Privacy awareness meten

Hoe kun je ook in het geval van AVG compliance bewustwording realiseren en hoe meet je vervolgens de resultaten van een bewustwordingscampagne? In dit artikel krijg je inzicht in verschillende meetmethoden.

Bewustwording is een van de meest belangrijkste onderdelen van AVG compliance. Sinds de AVG van toepassing is, zien we veel organisaties die serieus aan de slag zijn gegaan met voorlichtingscampagnes en training. Maar hebben al die bewustwordingsinitiatieven effect? En hoe kan je dat meten? Vorige maand waren Roseanne, Tessa en Iris bij DNB in Amsterdam voor een seminar georganiseerd door Security Awareness NL. Het grote thema van de avond was “is meten ook weten?”. Spoiler alert: ja, maar dan moet je wel weten wat je moet meten, hoe je moet meten en wat je met deze meetresultaten kan doen. Lees hier meer over in deze blog.

Privacy awareness campagnes

Als organisatie heb je inmiddels een duidelijk privacybeleid, een mooi register van verwerkingen opgezet, afspraken gemaakt met je verwerkers, steek je veel moeite in informatiebeveiliging en heb je een overzichtelijke procedure bedacht voor het melden van datalekken. Top! Maar hoe zorg je ervoor dat dit allemaal landt bij de werknemers, die zich vooral laten leiden door de waan van de dag?

Wanneer je ervaring hebt met privacy awareness dan weet je dat het niet werkt om beleid te delen op het Intranet in de hoop dat iedereen het leest en aanneemt. Privacy awareness gaat immers over gedragsverandering, en om dat te realiseren moet je ervoor zorgen dat je medewerkers weten, willen en kunnen veranderen. Daarom wordt er steeds vaker geïnvesteerd in een goede privacy awareness campagne.

Meetmethoden

Nu privacybewustwording een steeds ‘volwassener’ onderwerp wordt, komen de uitdaging op dit gebied steeds meer aan bod. Een belangrijke vraag is dan ook: hoe weet je of wat je doet ook effectief is? Tijdens het Security Awareness NL seminar bespraken we een aantal frequent gebruikte methoden:

1. Observeren en bijhouden

Omdat de AVG aantoonbaarheid vereist – ook op het gebied van bewustwording – ligt het voor de hand om duidelijk bij te houden uit welke initiatieven je bewustwordingscampagne bestaat. Ook kan je bijhouden hoeveel mensen een AVG training hebben gehad of wie er aanwezig waren bij de lunchlezing over datalekken. Met e-learning kan je ook bijhouden wie op welk moment de e-learning heeft voltooid en welk cijfer is behaald voor een eventuele toets. Ook kan je gedrag observeren binnen de organisatie. Hoeveel incidenten worden er gemeld na de bewustwordingscampagne? Hoeveel vragen komen er binnen bij de Privacy Officer sinds de e-learning? Of hoeveel vertrouwelijke gesprekken kan je opvangen als je een tijdje bij de koffieautomaat gaat staan? Let wel op je geen voorbarige conclusies trekt: is het geobserveerde gedrag wel terug te leiden naar jouw interventies, of kan het ook een andere oorzaak hebben?

2. Vragenlijsten

Vragenlijsten worden ook vaak ingezet om het effect van bewustwordingscampagnes te meten. Zo kan een organisatie bijvoorbeeld een nulmeting doen. Werknemers beantwoorden dan kennisvragen over privacy. Vervolgens zullen zij een training of e-learning volgen waarna ze opnieuw een vragenlijst invullen. Scoren ze op de tweede vragenlijst hoger dan op de eerste? Dan wordt aangenomen dat de training effectief is geweest. Ook hier moeten we een kritische houding aannemen. Als het doel van privacybewustwording het veranderen van gedrag is, dan meet een vragenlijst gericht op kennis niet persé de effectiviteit van jouw campagne.

3. Experimenteren

Inmiddels zien we ook steeds vaker vernieuwende en creatievere manieren om awareness te meten. Een van de sprekers gaf een overtuigende presentatie over het belang van het slim inzetten van experimenten. Belangrijk inzicht: mensen gedragen zich anders als ze weten dat ze geobserveerd worden. De kans is groot dat iemand sociaal wenselijk gedrag vertoont wanneer hij of zij onderdeel is van een test. Om te kijken hoe iemand zich gedraagt in een normale setting kunnen verschillende meetmethodes ingezet worden. Zo gebeurt het regelmatig dat organisaties een ‘mystery guest’ inschakelen. Zo’n mystery guest is een acteur of actrice die komt testen of het privacybeleid in de praktijk ook wordt uitgevoerd. Een ander voorbeeld is het versturen van nep phishing e-mails om te kijken of erop wordt geklikt. Een nadeel van deze experimenten kan zijn dat de medewerker zich voor de gek gehouden voelt waardoor er juist weerstand kan ontstaan.

De privacy paradox

Zoals in de beschrijving van deze methodes al naar voren komt: meten is nog niet zo makkelijk. Een van de sprekers identificeerde een denkfout die vaak gemaakt word, namelijk: “als je weet hoe je privacyvriendelijk kan werken, dan doe je dat ook”. En dat is helaas niet het geval. Er is namelijk een gat tussen intentie en doen, dat noemen we ook wel de privacy paradox. Dat iemand weet wat privacy is en waarom het belangrijk is, wil niet zeggen dat hij of zij dit in het gedrag ook laat zien. Zo weet men vaak wel dat gevoelige data bewaren op Google Drive niet verstandig is, maar omdat het wel erg makkelijk is, gebeurt het toch. Wanneer je je bewust bent van de privacy paradox ga je anders kijken naar metingen: meet je alleen kennis en attitudes, of meet je ook het daadwerkelijke gedrag?

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

10 veelgemaakte fouten bij het configureren, beheren en beveiligen van systemen
Tien veelgemaakte fouten bij het configureren, beheren en beveiligen van systemen zorgen ervoor dat cybercriminelen nog altijd weten in te breken bij organisaties en toegang krijgen tot netwerken en data. Welke tien fouten zijn dit en hoe kan je deze aanpakken? Je leest het in deze blog!
Wat zijn mijn plichten als verwerkingsverantwoordelijke?
Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.
Wachtwoorden beheren? Gebruik een wachtwoordmanager!
De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!

Meer recente berichten

Ook in cyberspace biedt Oekraine taaie weerstand
Verder lezen
Veilig en anoniem communiceren op het dark web
Verder lezen
Een veilige en transparante Europese markt: Digital Services Act
Verder lezen
Security experts over nieuwe security richtlijn NIS 2
Verder lezen
Cyberbeveiliging: Parlement neemt nieuwe wet aan om veerkracht EU te versterken
Verder lezen
Raad van State uit kritiek op wet voor delen data door overheid
Verder lezen
Impactstudie CSIRT s in het kader van de herziening van de NIB richtlijn
Verder lezen
NCSC: meer onderzoek naar impact van encryptie
Verder lezen
Privacytoets vergeten: onderzoek naar verkeersstromen in Enschede ligt stil
Verder lezen
PEGA commissie wil Europese regels voor inzet spyware
Verder lezen