Skip to main content

Als CISO of FG draagvlak creëren binnen je organisatie, hoe doe je dat?

| Erna Havinga | ,

Veel CISO’s en FG’s lopen er tegenaan: het creëren van draagvlak voor veranderingen op het vlak van informatiebeveiliging en privacy. Informatiebeveiliging en privacy raken het werk van de gemeentelijke bestuurders. Het is namelijk niet alleen een technische en organisatorische vraag, maar ook een politieke en bestuurlijke. Het raakt de bedrijfsvoering van de gemeente en vraagt daarom om een bestuurlijke visie, focus én draagvlak. Maar hoe doe je dat nou eigenlijk, draagvlak creëren?

Maar eerst.. wat is draagvlak creëren?

Het ‘scheppen of creëren’ van draagvlak is een populaire term in de wereld van bestuurders en beleidsmakers, maar wat betekent het eigenlijk? Simpelweg houdt draagvlak creëren in ‘dat je goedkeuring en ondersteuning krijgt van je collega’s of het management om iets voor elkaar te krijgen’. Dit ‘iets’ kan een project zijn (bijvoorbeeld de implementatie van een bewustwordingsprogramma) maar ook het laten vaststellen van een bepaalde procedure of bepaald beleid op het gebied van informatiebeveiliging en/of privacy. Vooral binnen informatiebeveiligings- en/of privacytrajecten zie je dat het creëren van draagvlak erg belangrijk is omdat het vaak toch gaat om een verandering.

Veel mensen houden niet van het woord ‘verandering’ en houden het liever bij het oude en vertrouwde (Hoezo moet ik mijn computer vergrendelen? Ik kan mijn collega’s toch vertrouwen).  Wanneer jou voorstel door het management of door collega’s als een “verandering” wordt gezien, dan kan dit wel eens tot weerstand leiden. Waar jij dan op zoek zou moeten gaan, is de achterliggende reden waar deze weerstand vandaan komt. Wat probeert het management of je collega’s te vermijden met deze beslissing?

Hieronder geef ik je een aantal tips om je hierbij te helpen.

1. Weet wat je wilt bereiken

Zorg dat je goed voor ogen hebt wat je doel is en wat je wilt bereiken met jouw voorstel. Wanneer jij weet wat je wilt, en hier zelf het nut en de noodzaak van inziet, helpt dit jou ook om dit aan een ander over te brengen. Wanneer iets voor jezelf ook vaag is, dan is het moeilijk om andere mensen mee te krijgen. Bereid dus goede argumenten voor die je collega’s belangrijk vinden. Een voorbeeld: Vanuit de AVG is het verplicht om een register van verwerkingen bij te houden. Je wilt hiermee aan de slag binnen de gemeente, echter zien de afdelingen het alleen maar als extra administratieve rompslomp. In zo’n geval is het belangrijk dat jij het nut en noodzaak inziet van zo’n register en dit ook helder kan overbrengen aan een ander. Wanneer je alleen als argument hebt dat het “vanuit de AVG verplicht is”, zal je waarschijnlijk weinig draagvlak binnen de organisatie krijgen om zo’n register op te zetten en te onderhouden. Maar wanneer jij kunt aangeven wat je allemaal met zo’n register zou kunnen doen, dan krijg je waarschijnlijk meer bijval. Benoem wat de meerwaarde is van zo’n register. Zo kunnen bijvoorbeeld de functioneel/applicatiebeheerders goed zien welke applicaties binnen welke processen worden gebruikt. Ook heeft de gemeente een compleet overzicht van alle verwerkers, en kun je op basis daarvan controleren of je alle verwerkersovereenkomsten wel hebt afgesloten. Daarnaast kun je een register van verwerkingen ook goed gebruiken bij het uitvoeren van risicoanalyses binnen de gemeente (of het nu gaat om dataclassificatie of als onderdeel van het Business Continuity plan), een win-winsituatie dus! Je ziet, er is een legio aan argumenten te bedenken waarom een register van verwerkingen wél nuttig en van toegevoegde waarde is, buiten dat de AVG dit van een gemeente vraagt om.

2. Sta in de schoenen van de ander

Om je collega’s te overtuigen, is het belangrijk dat jij je in hun situatie kunt verplaatsen. Wat vinden ze belangrijk? Wat drijft hen? En wat zijn hun prioriteiten in het dagelijkse werk (‘we moeten vandaag de dag al zo veel’)? Dit kan voor het management weer heel anders zijn dan voor je collega’s. Gebruik je inlevingsvermogen om aan te sluiten bij de manier waarop zij naar iets kijken en ga daar in jouw voorstel op in om te laten zien hoe jouw voorstel hem of haar hierbij juist kan helpen. Benoem voordelen en probeer zoveel mogelijk in oplossingen te denken.

3. Neem contact op, bespreek wat je wilt bereiken

Wanneer je jouw voorstel moet presenteren binnen een MT is het goed om de inhoud van je presentatie voor te bespreken met een aantal leden. Op die manier kun je (ook voordat je het voorstel indient) mogelijke hobbels of kritische vragen al ondervangen en in je presentatie of voorstel verwerken. In de praktijk zijn MT-leden vaak druk en daardoor niet altijd beschikbaar. Bespreek in dat geval je te bereiken doel met andere collega’s vanuit verschillende disciplines en vraag om hun feedback. Tevens kun je hen als ambassadeur inzetten, om bij hun leidinggevende aan te kaarten waarom dit ook voor hun afdeling belangrijk is. Belangrijk onderdeel hierbij is dat je echt luistert naar de ander en niet bang bent voor kritiek. Zo kan het zijn dat iemand het nog niet met je eens is of aanvullende ideeën heeft. Blijf rustig en erken de problemen die zij zien en neem deze punten, waar mogelijk is, ook mee in je voorstel.

4. Manage verwachtingen

Ofwel geef duidelijk aan wat je van de ander verwacht. Benadruk hierbij ook duidelijk wat jouw rol is. Verwachtingen managen is behoeften managen. Wanneer je de presentatie bij het MT hebt gegeven (of je voorstel hebt ingediend) geef dan ook duidelijk aan wat jij vervolgens van hen verwacht. Wil je dat zij hier een beslissing over nemen of wil je hun feedback? Dit geldt niet alleen voor het MT, maar ook voor andere collega’s. Wanneer je iets binnen een afdeling wilt realiseren, is het van belang dat je de afdelingsmanager meeneemt en hem/haar goed voorbereid op de impact die het kan hebben voor zijn/haar afdeling.

Tot slot, nog het volgende..

Als er voldoende draagvlak is voor je plannen, kun je ze ook daadwerkelijk gaan uitvoeren. Maar, ook al heb je al deze stappen doorlopen, wil dat nog niet altijd zeggen dat de hele gemeentelijke organisatie meegaat in de verandering. De weerstand die er is voor de verandering manage je namelijk niet weg door mensen mee te laten denken. Weerstand op verandering is menselijk.

Faciliteer daarom als CISO of FG het proces om met weerstand om te gaan en probeer niet koste wat het kost de weerstand te vermijden want dat gaat je toch niet lukken.

En zorg dat je nauw samenwerkt met elkaar. Als CISO en FG kun je elkaar helpen en versterken om de te nemen stappen op informatiebeveiligings- en privacyvlak succesvol te doorlopen.

Succes!

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…