Goed voorbeeld doet goed volgen – deel 1


En slecht voorbeeld helaas slecht volgen… Zoals Ferdinand Grapperhaus, minister van Justitie en Veiligheid, vorig jaar zei: “Als je leidinggevende het niet zo serieus neemt met zijn of haar digitale veiligheid, dan zal je dat als werknemer ook niet snel doen.” Hij riep ertoe op dat iedereen binnen een bedrijf moet beseffen hoe belangrijk het is om digitale beveiliging serieus te nemen en dat iedereen met een voorbeeldfunctie verantwoordelijkheid moet nemen en digitaal leiderschap moet tonen”. Maar wat houdt dat in? En wat is daarvoor nodig? Dat behandelen we in deze tweedelige blogreeks.

Als het gaat om digitale veiligheid hebben we te maken met wet- en regelgeving (AVG), beleid (o.a. de BIO) en allerlei procedures en gedragscodes. De verantwoordelijkheid voor het (doen) naleven hiervan ligt bij directie en management; zij zijn immers integraal verantwoordelijk voor de processen en daarmee ook voor een veilig gebruik van informatie. Eerder schreef ik al de blog ‘Lijnmanagers hebben de CISO hard nodig (i.p.v. andersom)‘, waarin ik verder inga op de grote rol en verantwoordelijkheid die voor het lijnmanagement is weggelegd. 

Wat is jouw prijs?

In de praktijk zien we echter dat directie en management nog steeds veel leunen op de CISO en Privacy Officer, want: ‘zij zijn er toch van?’, alsook op de integriteit van medewerkers. Dit wordt vaak gebruikt als argument om delen van de BIO en AVG achterwege te laten. Zeker binnen gemeenten, waar iedere medewerker een eed en integriteitstoets aan het begin van zijn/haar dienstverband aflegt. Maar bieden deze (gedrags-)regels ook de garantie dat medewerkers het goede doen? En kun je, als het gaat om werken met privacygevoelige informatie, volledig vertrouwen op die integriteit van medewerkers? Incidenten ontstaan vaak door (onbewust) onzorgvuldig handelen. En als dit herhaaldelijk gebeurt en voorkomen had kunnen worden, wordt het uiteindelijk een integriteitsschending.

Deze en vele andere vragen naar het gedrag van mensen en organisaties zijn actueler dan ooit. Ik schreef eerder al een blog over de integriteit van mensen en hoe zwaar je hierop kunt leunen. Hierin geef ik ook aan dat de vraag niet zozeer zou moeten zijn of mensen integer zijn of niet, maar meer hoe lang en onder welke condities ze dit zijn. Welke verleidingen kunnen we weerstaan en wanneer zijn we bereid onze eigen integriteit te schenden (gelegenheid maakt de dief) of prijs te geven (zoals bij omkoping). Iedereen is immers te verleiden, de vraag is alleen wat de prijs van eenieder is.

Ethiek op het werk

Muel Kaptein, hoogleraar Bedrijfskunde aan de Erasmus Universiteit Rotterdam, schreef het boek ‘Waarom goede mensen soms de verkeerde dingen doen‘. Aan de hand van wetenschappelijke experimenten en praktijkvoorbeelden beschrijft hij waarom goede mensen soms de verkeerde dingen doen. Uit zijn promotieonderzoek, waarbij hij veel uiteenlopende organisaties heeft geanalyseerd, blijkt dat er zeven factoren zijn die het gedrag van mensen binnen een organisatie beïnvloeden. Naarmate deze factoren meer aanwezig zijn, vindt er minder onethisch gedrag plaats op het werk. In deze blogreeks zet ik deze zeven factoren op een rij en maak ik ze concreet en tastbaar als het gaat om informatiebeveiliging en privacy.

1. Helderheid

Maak duidelijk wat je van medewerkers verwacht op het vlak van digitale veiligheid. Het vastleggen van normen, waarden en verantwoordelijkheden in plannen is een goed begin. Maar als deze vervolgens in de la belanden gaat er niks veranderen. Het is belangrijk dat managers en medewerkers ook weten wat er concreet van hén wordt verwacht. Vaak wordt er gecommuniceerd over wat ongewenst gedrag is: laat je computer niet onbeheerd achter, gooi geen vertrouwelijk documenten in de oud papierbak, stuur geen BSN’s per mail, et cetera. Maar wees ook helder in wat je dan wél van mensen verwacht (het gewenste gedrag). Communiceer hier duidelijk over: lock je computer, gebruik de afgesloten prullenbak, gebruik versleutelde mail.

Daarnaast is het belangrijk om de gedachte achter het benodigde gedrag t.b.v. het veilig omgaan met informatie te stimuleren en (on)bewust te prikkelen. Bijvoorbeeld door stickers op gesloten prullenbakken met daarop ‘gebruik mij voor je gevoelige documenten’. Ga uit van de veronderstelling dat de meerderheid van het gedrag gebaseerd is op onwetendheid.

2. Voorbeeldgedrag

De tweede factor die van invloed is op het gedrag van medewerkers is voorbeeldgedrag. Om te bepalen welke normen op ons van toepassing zijn, kijken we naar het gedrag van anderen en dan met name naar personen die voor ons van betekenis zijn (denk aan je ouders). Binnen gemeenten zijn dit naast direct leidinggevende, ook het bestuur en management. De mate van ethiek en integriteit binnen de gemeente wordt dus in grote mate bepaalt door de houding en het gedrag van leidinggevenden. Mensen zijn geneigd zichzelf te spiegelen aan het gedrag van anderen, ook al staat op papier dat het anders moet. Als een medewerker zijn leidinggevende bijvoorbeeld elke dag zijn toegangspas zichtbaar ziet dragen, zal hij eerder geneigd zijn dit ook te doen. Zeker wanneer je hier ook nog eens door je leidinggevende op wordt aangesproken. Andersom werkt het helaas ook zo.

3. Uitvoerbaarheid

Naast dat medewerkers moeten weten wat gewenst en ongewenst gedrag is, is het ook belangrijk dat ze het kunnen doen. Ze dienen de ruimte en mogelijkheid te krijgen om doelen, taken en verantwoordelijkheden te realiseren. Bovendien is het van belang dat medewerkers de informatie naar hun eigen specifieke situatie (leren) vertalen. Door het vermogen om nieuwe vaardigheden te leren (bijv. door training) en aan te sturen op ander gedrag, wordt de verandering beter geaccepteerd.

Daarnaast dienen de juiste middelen beschikbaar te zijn. Wanneer je een alternatief biedt voor het versturen van vertrouwelijke gegevens en dit blijkt in praktijk niet te werken, dan heeft dit als gevolg dat collega’s het juist gaan omzeilen en dus onveilig handelen. Maar ook het gebrek aan ruimtes om vertrouwelijke gesprekken te voeren of kluisjes vallen hieronder. Houd ook rekening met de verschillende niveaus van kennis, begrip en functionele betrokkenheid binnen de organisatie. Binnen een gemeente heb je verschillende informatiebehoeftes, maar ook verschillende vaardigheden (vermogen). Het is belangrijk de communicatie goed te laten aansluiten op de kennis/werkzaamheden van de collega’s, zodat het blijft hangen en hen een concreet handelingsperspectief biedt passend bij hun functie.

Dit waren de eerste drie factoren die het gedrag van mensen in een organisatie kunnen beïnvloeden. In het volgende deel van deze blogreeks ga ik verder met de factoren betrokkenheid, transparantie, bespreekbaarheid en handhaving. Nu al meer weten? Neem dan contact met ons op.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…

Tijdig betrokken worden als FG

In het kader van de dag van de FG een blog speciaal voor de Functionaris Gegevensbescherming. Formeel is meestal wel vastgelegd dat je als FG ‘tijdig en behoorlijk’ betrokken moet worden, maar in de praktijk word je nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Datalek melden: Hoeveel tijd heb je eigenlijk?

Als een datalek is ontstaan bij een verwerker, wanneer start dan de 72-uurstermijn voor het melden bij de toezichthoudende autoriteit? In onze nieuwe blog onderzoeken we twee visies.