Als CISO of FG draagvlak creëren binnen je organisatie, hoe doe je dat?

| Erna Havinga | ,

Veel CISO’s en FG’s lopen er tegenaan: het creëren van draagvlak voor veranderingen op het vlak van informatiebeveiliging en privacy. Informatiebeveiliging en privacy raken het werk van de gemeentelijke bestuurders. Het is namelijk niet alleen een technische en organisatorische vraag, maar ook een politieke en bestuurlijke. Het raakt de bedrijfsvoering van de gemeente en vraagt daarom om een bestuurlijke visie, focus én draagvlak. Maar hoe doe je dat nou eigenlijk, draagvlak creëren?

Maar eerst.. wat is draagvlak creëren?

Het ‘scheppen of creëren’ van draagvlak is een populaire term in de wereld van bestuurders en beleidsmakers, maar wat betekent het eigenlijk? Simpelweg houdt draagvlak creëren in ‘dat je goedkeuring en ondersteuning krijgt van je collega’s of het management om iets voor elkaar te krijgen’. Dit ‘iets’ kan een project zijn (bijvoorbeeld de implementatie van een bewustwordingsprogramma) maar ook het laten vaststellen van een bepaalde procedure of bepaald beleid op het gebied van informatiebeveiliging en/of privacy. Vooral binnen informatiebeveiligings- en/of privacytrajecten zie je dat het creëren van draagvlak erg belangrijk is omdat het vaak toch gaat om een verandering.

Veel mensen houden niet van het woord ‘verandering’ en houden het liever bij het oude en vertrouwde (Hoezo moet ik mijn computer vergrendelen? Ik kan mijn collega’s toch vertrouwen).  Wanneer jou voorstel door het management of door collega’s als een “verandering” wordt gezien, dan kan dit wel eens tot weerstand leiden. Waar jij dan op zoek zou moeten gaan, is de achterliggende reden waar deze weerstand vandaan komt. Wat probeert het management of je collega’s te vermijden met deze beslissing?

Hieronder geef ik je een aantal tips om je hierbij te helpen.

1. Weet wat je wilt bereiken

Zorg dat je goed voor ogen hebt wat je doel is en wat je wilt bereiken met jouw voorstel. Wanneer jij weet wat je wilt, en hier zelf het nut en de noodzaak van inziet, helpt dit jou ook om dit aan een ander over te brengen. Wanneer iets voor jezelf ook vaag is, dan is het moeilijk om andere mensen mee te krijgen. Bereid dus goede argumenten voor die je collega’s belangrijk vinden. Een voorbeeld: Vanuit de AVG is het verplicht om een register van verwerkingen bij te houden. Je wilt hiermee aan de slag binnen de gemeente, echter zien de afdelingen het alleen maar als extra administratieve rompslomp. In zo’n geval is het belangrijk dat jij het nut en noodzaak inziet van zo’n register en dit ook helder kan overbrengen aan een ander. Wanneer je alleen als argument hebt dat het “vanuit de AVG verplicht is”, zal je waarschijnlijk weinig draagvlak binnen de organisatie krijgen om zo’n register op te zetten en te onderhouden. Maar wanneer jij kunt aangeven wat je allemaal met zo’n register zou kunnen doen, dan krijg je waarschijnlijk meer bijval. Benoem wat de meerwaarde is van zo’n register. Zo kunnen bijvoorbeeld de functioneel/applicatiebeheerders goed zien welke applicaties binnen welke processen worden gebruikt. Ook heeft de gemeente een compleet overzicht van alle verwerkers, en kun je op basis daarvan controleren of je alle verwerkersovereenkomsten wel hebt afgesloten. Daarnaast kun je een register van verwerkingen ook goed gebruiken bij het uitvoeren van risicoanalyses binnen de gemeente (of het nu gaat om dataclassificatie of als onderdeel van het Business Continuity plan), een win-winsituatie dus! Je ziet, er is een legio aan argumenten te bedenken waarom een register van verwerkingen wél nuttig en van toegevoegde waarde is, buiten dat de AVG dit van een gemeente vraagt om.

2. Sta in de schoenen van de ander

Om je collega’s te overtuigen, is het belangrijk dat jij je in hun situatie kunt verplaatsen. Wat vinden ze belangrijk? Wat drijft hen? En wat zijn hun prioriteiten in het dagelijkse werk (‘we moeten vandaag de dag al zo veel’)? Dit kan voor het management weer heel anders zijn dan voor je collega’s. Gebruik je inlevingsvermogen om aan te sluiten bij de manier waarop zij naar iets kijken en ga daar in jouw voorstel op in om te laten zien hoe jouw voorstel hem of haar hierbij juist kan helpen. Benoem voordelen en probeer zoveel mogelijk in oplossingen te denken.

3. Neem contact op, bespreek wat je wilt bereiken

Wanneer je jouw voorstel moet presenteren binnen een MT is het goed om de inhoud van je presentatie voor te bespreken met een aantal leden. Op die manier kun je (ook voordat je het voorstel indient) mogelijke hobbels of kritische vragen al ondervangen en in je presentatie of voorstel verwerken. In de praktijk zijn MT-leden vaak druk en daardoor niet altijd beschikbaar. Bespreek in dat geval je te bereiken doel met andere collega’s vanuit verschillende disciplines en vraag om hun feedback. Tevens kun je hen als ambassadeur inzetten, om bij hun leidinggevende aan te kaarten waarom dit ook voor hun afdeling belangrijk is. Belangrijk onderdeel hierbij is dat je echt luistert naar de ander en niet bang bent voor kritiek. Zo kan het zijn dat iemand het nog niet met je eens is of aanvullende ideeën heeft. Blijf rustig en erken de problemen die zij zien en neem deze punten, waar mogelijk is, ook mee in je voorstel.

4. Manage verwachtingen

Ofwel geef duidelijk aan wat je van de ander verwacht. Benadruk hierbij ook duidelijk wat jouw rol is. Verwachtingen managen is behoeften managen. Wanneer je de presentatie bij het MT hebt gegeven (of je voorstel hebt ingediend) geef dan ook duidelijk aan wat jij vervolgens van hen verwacht. Wil je dat zij hier een beslissing over nemen of wil je hun feedback? Dit geldt niet alleen voor het MT, maar ook voor andere collega’s. Wanneer je iets binnen een afdeling wilt realiseren, is het van belang dat je de afdelingsmanager meeneemt en hem/haar goed voorbereid op de impact die het kan hebben voor zijn/haar afdeling.

Tot slot, nog het volgende..

Als er voldoende draagvlak is voor je plannen, kun je ze ook daadwerkelijk gaan uitvoeren. Maar, ook al heb je al deze stappen doorlopen, wil dat nog niet altijd zeggen dat de hele gemeentelijke organisatie meegaat in de verandering. De weerstand die er is voor de verandering manage je namelijk niet weg door mensen mee te laten denken. Weerstand op verandering is menselijk.

Faciliteer daarom als CISO of FG het proces om met weerstand om te gaan en probeer niet koste wat het kost de weerstand te vermijden want dat gaat je toch niet lukken.

En zorg dat je nauw samenwerkt met elkaar. Als CISO en FG kun je elkaar helpen en versterken om de te nemen stappen op informatiebeveiligings- en privacyvlak succesvol te doorlopen.

Succes!

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Klaar voor actie: De rol van workshops in het voorbereiden van calamiteitenteams

Het uitvallen van belangrijke ICT-voorzieningen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de BIO is het inrichten van bedrijfscontinuïteit daarom verplicht. Maar wat is bedrijfscontinuïteit precies en hoe zorg je d…

Waarom is privacy eigenlijk belangrijk?

In onze huidige maatschappij, met alle computertechnologie, is privacy belangrijker dan ooit. In deze blog lees je waarom privacy zo belangrijk is, wat de gevaren zijn bij een gebrek eraan en hoe je als organisatie de privacy kan beschermen. Want,…

Jaarrapportage informatiebeveiliging; waar rapporteer je als CISO over?

Als Chief Information Security Officer (CISO) is het belangrijk om een duidelijk beeld te hebben van hoe het gesteld is met de informatiebeveiliging binnen de organisatie én om dit beeld te delen met het management/bestuur. Een jaarrapportage is h…

Wat zet je in je jaarrapportage privacy?

Het is aan te raden om als Functionaris Gegevensbescherming (FG) te rapporteren over privacy. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Waarom dit belangrijk is en op welke…

Leren van de informatiebeveiligingsincidenten van het afgelopen jaar

: Ook al neem je nog zoveel beveiligingsmaatregelen, deze zijn niet altijd waterdicht. Vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Het is daarom belangrijk dat je goed voorbereid bent. In deze laatste blog van het ja…

Hoe toon ik aan dat ik aan de verplichtingen uit de AVG voldoe?

: Een belangrijk onderdeel binnen de AVG is dat de gemeente zich aantoonbaar aan deze wet moet houden. Dit noemen we ook wel de verantwoordingsplicht. Hoe die verantwoordingsplicht eruitziet, lees je in deze blog.