Skip to main content

Goed voorbeeld doet goed volgen – deel 1


En slecht voorbeeld helaas slecht volgen… Zoals Ferdinand Grapperhaus, minister van Justitie en Veiligheid, vorig jaar zei: “Als je leidinggevende het niet zo serieus neemt met zijn of haar digitale veiligheid, dan zal je dat als werknemer ook niet snel doen.” Hij riep ertoe op dat iedereen binnen een bedrijf moet beseffen hoe belangrijk het is om digitale beveiliging serieus te nemen en dat iedereen met een voorbeeldfunctie verantwoordelijkheid moet nemen en digitaal leiderschap moet tonen”. Maar wat houdt dat in? En wat is daarvoor nodig? Dat behandelen we in deze tweedelige blogreeks.

Als het gaat om digitale veiligheid hebben we te maken met wet- en regelgeving (AVG), beleid (o.a. de BIO) en allerlei procedures en gedragscodes. De verantwoordelijkheid voor het (doen) naleven hiervan ligt bij directie en management; zij zijn immers integraal verantwoordelijk voor de processen en daarmee ook voor een veilig gebruik van informatie. Eerder schreef ik al de blog ‘Lijnmanagers hebben de CISO hard nodig (i.p.v. andersom)‘, waarin ik verder inga op de grote rol en verantwoordelijkheid die voor het lijnmanagement is weggelegd. 

Wat is jouw prijs?

In de praktijk zien we echter dat directie en management nog steeds veel leunen op de CISO en Privacy Officer, want: ‘zij zijn er toch van?’, alsook op de integriteit van medewerkers. Dit wordt vaak gebruikt als argument om delen van de BIO en AVG achterwege te laten. Zeker binnen gemeenten, waar iedere medewerker een eed en integriteitstoets aan het begin van zijn/haar dienstverband aflegt. Maar bieden deze (gedrags-)regels ook de garantie dat medewerkers het goede doen? En kun je, als het gaat om werken met privacygevoelige informatie, volledig vertrouwen op die integriteit van medewerkers? Incidenten ontstaan vaak door (onbewust) onzorgvuldig handelen. En als dit herhaaldelijk gebeurt en voorkomen had kunnen worden, wordt het uiteindelijk een integriteitsschending.

Deze en vele andere vragen naar het gedrag van mensen en organisaties zijn actueler dan ooit. Ik schreef eerder al een blog over de integriteit van mensen en hoe zwaar je hierop kunt leunen. Hierin geef ik ook aan dat de vraag niet zozeer zou moeten zijn of mensen integer zijn of niet, maar meer hoe lang en onder welke condities ze dit zijn. Welke verleidingen kunnen we weerstaan en wanneer zijn we bereid onze eigen integriteit te schenden (gelegenheid maakt de dief) of prijs te geven (zoals bij omkoping). Iedereen is immers te verleiden, de vraag is alleen wat de prijs van eenieder is.

Ethiek op het werk

Muel Kaptein, hoogleraar Bedrijfskunde aan de Erasmus Universiteit Rotterdam, schreef het boek ‘Waarom goede mensen soms de verkeerde dingen doen‘. Aan de hand van wetenschappelijke experimenten en praktijkvoorbeelden beschrijft hij waarom goede mensen soms de verkeerde dingen doen. Uit zijn promotieonderzoek, waarbij hij veel uiteenlopende organisaties heeft geanalyseerd, blijkt dat er zeven factoren zijn die het gedrag van mensen binnen een organisatie beïnvloeden. Naarmate deze factoren meer aanwezig zijn, vindt er minder onethisch gedrag plaats op het werk. In deze blogreeks zet ik deze zeven factoren op een rij en maak ik ze concreet en tastbaar als het gaat om informatiebeveiliging en privacy.

1. Helderheid

Maak duidelijk wat je van medewerkers verwacht op het vlak van digitale veiligheid. Het vastleggen van normen, waarden en verantwoordelijkheden in plannen is een goed begin. Maar als deze vervolgens in de la belanden gaat er niks veranderen. Het is belangrijk dat managers en medewerkers ook weten wat er concreet van hén wordt verwacht. Vaak wordt er gecommuniceerd over wat ongewenst gedrag is: laat je computer niet onbeheerd achter, gooi geen vertrouwelijk documenten in de oud papierbak, stuur geen BSN’s per mail, et cetera. Maar wees ook helder in wat je dan wél van mensen verwacht (het gewenste gedrag). Communiceer hier duidelijk over: lock je computer, gebruik de afgesloten prullenbak, gebruik versleutelde mail.

Daarnaast is het belangrijk om de gedachte achter het benodigde gedrag t.b.v. het veilig omgaan met informatie te stimuleren en (on)bewust te prikkelen. Bijvoorbeeld door stickers op gesloten prullenbakken met daarop ‘gebruik mij voor je gevoelige documenten’. Ga uit van de veronderstelling dat de meerderheid van het gedrag gebaseerd is op onwetendheid.

2. Voorbeeldgedrag

De tweede factor die van invloed is op het gedrag van medewerkers is voorbeeldgedrag. Om te bepalen welke normen op ons van toepassing zijn, kijken we naar het gedrag van anderen en dan met name naar personen die voor ons van betekenis zijn (denk aan je ouders). Binnen gemeenten zijn dit naast direct leidinggevende, ook het bestuur en management. De mate van ethiek en integriteit binnen de gemeente wordt dus in grote mate bepaalt door de houding en het gedrag van leidinggevenden. Mensen zijn geneigd zichzelf te spiegelen aan het gedrag van anderen, ook al staat op papier dat het anders moet. Als een medewerker zijn leidinggevende bijvoorbeeld elke dag zijn toegangspas zichtbaar ziet dragen, zal hij eerder geneigd zijn dit ook te doen. Zeker wanneer je hier ook nog eens door je leidinggevende op wordt aangesproken. Andersom werkt het helaas ook zo.

3. Uitvoerbaarheid

Naast dat medewerkers moeten weten wat gewenst en ongewenst gedrag is, is het ook belangrijk dat ze het kunnen doen. Ze dienen de ruimte en mogelijkheid te krijgen om doelen, taken en verantwoordelijkheden te realiseren. Bovendien is het van belang dat medewerkers de informatie naar hun eigen specifieke situatie (leren) vertalen. Door het vermogen om nieuwe vaardigheden te leren (bijv. door training) en aan te sturen op ander gedrag, wordt de verandering beter geaccepteerd.

Daarnaast dienen de juiste middelen beschikbaar te zijn. Wanneer je een alternatief biedt voor het versturen van vertrouwelijke gegevens en dit blijkt in praktijk niet te werken, dan heeft dit als gevolg dat collega’s het juist gaan omzeilen en dus onveilig handelen. Maar ook het gebrek aan ruimtes om vertrouwelijke gesprekken te voeren of kluisjes vallen hieronder. Houd ook rekening met de verschillende niveaus van kennis, begrip en functionele betrokkenheid binnen de organisatie. Binnen een gemeente heb je verschillende informatiebehoeftes, maar ook verschillende vaardigheden (vermogen). Het is belangrijk de communicatie goed te laten aansluiten op de kennis/werkzaamheden van de collega’s, zodat het blijft hangen en hen een concreet handelingsperspectief biedt passend bij hun functie.

Dit waren de eerste drie factoren die het gedrag van mensen in een organisatie kunnen beïnvloeden. In het volgende deel van deze blogreeks ga ik verder met de factoren betrokkenheid, transparantie, bespreekbaarheid en handhaving. Nu al meer weten? Neem dan contact met ons op.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…