En slecht voorbeeld helaas slecht volgen… Zoals Ferdinand Grapperhaus, minister van Justitie en Veiligheid, vorig jaar zei: “Als je leidinggevende het niet zo serieus neemt met zijn of haar digitale veiligheid, dan zal je dat als werknemer ook niet snel doen.” Hij riep ertoe op dat iedereen binnen een bedrijf moet beseffen hoe belangrijk het is om digitale beveiliging serieus te nemen en dat iedereen met een voorbeeldfunctie verantwoordelijkheid moet nemen en digitaal leiderschap moet tonen”. Maar wat houdt dat in? En wat is daarvoor nodig? Dat behandelen we in deze tweedelige blogreeks.
Als het gaat om digitale veiligheid hebben we te maken met wet- en regelgeving (AVG), beleid (o.a. de BIO) en allerlei procedures en gedragscodes. De verantwoordelijkheid voor het (doen) naleven hiervan ligt bij directie en management; zij zijn immers integraal verantwoordelijk voor de processen en daarmee ook voor een veilig gebruik van informatie. Eerder schreef ik al de blog ‘Lijnmanagers hebben de CISO hard nodig (i.p.v. andersom)‘, waarin ik verder inga op de grote rol en verantwoordelijkheid die voor het lijnmanagement is weggelegd.
Wat is jouw prijs?
In de praktijk zien we echter dat directie en management nog steeds veel leunen op de CISO en Privacy Officer, want: ‘zij zijn er toch van?’, alsook op de integriteit van medewerkers. Dit wordt vaak gebruikt als argument om delen van de BIO en AVG achterwege te laten. Zeker binnen gemeenten, waar iedere medewerker een eed en integriteitstoets aan het begin van zijn/haar dienstverband aflegt. Maar bieden deze (gedrags-)regels ook de garantie dat medewerkers het goede doen? En kun je, als het gaat om werken met privacygevoelige informatie, volledig vertrouwen op die integriteit van medewerkers? Incidenten ontstaan vaak door (onbewust) onzorgvuldig handelen. En als dit herhaaldelijk gebeurt en voorkomen had kunnen worden, wordt het uiteindelijk een integriteitsschending.
Deze en vele andere vragen naar het gedrag van mensen en organisaties zijn actueler dan ooit. Ik schreef eerder al een blog over de integriteit van mensen en hoe zwaar je hierop kunt leunen. Hierin geef ik ook aan dat de vraag niet zozeer zou moeten zijn of mensen integer zijn of niet, maar meer hoe lang en onder welke condities ze dit zijn. Welke verleidingen kunnen we weerstaan en wanneer zijn we bereid onze eigen integriteit te schenden (gelegenheid maakt de dief) of prijs te geven (zoals bij omkoping). Iedereen is immers te verleiden, de vraag is alleen wat de prijs van eenieder is.
Ethiek op het werk
Muel Kaptein, hoogleraar Bedrijfskunde aan de Erasmus Universiteit Rotterdam, schreef het boek ‘Waarom goede mensen soms de verkeerde dingen doen‘. Aan de hand van wetenschappelijke experimenten en praktijkvoorbeelden beschrijft hij waarom goede mensen soms de verkeerde dingen doen. Uit zijn promotieonderzoek, waarbij hij veel uiteenlopende organisaties heeft geanalyseerd, blijkt dat er zeven factoren zijn die het gedrag van mensen binnen een organisatie beïnvloeden. Naarmate deze factoren meer aanwezig zijn, vindt er minder onethisch gedrag plaats op het werk. In deze blogreeks zet ik deze zeven factoren op een rij en maak ik ze concreet en tastbaar als het gaat om informatiebeveiliging en privacy.
1. Helderheid
Maak duidelijk wat je van medewerkers verwacht op het vlak van digitale veiligheid. Het vastleggen van normen, waarden en verantwoordelijkheden in plannen is een goed begin. Maar als deze vervolgens in de la belanden gaat er niks veranderen. Het is belangrijk dat managers en medewerkers ook weten wat er concreet van hén wordt verwacht. Vaak wordt er gecommuniceerd over wat ongewenst gedrag is: laat je computer niet onbeheerd achter, gooi geen vertrouwelijk documenten in de oud papierbak, stuur geen BSN’s per mail, et cetera. Maar wees ook helder in wat je dan wél van mensen verwacht (het gewenste gedrag). Communiceer hier duidelijk over: lock je computer, gebruik de afgesloten prullenbak, gebruik versleutelde mail.
Daarnaast is het belangrijk om de gedachte achter het benodigde gedrag t.b.v. het veilig omgaan met informatie te stimuleren en (on)bewust te prikkelen. Bijvoorbeeld door stickers op gesloten prullenbakken met daarop ‘gebruik mij voor je gevoelige documenten’. Ga uit van de veronderstelling dat de meerderheid van het gedrag gebaseerd is op onwetendheid.
2. Voorbeeldgedrag
De tweede factor die van invloed is op het gedrag van medewerkers is voorbeeldgedrag. Om te bepalen welke normen op ons van toepassing zijn, kijken we naar het gedrag van anderen en dan met name naar personen die voor ons van betekenis zijn (denk aan je ouders). Binnen gemeenten zijn dit naast direct leidinggevende, ook het bestuur en management. De mate van ethiek en integriteit binnen de gemeente wordt dus in grote mate bepaalt door de houding en het gedrag van leidinggevenden. Mensen zijn geneigd zichzelf te spiegelen aan het gedrag van anderen, ook al staat op papier dat het anders moet. Als een medewerker zijn leidinggevende bijvoorbeeld elke dag zijn toegangspas zichtbaar ziet dragen, zal hij eerder geneigd zijn dit ook te doen. Zeker wanneer je hier ook nog eens door je leidinggevende op wordt aangesproken. Andersom werkt het helaas ook zo.
3. Uitvoerbaarheid
Naast dat medewerkers moeten weten wat gewenst en ongewenst gedrag is, is het ook belangrijk dat ze het kunnen doen. Ze dienen de ruimte en mogelijkheid te krijgen om doelen, taken en verantwoordelijkheden te realiseren. Bovendien is het van belang dat medewerkers de informatie naar hun eigen specifieke situatie (leren) vertalen. Door het vermogen om nieuwe vaardigheden te leren (bijv. door training) en aan te sturen op ander gedrag, wordt de verandering beter geaccepteerd.
Daarnaast dienen de juiste middelen beschikbaar te zijn. Wanneer je een alternatief biedt voor het versturen van vertrouwelijke gegevens en dit blijkt in praktijk niet te werken, dan heeft dit als gevolg dat collega’s het juist gaan omzeilen en dus onveilig handelen. Maar ook het gebrek aan ruimtes om vertrouwelijke gesprekken te voeren of kluisjes vallen hieronder. Houd ook rekening met de verschillende niveaus van kennis, begrip en functionele betrokkenheid binnen de organisatie. Binnen een gemeente heb je verschillende informatiebehoeftes, maar ook verschillende vaardigheden (vermogen). Het is belangrijk de communicatie goed te laten aansluiten op de kennis/werkzaamheden van de collega’s, zodat het blijft hangen en hen een concreet handelingsperspectief biedt passend bij hun functie.
Dit waren de eerste drie factoren die het gedrag van mensen in een organisatie kunnen beïnvloeden. In het volgende deel van deze blogreeks ga ik verder met de factoren betrokkenheid, transparantie, bespreekbaarheid en handhaving. Nu al meer weten? Neem dan contact met ons op.
- Proefschrift: Gegevensbescherming en mededinging verweven - 10 december 2024
- Hoe AI anomaliedetectie verbetert en waarschuwingsmoeheid aanpakt in cyberbeveiliging - 10 december 2024
- Europese wetgeving rond digitale weerbaarheid: wat is op wie van toepassing? - 9 december 2024
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Training
Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders
Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!