Goed voorbeeld doet goed volgen – deel 1


En slecht voorbeeld helaas slecht volgen… Zoals Ferdinand Grapperhaus, minister van Justitie en Veiligheid, vorig jaar zei: “Als je leidinggevende het niet zo serieus neemt met zijn of haar digitale veiligheid, dan zal je dat als werknemer ook niet snel doen.” Hij riep ertoe op dat iedereen binnen een bedrijf moet beseffen hoe belangrijk het is om digitale beveiliging serieus te nemen en dat iedereen met een voorbeeldfunctie verantwoordelijkheid moet nemen en digitaal leiderschap moet tonen”. Maar wat houdt dat in? En wat is daarvoor nodig? Dat behandelen we in deze tweedelige blogreeks.

Als het gaat om digitale veiligheid hebben we te maken met wet- en regelgeving (AVG), beleid (o.a. de BIO) en allerlei procedures en gedragscodes. De verantwoordelijkheid voor het (doen) naleven hiervan ligt bij directie en management; zij zijn immers integraal verantwoordelijk voor de processen en daarmee ook voor een veilig gebruik van informatie. Eerder schreef ik al de blog ‘Lijnmanagers hebben de CISO hard nodig (i.p.v. andersom)‘, waarin ik verder inga op de grote rol en verantwoordelijkheid die voor het lijnmanagement is weggelegd. 

Wat is jouw prijs?

In de praktijk zien we echter dat directie en management nog steeds veel leunen op de CISO en Privacy Officer, want: ‘zij zijn er toch van?’, alsook op de integriteit van medewerkers. Dit wordt vaak gebruikt als argument om delen van de BIO en AVG achterwege te laten. Zeker binnen gemeenten, waar iedere medewerker een eed en integriteitstoets aan het begin van zijn/haar dienstverband aflegt. Maar bieden deze (gedrags-)regels ook de garantie dat medewerkers het goede doen? En kun je, als het gaat om werken met privacygevoelige informatie, volledig vertrouwen op die integriteit van medewerkers? Incidenten ontstaan vaak door (onbewust) onzorgvuldig handelen. En als dit herhaaldelijk gebeurt en voorkomen had kunnen worden, wordt het uiteindelijk een integriteitsschending.

Deze en vele andere vragen naar het gedrag van mensen en organisaties zijn actueler dan ooit. Ik schreef eerder al een blog over de integriteit van mensen en hoe zwaar je hierop kunt leunen. Hierin geef ik ook aan dat de vraag niet zozeer zou moeten zijn of mensen integer zijn of niet, maar meer hoe lang en onder welke condities ze dit zijn. Welke verleidingen kunnen we weerstaan en wanneer zijn we bereid onze eigen integriteit te schenden (gelegenheid maakt de dief) of prijs te geven (zoals bij omkoping). Iedereen is immers te verleiden, de vraag is alleen wat de prijs van eenieder is.

Ethiek op het werk

Muel Kaptein, hoogleraar Bedrijfskunde aan de Erasmus Universiteit Rotterdam, schreef het boek ‘Waarom goede mensen soms de verkeerde dingen doen‘. Aan de hand van wetenschappelijke experimenten en praktijkvoorbeelden beschrijft hij waarom goede mensen soms de verkeerde dingen doen. Uit zijn promotieonderzoek, waarbij hij veel uiteenlopende organisaties heeft geanalyseerd, blijkt dat er zeven factoren zijn die het gedrag van mensen binnen een organisatie beïnvloeden. Naarmate deze factoren meer aanwezig zijn, vindt er minder onethisch gedrag plaats op het werk. In deze blogreeks zet ik deze zeven factoren op een rij en maak ik ze concreet en tastbaar als het gaat om informatiebeveiliging en privacy.

1. Helderheid

Maak duidelijk wat je van medewerkers verwacht op het vlak van digitale veiligheid. Het vastleggen van normen, waarden en verantwoordelijkheden in plannen is een goed begin. Maar als deze vervolgens in de la belanden gaat er niks veranderen. Het is belangrijk dat managers en medewerkers ook weten wat er concreet van hén wordt verwacht. Vaak wordt er gecommuniceerd over wat ongewenst gedrag is: laat je computer niet onbeheerd achter, gooi geen vertrouwelijk documenten in de oud papierbak, stuur geen BSN’s per mail, et cetera. Maar wees ook helder in wat je dan wél van mensen verwacht (het gewenste gedrag). Communiceer hier duidelijk over: lock je computer, gebruik de afgesloten prullenbak, gebruik versleutelde mail.

Daarnaast is het belangrijk om de gedachte achter het benodigde gedrag t.b.v. het veilig omgaan met informatie te stimuleren en (on)bewust te prikkelen. Bijvoorbeeld door stickers op gesloten prullenbakken met daarop ‘gebruik mij voor je gevoelige documenten’. Ga uit van de veronderstelling dat de meerderheid van het gedrag gebaseerd is op onwetendheid.

2. Voorbeeldgedrag

De tweede factor die van invloed is op het gedrag van medewerkers is voorbeeldgedrag. Om te bepalen welke normen op ons van toepassing zijn, kijken we naar het gedrag van anderen en dan met name naar personen die voor ons van betekenis zijn (denk aan je ouders). Binnen gemeenten zijn dit naast direct leidinggevende, ook het bestuur en management. De mate van ethiek en integriteit binnen de gemeente wordt dus in grote mate bepaalt door de houding en het gedrag van leidinggevenden. Mensen zijn geneigd zichzelf te spiegelen aan het gedrag van anderen, ook al staat op papier dat het anders moet. Als een medewerker zijn leidinggevende bijvoorbeeld elke dag zijn toegangspas zichtbaar ziet dragen, zal hij eerder geneigd zijn dit ook te doen. Zeker wanneer je hier ook nog eens door je leidinggevende op wordt aangesproken. Andersom werkt het helaas ook zo.

3. Uitvoerbaarheid

Naast dat medewerkers moeten weten wat gewenst en ongewenst gedrag is, is het ook belangrijk dat ze het kunnen doen. Ze dienen de ruimte en mogelijkheid te krijgen om doelen, taken en verantwoordelijkheden te realiseren. Bovendien is het van belang dat medewerkers de informatie naar hun eigen specifieke situatie (leren) vertalen. Door het vermogen om nieuwe vaardigheden te leren (bijv. door training) en aan te sturen op ander gedrag, wordt de verandering beter geaccepteerd.

Daarnaast dienen de juiste middelen beschikbaar te zijn. Wanneer je een alternatief biedt voor het versturen van vertrouwelijke gegevens en dit blijkt in praktijk niet te werken, dan heeft dit als gevolg dat collega’s het juist gaan omzeilen en dus onveilig handelen. Maar ook het gebrek aan ruimtes om vertrouwelijke gesprekken te voeren of kluisjes vallen hieronder. Houd ook rekening met de verschillende niveaus van kennis, begrip en functionele betrokkenheid binnen de organisatie. Binnen een gemeente heb je verschillende informatiebehoeftes, maar ook verschillende vaardigheden (vermogen). Het is belangrijk de communicatie goed te laten aansluiten op de kennis/werkzaamheden van de collega’s, zodat het blijft hangen en hen een concreet handelingsperspectief biedt passend bij hun functie.

Dit waren de eerste drie factoren die het gedrag van mensen in een organisatie kunnen beïnvloeden. In het volgende deel van deze blogreeks ga ik verder met de factoren betrokkenheid, transparantie, bespreekbaarheid en handhaving. Nu al meer weten? Neem dan contact met ons op.

Renco Schoemaker
Recente berichten van Renco Schoemaker (bekijk alles)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Een erbarmelijke evaluatie

Het rapport ‘Evaluatie en versterking ENSIA-stelsel’ is vrij geruisloos gepubliceerd op de website Digitale Overheid. Renco Schoemaker vindt de kwaliteit van het evaluatierapport onder de maat. In deze blog lees waarom!

Je medewerkers ‘beveiligen’; hoe doe je dat?

In de Baseline Informatiebeveiliging Overheid (BIO) worden eisen benoemd als het gaat om personele beveiliging (hoofdstuk 7). In deze blog lees je hoe je kunt zorgen voor een veilige instroom, doorstroom en uitstroom van medewerkers.

ENSIA: méér dan de C in PDCA?

Lokale overheden leggen middels de ENSIA-systematiek jaarlijks verantwoording af over informatiebeveiliging. M.i.v. dit jaar gaat dit grotendeels langs de lat van de BIO. ENSIA wordt in de praktijk gemakkelijk gereduceerd tot een verplichte, jaarl…

In vijf stappen een goed informatiebeveiligingsbeleid

De allereerste maatregel uit de BIO, en ook gelijk de belangrijkste, is het hebben van een informatiebeveiligingsbeleid. In deze blog de vijf stappen naar een goed informatiebeveiligingsbeleid en dito implementatie.

Rechten van betrokkenen toepassen

Laatst was ik bij een gemeente die de inwoner een verzoek in het kader van dataportabiliteit liet indienen bij een verhuizing naar een andere gemeente, om het dossier rond de bijstandsuitkering bij de nieuwe gemeente te krijgen. Punten voor de cre…

Tips voor het beveiligen van Office 365

Eind april actualiseerde het Amerikaans ‘Cybersecurity & Infrastructure Security Agency’ (CISA) haar beveiligingsadvies voor Microsoft Office 365. Dat is relevante informatie omdat veel gemeenten momenteel, al dan niet versneld n.a.v. de noodzaak …