Goed voorbeeld doet goed volgen – deel 1


En slecht voorbeeld helaas slecht volgen… Zoals Ferdinand Grapperhaus, minister van Justitie en Veiligheid, vorig jaar zei: “Als je leidinggevende het niet zo serieus neemt met zijn of haar digitale veiligheid, dan zal je dat als werknemer ook niet snel doen.” Hij riep ertoe op dat iedereen binnen een bedrijf moet beseffen hoe belangrijk het is om digitale beveiliging serieus te nemen en dat iedereen met een voorbeeldfunctie verantwoordelijkheid moet nemen en digitaal leiderschap moet tonen”. Maar wat houdt dat in? En wat is daarvoor nodig? Dat behandelen we in deze tweedelige blogreeks.

Als het gaat om digitale veiligheid hebben we te maken met wet- en regelgeving (AVG), beleid (o.a. de BIO) en allerlei procedures en gedragscodes. De verantwoordelijkheid voor het (doen) naleven hiervan ligt bij directie en management; zij zijn immers integraal verantwoordelijk voor de processen en daarmee ook voor een veilig gebruik van informatie. Eerder schreef ik al de blog ‘Lijnmanagers hebben de CISO hard nodig (i.p.v. andersom)‘, waarin ik verder inga op de grote rol en verantwoordelijkheid die voor het lijnmanagement is weggelegd. 

Wat is jouw prijs?

In de praktijk zien we echter dat directie en management nog steeds veel leunen op de CISO en Privacy Officer, want: ‘zij zijn er toch van?’, alsook op de integriteit van medewerkers. Dit wordt vaak gebruikt als argument om delen van de BIO en AVG achterwege te laten. Zeker binnen gemeenten, waar iedere medewerker een eed en integriteitstoets aan het begin van zijn/haar dienstverband aflegt. Maar bieden deze (gedrags-)regels ook de garantie dat medewerkers het goede doen? En kun je, als het gaat om werken met privacygevoelige informatie, volledig vertrouwen op die integriteit van medewerkers? Incidenten ontstaan vaak door (onbewust) onzorgvuldig handelen. En als dit herhaaldelijk gebeurt en voorkomen had kunnen worden, wordt het uiteindelijk een integriteitsschending.

Deze en vele andere vragen naar het gedrag van mensen en organisaties zijn actueler dan ooit. Ik schreef eerder al een blog over de integriteit van mensen en hoe zwaar je hierop kunt leunen. Hierin geef ik ook aan dat de vraag niet zozeer zou moeten zijn of mensen integer zijn of niet, maar meer hoe lang en onder welke condities ze dit zijn. Welke verleidingen kunnen we weerstaan en wanneer zijn we bereid onze eigen integriteit te schenden (gelegenheid maakt de dief) of prijs te geven (zoals bij omkoping). Iedereen is immers te verleiden, de vraag is alleen wat de prijs van eenieder is.

Ethiek op het werk

Muel Kaptein, hoogleraar Bedrijfskunde aan de Erasmus Universiteit Rotterdam, schreef het boek ‘Waarom goede mensen soms de verkeerde dingen doen‘. Aan de hand van wetenschappelijke experimenten en praktijkvoorbeelden beschrijft hij waarom goede mensen soms de verkeerde dingen doen. Uit zijn promotieonderzoek, waarbij hij veel uiteenlopende organisaties heeft geanalyseerd, blijkt dat er zeven factoren zijn die het gedrag van mensen binnen een organisatie beïnvloeden. Naarmate deze factoren meer aanwezig zijn, vindt er minder onethisch gedrag plaats op het werk. In deze blogreeks zet ik deze zeven factoren op een rij en maak ik ze concreet en tastbaar als het gaat om informatiebeveiliging en privacy.

1. Helderheid

Maak duidelijk wat je van medewerkers verwacht op het vlak van digitale veiligheid. Het vastleggen van normen, waarden en verantwoordelijkheden in plannen is een goed begin. Maar als deze vervolgens in de la belanden gaat er niks veranderen. Het is belangrijk dat managers en medewerkers ook weten wat er concreet van hén wordt verwacht. Vaak wordt er gecommuniceerd over wat ongewenst gedrag is: laat je computer niet onbeheerd achter, gooi geen vertrouwelijk documenten in de oud papierbak, stuur geen BSN’s per mail, et cetera. Maar wees ook helder in wat je dan wél van mensen verwacht (het gewenste gedrag). Communiceer hier duidelijk over: lock je computer, gebruik de afgesloten prullenbak, gebruik versleutelde mail.

Daarnaast is het belangrijk om de gedachte achter het benodigde gedrag t.b.v. het veilig omgaan met informatie te stimuleren en (on)bewust te prikkelen. Bijvoorbeeld door stickers op gesloten prullenbakken met daarop ‘gebruik mij voor je gevoelige documenten’. Ga uit van de veronderstelling dat de meerderheid van het gedrag gebaseerd is op onwetendheid.

2. Voorbeeldgedrag

De tweede factor die van invloed is op het gedrag van medewerkers is voorbeeldgedrag. Om te bepalen welke normen op ons van toepassing zijn, kijken we naar het gedrag van anderen en dan met name naar personen die voor ons van betekenis zijn (denk aan je ouders). Binnen gemeenten zijn dit naast direct leidinggevende, ook het bestuur en management. De mate van ethiek en integriteit binnen de gemeente wordt dus in grote mate bepaalt door de houding en het gedrag van leidinggevenden. Mensen zijn geneigd zichzelf te spiegelen aan het gedrag van anderen, ook al staat op papier dat het anders moet. Als een medewerker zijn leidinggevende bijvoorbeeld elke dag zijn toegangspas zichtbaar ziet dragen, zal hij eerder geneigd zijn dit ook te doen. Zeker wanneer je hier ook nog eens door je leidinggevende op wordt aangesproken. Andersom werkt het helaas ook zo.

3. Uitvoerbaarheid

Naast dat medewerkers moeten weten wat gewenst en ongewenst gedrag is, is het ook belangrijk dat ze het kunnen doen. Ze dienen de ruimte en mogelijkheid te krijgen om doelen, taken en verantwoordelijkheden te realiseren. Bovendien is het van belang dat medewerkers de informatie naar hun eigen specifieke situatie (leren) vertalen. Door het vermogen om nieuwe vaardigheden te leren (bijv. door training) en aan te sturen op ander gedrag, wordt de verandering beter geaccepteerd.

Daarnaast dienen de juiste middelen beschikbaar te zijn. Wanneer je een alternatief biedt voor het versturen van vertrouwelijke gegevens en dit blijkt in praktijk niet te werken, dan heeft dit als gevolg dat collega’s het juist gaan omzeilen en dus onveilig handelen. Maar ook het gebrek aan ruimtes om vertrouwelijke gesprekken te voeren of kluisjes vallen hieronder. Houd ook rekening met de verschillende niveaus van kennis, begrip en functionele betrokkenheid binnen de organisatie. Binnen een gemeente heb je verschillende informatiebehoeftes, maar ook verschillende vaardigheden (vermogen). Het is belangrijk de communicatie goed te laten aansluiten op de kennis/werkzaamheden van de collega’s, zodat het blijft hangen en hen een concreet handelingsperspectief biedt passend bij hun functie.

Dit waren de eerste drie factoren die het gedrag van mensen in een organisatie kunnen beïnvloeden. In het volgende deel van deze blogreeks ga ik verder met de factoren betrokkenheid, transparantie, bespreekbaarheid en handhaving. Nu al meer weten? Neem dan contact met ons op.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Wat zijn mijn plichten als verwerkingsverantwoordelijke?

Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.

Wachtwoorden beheren? Gebruik een wachtwoordmanager!

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!

Rechten van betrokkenen binnen een gemeentelijke context

Als burger heb je verschillende rechten om controle te houden over je persoonsgegevens – ook wel rechten van betrokkenen genoemd. Maar met welke rechten krijg je als gemeente in de praktijk echt te maken?

CISO versus ISO, wie doet wat?

Binnen de gemeente hebben we de (verplichte) CISO en/of ISO. Maar welke taken horen er nu eigenlijk bij de CISO te liggen en wat zou de ISO moeten doen? Kortom, hoe verhouden deze functies zich tot elkaar en wat zijn de verschillen?

Help! Een dataclassificatie, DPIA en een BIA?!

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA e…

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in