Skip to main content

Waarom bewustwordingscampagnes mislukken


Als het gaat om informatieveiligheid en privacy is en blijft de mens vaak de zwakte schakel. Het is om die reden van belang dat elke gemeentelijke collega doordacht en slim omgaat met informatieveiligheid en privacy. Veel gemeenten zetten hiervoor een bewustwordingscampagne op. Hoe je dit doet, beschreef ik in een eerdere blog ; De bouwstenen voor een goede bewustwordingscampagne. In praktijk blijken veel bewustwordingscampagnes echter niet te werken,

ofwel te ‘mislukken’. Hoe komt dit? In deze blog gaan we in op hoe je bewustwording wel tot een succes maakt.

Waarom bewustwording niet werkt

Op woensdag 11 april woonde ik de IBD-regiobijeenkomst bij in Zwolle. Het onderwerp dat tijdens deze regiobijeenkomst centraal stond was: ‘Waarom bewustwording niet werkt’. Aanleiding voor het onderwerp is de vele berichtgeving, onder andere ook vanuit het Dreigingsbeeld van de IBD, waarbij in het merendeel van de gevallen als het gaat om incidenten op privacy- en informatieveiligheidsvlak, de mens vaak de zwakste schakel is: we klikken op foute links in e-mailberichten, verwarren het AAN-veld met het BCC-veld waardoor mails bij verkeerde personen terecht komen, verliezen laptops en telefoons en we laten onze wachtwoorden slingeren. Het zijn maar een paar voorbeelden waar de gemiddelde mens zich af en toe met zekerheid schuldig aan maakt. Als reactie hierop, en tevens één van de stappen vanuit de AVG, wordt binnen gemeenten een bewustwordingscampagne opgezet. Maar de ene bewustwordingscampagne is de andere niet. Sommige organisaties of directies denken dat je er met een paar posters en banners al bent. Helaas werkt dit in de praktijk toch anders. Bewustwording is namelijk meer dan alleen maar het ‘zenden’ van informatie.

Waar gaat het mis?

Tijdens de regiobijeenkomst werden een aantal redenen besproken waarom het vaak mis gaat met campagnes. Ik zet ze graag nogmaals op een rij met daarbij waarom het vanuit mijn mening precies hierop fout gaat:

  • ‘Campagnes zijn niet in lijn met business risico’s, niet echt herkenbaar’: bij een bewustwordingscampagne is het belangrijk dat het herkenbaar en ‘dichtbij’ is voor collega’s. En de eerste stap hierin is niet anders dan in andere bewustwordingstrajecten: bewustwording van de échte risico’s, hoe ver af ze ook lijken. Kortom, wat wordt ik er beter van? Situaties moeten vergelijkbaar zijn met wat mensen in het echt tegenkomen op de werkvloer maar ook privé.
  • ‘De voortgang noch de waarde voor de organisatie wordt gemeten’: vaak wordt er van alles georganiseerd rondom bewustwording maar wordt er niet gemeten wat het effect is, ofwel of het alertheidsniveau onder collega’s ook daadwerkelijk verhoogd is. Het is uiteraard belangrijk om de kennis en het bijbehorende gedrag te monitoren en te toetsen, zodat de maatregelen, indien gewenst per afdeling of onderwerp, hierop kunnen worden bijgesteld.
  • Onrealistische verwachtingen over menselijk gedrag: Vaak willen we mensen veranderen. En zeker het veranderen van onze gewoontes is helaas niet zo makkelijk als het lijkt. Als mens gedijen we namelijk goed bij gewoontes, dat geeft ons de ruimte om te focussen op de zaken die er echt toe doen en onze aandacht en concentratie nodig hebben. Gewoontes kun je niet zomaar veranderen, wel kun je gewoontes vervangen door nieuwe gewoontes. Al onze huidige gewoontes zijn immers allemaal ook ooit een keer aangeleerd.
  • ‘Onrealistische verwachtingen over campagnes’: vaak heersen er diverse verwachtingen over campagnes. Wat bij de ene gemeente een succes is hoeft bij een andere gemeente niet te werken. Een campagne op maat werkt vaak beter.
  • De juiste skills/personen worden niet gebruikt. Het is belangrijk om de juiste inhoudelijke mensen in huis te hebben. Vaak wordt het onderwerp bewustwording bij de afdeling Communicatie belegd. Zij beschikken niet altijd over de benodigde capaciteit of de benodigde specifieke inhoudelijke kennis aangaande de onderwerpen informatieveiligheid en privacy. Daarnaast spelen bestuur, management en teamleiders een belangrijke rol bij het betrekken van hun medewerkers en het volgen van de voortgang van hun medewerkers. Zij moeten de ‘verandering’ trekken en leiden en het échte gesprek voeren. Daarbij is het belangrijk dat zij in hun leiderschap gevoed worden bij het doorvoeren/-vertalen van de bewustwordingscampagne richting de medewerkers.
  • ‘Bewustwording wordt gezien als achtergrondruis’: We moeten vandaag de dag al zoveel. Daarnaast roept verandering vanzelf een natuurlijke weerstand op bij medewerkers.

Hoe maak je bewustwording wél tot een succes?

Allereerst is het als gemeente belangrijk om na te denken wat je met een campagne wilt bereiken. Doe je het omdat het ‘moet’, zodat je een vinkje kunt zetten bij deze maatregel en kunt laten zien dat je compliant bent? Dan zou ik het vooral bij die paar posters en banners laten. Eén ding is dan wel zeker. Het aantal datalekken zal er niet minder op worden en medewerkers zullen hoogstwaarschijnlijk ook geen ander gedrag gaan vertonen.

Wil je dat de bewustwording echt doordringt bij collega’s, het onderwerp uiteindelijk in de dagelijkse routine van de kern van de organisatiecultuur behoort én leidt tot minder incidenten en dus ook minder schade (zoals bijvoorbeeld boetes)? Dan moet je zorgen voor een blijvende en meetbare gedragsverandering als het gaat om informatieveiligheid en privacy. Waarbij je kunt stellen dat er eigenlijk sprake is van een cultuurverandering binnen een gemeente als het gaat om deze onderwerpen. Een bewustwordingscampagne is namelijk succesvol als het nieuwe gewenste gedrag ingebed is in de organisatie en het gedrag van de medewerkers. Dat betekent dat er nieuwe normen en waarden zijn gecreëerd waardoor medewerkers het normaal vinden dat er op de nieuwe manier gewerkt wordt en elkaar ook (durven) aan (te) spreken als dit niet het geval is. Dat betekent dat mensen niet alleen bewust moeten worden gemaakt (waar de meeste campagnes zich op richten), maar dat mensen ook aangezet moeten worden tot een nieuwe houding en nieuw gedrag (gedragsverandering).

Bewustwording is een continu proces

Een verandering van gedrag is niet een verandering die over één nacht ijs gaat, en zeker niet een verandering die vanzelf gaat. Tijd, aandacht en herhaling van de boodschap (zoals reminders in de werkomgeving) zijn de belangrijkste elementen hierbij. Als organisatie kun je je medewerkers helpen bij het wennen aan de nieuwe houding en het nieuwe gewenste gedrag door ook aandacht te hebben voor de motivatie van de betrokkenen. Ga dus ook de werkvloer op, ga in overleg met de mensen die het nieuwe gedrag moeten vertonen en ontwikkel samen nieuwe ideeën over hoe je hen kunt helpen om tot dit gewenste gedrag te komen. Alleen op die manier krijg je informatieveiligheid en privacy écht in het hart en hoofd van collega’s.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…

Het beheren van verwerkersovereenkomsten

Om ervoor te zorgen dat derde partijen ook de juiste beveiligingsmaatregelen nemen, moet je afspraken maken in een verwerkersovereenkomst. Het is niet genoeg om deze overeenkomst eenmalig af te sluiten; je moet regelmatig controleren of de verwerk…

Bedrijfscontinuïteit volgens BIO, NIS2, ISO 27001 en NEN 7510

BCM is een belangrijk onderdeel binnen verschillende belangrijke beveiligings- en normstandaarden, zoals de BIO, NIS2, ISO 27001 en NEN 7510.

De kracht van ambassadeurs

Hoe zorg je voor een informatieveilige omgeving en hoe maak je medewerkers bewust van hun belangrijke rol? Informatieveiligheidsambassadeurs kunnen hierin het verschil maken.

BCM-routekaart voor gemeenten

Met een goed geïmplementeerd BCM-systeem ben je als organisatie beter voorbereid, waardoor je sneller en effectiever kunt reageren op verstoringen.

Inzicht in je risico’s: onmisbaar voor elke gemeente

In de digitale wereld is het beschermen van informatie en het beheren van risico’s cruciaal, ook voor gemeenten. Waarom dit belangrijk is en hoe je dit aanpakt, lees je in deze blog.