Privacy awareness meten

Hoe kun je ook in het geval van AVG compliance bewustwording realiseren en hoe meet je vervolgens de resultaten van een bewustwordingscampagne? In dit artikel krijg je inzicht in verschillende meetmethoden.

Bewustwording is een van de meest belangrijkste onderdelen van AVG compliance. Sinds de AVG van toepassing is, zien we veel organisaties die serieus aan de slag zijn gegaan met voorlichtingscampagnes en training. Maar hebben al die bewustwordingsinitiatieven effect? En hoe kan je dat meten? Vorige maand waren Roseanne, Tessa en Iris bij DNB in Amsterdam voor een seminar georganiseerd door Security Awareness NL. Het grote thema van de avond was “is meten ook weten?”. Spoiler alert: ja, maar dan moet je wel weten wat je moet meten, hoe je moet meten en wat je met deze meetresultaten kan doen. Lees hier meer over in deze blog.

Privacy awareness campagnes

Als organisatie heb je inmiddels een duidelijk privacybeleid, een mooi register van verwerkingen opgezet, afspraken gemaakt met je verwerkers, steek je veel moeite in informatiebeveiliging en heb je een overzichtelijke procedure bedacht voor het melden van datalekken. Top! Maar hoe zorg je ervoor dat dit allemaal landt bij de werknemers, die zich vooral laten leiden door de waan van de dag?

Wanneer je ervaring hebt met privacy awareness dan weet je dat het niet werkt om beleid te delen op het Intranet in de hoop dat iedereen het leest en aanneemt. Privacy awareness gaat immers over gedragsverandering, en om dat te realiseren moet je ervoor zorgen dat je medewerkers weten, willen en kunnen veranderen. Daarom wordt er steeds vaker geïnvesteerd in een goede privacy awareness campagne.

Meetmethoden

Nu privacybewustwording een steeds ‘volwassener’ onderwerp wordt, komen de uitdaging op dit gebied steeds meer aan bod. Een belangrijke vraag is dan ook: hoe weet je of wat je doet ook effectief is? Tijdens het Security Awareness NL seminar bespraken we een aantal frequent gebruikte methoden:

1. Observeren en bijhouden

Omdat de AVG aantoonbaarheid vereist – ook op het gebied van bewustwording – ligt het voor de hand om duidelijk bij te houden uit welke initiatieven je bewustwordingscampagne bestaat. Ook kan je bijhouden hoeveel mensen een AVG training hebben gehad of wie er aanwezig waren bij de lunchlezing over datalekken. Met e-learning kan je ook bijhouden wie op welk moment de e-learning heeft voltooid en welk cijfer is behaald voor een eventuele toets. Ook kan je gedrag observeren binnen de organisatie. Hoeveel incidenten worden er gemeld na de bewustwordingscampagne? Hoeveel vragen komen er binnen bij de Privacy Officer sinds de e-learning? Of hoeveel vertrouwelijke gesprekken kan je opvangen als je een tijdje bij de koffieautomaat gaat staan? Let wel op je geen voorbarige conclusies trekt: is het geobserveerde gedrag wel terug te leiden naar jouw interventies, of kan het ook een andere oorzaak hebben?

2. Vragenlijsten

Vragenlijsten worden ook vaak ingezet om het effect van bewustwordingscampagnes te meten. Zo kan een organisatie bijvoorbeeld een nulmeting doen. Werknemers beantwoorden dan kennisvragen over privacy. Vervolgens zullen zij een training of e-learning volgen waarna ze opnieuw een vragenlijst invullen. Scoren ze op de tweede vragenlijst hoger dan op de eerste? Dan wordt aangenomen dat de training effectief is geweest. Ook hier moeten we een kritische houding aannemen. Als het doel van privacybewustwording het veranderen van gedrag is, dan meet een vragenlijst gericht op kennis niet persé de effectiviteit van jouw campagne.

3. Experimenteren

Inmiddels zien we ook steeds vaker vernieuwende en creatievere manieren om awareness te meten. Een van de sprekers gaf een overtuigende presentatie over het belang van het slim inzetten van experimenten. Belangrijk inzicht: mensen gedragen zich anders als ze weten dat ze geobserveerd worden. De kans is groot dat iemand sociaal wenselijk gedrag vertoont wanneer hij of zij onderdeel is van een test. Om te kijken hoe iemand zich gedraagt in een normale setting kunnen verschillende meetmethodes ingezet worden. Zo gebeurt het regelmatig dat organisaties een ‘mystery guest’ inschakelen. Zo’n mystery guest is een acteur of actrice die komt testen of het privacybeleid in de praktijk ook wordt uitgevoerd. Een ander voorbeeld is het versturen van nep phishing e-mails om te kijken of erop wordt geklikt. Een nadeel van deze experimenten kan zijn dat de medewerker zich voor de gek gehouden voelt waardoor er juist weerstand kan ontstaan.

De privacy paradox

Zoals in de beschrijving van deze methodes al naar voren komt: meten is nog niet zo makkelijk. Een van de sprekers identificeerde een denkfout die vaak gemaakt word, namelijk: “als je weet hoe je privacyvriendelijk kan werken, dan doe je dat ook”. En dat is helaas niet het geval. Er is namelijk een gat tussen intentie en doen, dat noemen we ook wel de privacy paradox. Dat iemand weet wat privacy is en waarom het belangrijk is, wil niet zeggen dat hij of zij dit in het gedrag ook laat zien. Zo weet men vaak wel dat gevoelige data bewaren op Google Drive niet verstandig is, maar omdat het wel erg makkelijk is, gebeurt het toch. Wanneer je je bewust bent van de privacy paradox ga je anders kijken naar metingen: meet je alleen kennis en attitudes, of meet je ook het daadwerkelijke gedrag?

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De rol van de OR bij privacy op de werkvloer
De ondernemingsraad (OR) speelt een belangrijke rol in een organisatie, ook op het gebied van privacy op de werkvloer.
Het belang van patchmanagement
Als we het hebben over informatiebeveiliging, komen de termen patches en patchmanagementproces vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement zo belangrijk? En hoe richt je zo’n proces dan in? In deze blog lees je hoe je hier zelf mee aan de slag kan.
De AVG versus de Wet politiegegevens (Wpg)
: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wpg van toepassing zijn op het werk van Boa’s en waar je als gemeente aan moet voldoen bij het verwerken van gegevens.

Meer recente berichten

BoF: Gemeenten hebben AVG basis nog steeds niet op orde
Verder lezen
Incidentresponsplan Ransomware
Verder lezen
Nederlandse datacenters en DNS providers krijgen zorg en meldplicht
Verder lezen
Nederlandse gemeenten sturen onbewust data naar VS
Verder lezen
Overheden kunnen elkaar straks waarschuwen over criminele praktijken
Verder lezen
Wat hebben we geleerd van cyberaanvallen op kritieke infrastructuur?
Verder lezen
NCTV: Risico op ontwrichting groter door scheefgroei dreiging en weerbaarheid
Verder lezen
Een op de vijf IT beslissers heeft weinig vertrouwen in databescherming en privacy van de cloud
Verder lezen
Beschermt de Autoriteit Persoonsgegevens privacy, of verstoort ze de vrije markt?
Verder lezen
Het is geen keuze, beveilig die digitale ramen
Verder lezen