligheid en privacy is en blijft de mens vaak de zwakte schakel. Het is om die reden van belang dat elke gemeentelijke collega doordacht en slim omgaat met informatieveiligheid en privacy. Veel gemeenten zetten hiervoor een bewustwordingscampagne op. Hoe je dit doet, beschreef ik in een eerdere blog ; De bouwstenen voor een goede bewustwordingscampagne. In praktijk blijken veel bewustwordingscampagnes echter niet te werken,

ofwel te ‘mislukken’. Hoe komt dit? In deze blog gaan we in op hoe je bewustwording wel tot een succes maakt.

Waarom bewustwording niet werkt

Op woensdag 11 april woonde ik de IBD-regiobijeenkomst bij in Zwolle. Het onderwerp dat tijdens deze regiobijeenkomst centraal stond was: ‘Waarom bewustwording niet werkt’. Aanleiding voor het onderwerp is de vele berichtgeving, onder andere ook vanuit het Dreigingsbeeld van de IBD, waarbij in het merendeel van de gevallen als het gaat om incidenten op privacy- en informatieveiligheidsvlak, de mens vaak de zwakste schakel is: we klikken op foute links in e-mailberichten, verwarren het AAN-veld met het BCC-veld waardoor mails bij verkeerde personen terecht komen, verliezen laptops en telefoons en we laten onze wachtwoorden slingeren. Het zijn maar een paar voorbeelden waar de gemiddelde mens zich af en toe met zekerheid schuldig aan maakt. Als reactie hierop, en tevens één van de stappen vanuit de AVG, wordt binnen gemeenten een bewustwordingscampagne opgezet. Maar de ene bewustwordingscampagne is de andere niet. Sommige organisaties of directies denken dat je er met een paar posters en banners al bent. Helaas werkt dit in de praktijk toch anders. Bewustwording is namelijk meer dan alleen maar het ‘zenden’ van informatie.

Waar gaat het mis?

Tijdens de regiobijeenkomst werden een aantal redenen besproken waarom het vaak mis gaat met campagnes. Ik zet ze graag nogmaals op een rij met daarbij waarom het vanuit mijn mening precies hierop fout gaat:

  • ‘Campagnes zijn niet in lijn met business risico’s, niet echt herkenbaar’: bij een bewustwordingscampagne is het belangrijk dat het herkenbaar en ‘dichtbij’ is voor collega’s. En de eerste stap hierin is niet anders dan in andere bewustwordingstrajecten: bewustwording van de échte risico’s, hoe ver af ze ook lijken. Kortom, wat wordt ik er beter van? Situaties moeten vergelijkbaar zijn met wat mensen in het echt tegenkomen op de werkvloer maar ook privé.
  • ‘De voortgang noch de waarde voor de organisatie wordt gemeten’: vaak wordt er van alles georganiseerd rondom bewustwording maar wordt er niet gemeten wat het effect is, ofwel of het alertheidsniveau onder collega’s ook daadwerkelijk verhoogd is. Het is uiteraard belangrijk om de kennis en het bijbehorende gedrag te monitoren en te toetsen, zodat de maatregelen, indien gewenst per afdeling of onderwerp, hierop kunnen worden bijgesteld.
  • Onrealistische verwachtingen over menselijk gedrag: Vaak willen we mensen veranderen. En zeker het veranderen van onze gewoontes is helaas niet zo makkelijk als het lijkt. Als mens gedijen we namelijk goed bij gewoontes, dat geeft ons de ruimte om te focussen op de zaken die er echt toe doen en onze aandacht en concentratie nodig hebben. Gewoontes kun je niet zomaar veranderen, wel kun je gewoontes vervangen door nieuwe gewoontes. Al onze huidige gewoontes zijn immers allemaal ook ooit een keer aangeleerd.
  • ‘Onrealistische verwachtingen over campagnes’: vaak heersen er diverse verwachtingen over campagnes. Wat bij de ene gemeente een succes is hoeft bij een andere gemeente niet te werken. Een campagne op maat werkt vaak beter.
  • De juiste skills/personen worden niet gebruikt. Het is belangrijk om de juiste inhoudelijke mensen in huis te hebben. Vaak wordt het onderwerp bewustwording bij de afdeling Communicatie belegd. Zij beschikken niet altijd over de benodigde capaciteit of de benodigde specifieke inhoudelijke kennis aangaande de onderwerpen informatieveiligheid en privacy. Daarnaast spelen bestuur, management en teamleiders een belangrijke rol bij het betrekken van hun medewerkers en het volgen van de voortgang van hun medewerkers. Zij moeten de ‘verandering’ trekken en leiden en het échte gesprek voeren. Daarbij is het belangrijk dat zij in hun leiderschap gevoed worden bij het doorvoeren/-vertalen van de bewustwordingscampagne richting de medewerkers.
  • ‘Bewustwording wordt gezien als achtergrondruis’: We moeten vandaag de dag al zoveel. Daarnaast roept verandering vanzelf een natuurlijke weerstand op bij medewerkers.

Hoe maak je bewustwording wél tot een succes?

Allereerst is het als gemeente belangrijk om na te denken wat je met een campagne wilt bereiken. Doe je het omdat het ‘moet’, zodat je een vinkje kunt zetten bij deze maatregel en kunt laten zien dat je compliant bent? Dan zou ik het vooral bij die paar posters en banners laten. Eén ding is dan wel zeker. Het aantal datalekken zal er niet minder op worden en medewerkers zullen hoogstwaarschijnlijk ook geen ander gedrag gaan vertonen.

Wil je dat de bewustwording echt doordringt bij collega’s, het onderwerp uiteindelijk in de dagelijkse routine van de kern van de organisatiecultuur behoort én leidt tot minder incidenten en dus ook minder schade (zoals bijvoorbeeld boetes)? Dan moet je zorgen voor een blijvende en meetbare gedragsverandering als het gaat om informatieveiligheid en privacy. Waarbij je kunt stellen dat er eigenlijk sprake is van een cultuurverandering binnen een gemeente als het gaat om deze onderwerpen. Een bewustwordingscampagne is namelijk succesvol als het nieuwe gewenste gedrag ingebed is in de organisatie en het gedrag van de medewerkers. Dat betekent dat er nieuwe normen en waarden zijn gecreëerd waardoor medewerkers het normaal vinden dat er op de nieuwe manier gewerkt wordt en elkaar ook (durven) aan (te) spreken als dit niet het geval is. Dat betekent dat mensen niet alleen bewust moeten worden gemaakt (waar de meeste campagnes zich op richten), maar dat mensen ook aangezet moeten worden tot een nieuwe houding en nieuw gedrag (gedragsverandering).

Bewustwording is een continu proces

Een verandering van gedrag is niet een verandering die over één nacht ijs gaat, en zeker niet een verandering die vanzelf gaat. Tijd, aandacht en herhaling van de boodschap (zoals reminders in de werkomgeving) zijn de belangrijkste elementen hierbij. Als organisatie kun je je medewerkers helpen bij het wennen aan de nieuwe houding en het nieuwe gewenste gedrag door ook aandacht te hebben voor de motivatie van de betrokkenen. Ga dus ook de werkvloer op, ga in overleg met de mensen die het nieuwe gedrag moeten vertonen en ontwikkel samen nieuwe ideeën over hoe je hen kunt helpen om tot dit gewenste gedrag te komen. Alleen op die manier krijg je informatieveiligheid en privacy écht in het hart en hoofd van collega’s.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…

Tijdig betrokken worden als FG

In het kader van de dag van de FG een blog speciaal voor de Functionaris Gegevensbescherming. Formeel is meestal wel vastgelegd dat je als FG ‘tijdig en behoorlijk’ betrokken moet worden, maar in de praktijk word je nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Datalek melden: Hoeveel tijd heb je eigenlijk?

Als een datalek is ontstaan bij een verwerker, wanneer start dan de 72-uurstermijn voor het melden bij de toezichthoudende autoriteit? In onze nieuwe blog onderzoeken we twee visies.