Privacy awareness meten

Hoe kun je ook in het geval van AVG compliance bewustwording realiseren en hoe meet je vervolgens de resultaten van een bewustwordingscampagne? In dit artikel krijg je inzicht in verschillende meetmethoden.

Bewustwording is een van de meest belangrijkste onderdelen van AVG compliance. Sinds de AVG van toepassing is, zien we veel organisaties die serieus aan de slag zijn gegaan met voorlichtingscampagnes en training. Maar hebben al die bewustwordingsinitiatieven effect? En hoe kan je dat meten? Vorige maand waren Roseanne, Tessa en Iris bij DNB in Amsterdam voor een seminar georganiseerd door Security Awareness NL. Het grote thema van de avond was “is meten ook weten?”. Spoiler alert: ja, maar dan moet je wel weten wat je moet meten, hoe je moet meten en wat je met deze meetresultaten kan doen. Lees hier meer over in deze blog.

Privacy awareness campagnes

Als organisatie heb je inmiddels een duidelijk privacybeleid, een mooi register van verwerkingen opgezet, afspraken gemaakt met je verwerkers, steek je veel moeite in informatiebeveiliging en heb je een overzichtelijke procedure bedacht voor het melden van datalekken. Top! Maar hoe zorg je ervoor dat dit allemaal landt bij de werknemers, die zich vooral laten leiden door de waan van de dag?

Wanneer je ervaring hebt met privacy awareness dan weet je dat het niet werkt om beleid te delen op het Intranet in de hoop dat iedereen het leest en aanneemt. Privacy awareness gaat immers over gedragsverandering, en om dat te realiseren moet je ervoor zorgen dat je medewerkers weten, willen en kunnen veranderen. Daarom wordt er steeds vaker geïnvesteerd in een goede privacy awareness campagne.

Meetmethoden

Nu privacybewustwording een steeds ‘volwassener’ onderwerp wordt, komen de uitdaging op dit gebied steeds meer aan bod. Een belangrijke vraag is dan ook: hoe weet je of wat je doet ook effectief is? Tijdens het Security Awareness NL seminar bespraken we een aantal frequent gebruikte methoden:

1. Observeren en bijhouden

Omdat de AVG aantoonbaarheid vereist – ook op het gebied van bewustwording – ligt het voor de hand om duidelijk bij te houden uit welke initiatieven je bewustwordingscampagne bestaat. Ook kan je bijhouden hoeveel mensen een AVG training hebben gehad of wie er aanwezig waren bij de lunchlezing over datalekken. Met e-learning kan je ook bijhouden wie op welk moment de e-learning heeft voltooid en welk cijfer is behaald voor een eventuele toets. Ook kan je gedrag observeren binnen de organisatie. Hoeveel incidenten worden er gemeld na de bewustwordingscampagne? Hoeveel vragen komen er binnen bij de Privacy Officer sinds de e-learning? Of hoeveel vertrouwelijke gesprekken kan je opvangen als je een tijdje bij de koffieautomaat gaat staan? Let wel op je geen voorbarige conclusies trekt: is het geobserveerde gedrag wel terug te leiden naar jouw interventies, of kan het ook een andere oorzaak hebben?

2. Vragenlijsten

Vragenlijsten worden ook vaak ingezet om het effect van bewustwordingscampagnes te meten. Zo kan een organisatie bijvoorbeeld een nulmeting doen. Werknemers beantwoorden dan kennisvragen over privacy. Vervolgens zullen zij een training of e-learning volgen waarna ze opnieuw een vragenlijst invullen. Scoren ze op de tweede vragenlijst hoger dan op de eerste? Dan wordt aangenomen dat de training effectief is geweest. Ook hier moeten we een kritische houding aannemen. Als het doel van privacybewustwording het veranderen van gedrag is, dan meet een vragenlijst gericht op kennis niet persé de effectiviteit van jouw campagne.

3. Experimenteren

Inmiddels zien we ook steeds vaker vernieuwende en creatievere manieren om awareness te meten. Een van de sprekers gaf een overtuigende presentatie over het belang van het slim inzetten van experimenten. Belangrijk inzicht: mensen gedragen zich anders als ze weten dat ze geobserveerd worden. De kans is groot dat iemand sociaal wenselijk gedrag vertoont wanneer hij of zij onderdeel is van een test. Om te kijken hoe iemand zich gedraagt in een normale setting kunnen verschillende meetmethodes ingezet worden. Zo gebeurt het regelmatig dat organisaties een ‘mystery guest’ inschakelen. Zo’n mystery guest is een acteur of actrice die komt testen of het privacybeleid in de praktijk ook wordt uitgevoerd. Een ander voorbeeld is het versturen van nep phishing e-mails om te kijken of erop wordt geklikt. Een nadeel van deze experimenten kan zijn dat de medewerker zich voor de gek gehouden voelt waardoor er juist weerstand kan ontstaan.

De privacy paradox

Zoals in de beschrijving van deze methodes al naar voren komt: meten is nog niet zo makkelijk. Een van de sprekers identificeerde een denkfout die vaak gemaakt word, namelijk: “als je weet hoe je privacyvriendelijk kan werken, dan doe je dat ook”. En dat is helaas niet het geval. Er is namelijk een gat tussen intentie en doen, dat noemen we ook wel de privacy paradox. Dat iemand weet wat privacy is en waarom het belangrijk is, wil niet zeggen dat hij of zij dit in het gedrag ook laat zien. Zo weet men vaak wel dat gevoelige data bewaren op Google Drive niet verstandig is, maar omdat het wel erg makkelijk is, gebeurt het toch. Wanneer je je bewust bent van de privacy paradox ga je anders kijken naar metingen: meet je alleen kennis en attitudes, of meet je ook het daadwerkelijke gedrag?

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Hoe krijg je informatiebeveiliging op de bestuurstafel?
Het ambtelijk bestuur is eindverantwoordelijk voor informatiebeveiliging. Het is dus belangrijk dat zij een goed beeld hebben van de risico’s die informatiebeveiliging met zich mee brengt. Maar hoe krijg je als lijnmanager of CISO informatiebeveiliging op de bestuurstafel?
Hoe voer je een DPIA uit?
Het uitvoeren van een DPIA is soms niet eenvoudig. In deze blog lees je daarom wat een DPIA precies is, wanneer je een DPIA uitvoert en welke stappen daarbij worden doorlopen.
Klaar voor actie: De rol van workshops in het voorbereiden van calamiteitenteams
Het uitvallen van belangrijke ICT-voorzieningen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de BIO is het inrichten van bedrijfscontinuïteit daarom verplicht. Maar wat is bedrijfscontinuïteit precies en hoe zorg je dat het calamiteitenteam op de hoogte is van hun taken en verantwoordelijkheden? Je leest het in deze blog.

Meer recente berichten

Toezichthouders van SDT breiden samenwerking in digitaal toezicht uit
Verder lezen
Checklist voor IT contracten onder DORA
Verder lezen
Recordaantal deelnemers bij SURF cybercrisisoefening, ook uit de zorg
Verder lezen
Privegegevens van inwoners Stadskanaal op straat: Daar gaat je privacy
Verder lezen
Spyware als macht
Verder lezen
Kleine ondernemer eveneens interessant voor hacker
Verder lezen
Pentesting uitvoeren: waarom het belangrijk is
Verder lezen
Drone gaat controleren of Deventenaar zich wel aan de regels houdt
Verder lezen
Passend beveiligen, hoe doe je dat?
Verder lezen
QR codes steeds vaker gebruikt voor phishing
Verder lezen