Goed voorbeeld doet goed volgen – deel 2


Volgens Ferdinand Grapperhaus, minister van Justitie en Veiligheid, moet iedereen met een voorbeeldfunctie zijn verantwoordelijk nemen en digitaal leiderschap tonen. Maar hoe doe je dat? De zeven factoren uit het promotieonderzoek van Muel Kaptein, hoogleraar Bedrijfskunde, kunnen je daarbij helpen. De eerste drie factoren heb ik de vorige keer behandeld. Lees snel verder voor de rest.

Directie en management zijn weliswaar integraal verantwoordelijk voor de processen en daarmee ook voor een veilig gebruik van informatie, maar in de praktijk leunen ze sterk op de CISO en Privacy Officer. En zeker bij gemeenten op de integriteit van de medewerker. Hoe lang en onder welke condities kan je daar op leunen? Uit het onderzoek van Muel Kaptein, hoogleraar Bedrijfskunde aan de Erasmus Universiteit Rotterdam, blijkt dat er zeven factoren zijn die het gedrag van mensen binnen een organisatie beïnvloeden. In deel 1 van deze reeks heb ik de factoren helderheid, voorbeeldgedrag en uitvoerbaarheid behandeld. Nu ga ik verder met de laatste vier factoren.

4. Betrokkenheid

Gewenst gedrag hangt niet alleen af van of mensen het weten en kunnen, maar ook van de mate waarin zij gemotiveerd zijn om te doen wat gewenst is, ofwel hoe betrokken zijn medewerkers bij de organisatie? Betrokkenheid van directie, management en de ondersteunende afdelingen is cruciaal om gedragsverandering te realiseren. Het is van groot belang dat bij hen een positieve houding ontstaat ten aanzien van informatiebeveiliging en privacy en dat daarbij ook de eigen (voorbeeld)rol en verantwoordelijkheid wordt bezien. Voor medewerkers geldt dat wanneer zij zich gericht aangesproken voelen, dit bijdraagt aan het gewenste betrokkenheidsniveau. Dit doe je door het verpersoonlijken van het proces (wat heb ik eraan?), met als gevolg een verandering in houding en gedrag. Wanneer je medewerkers intrinsiek weet te motiveren, zullen zij gemotiveerd raken om deel te nemen aan de verandering en het ook ondersteunen.

5. Transparantie

Hierbij gaat het om de mate waarin medewerkers zicht hebben op hun eigen gedrag en de effecten ervan. Dit is belangrijk bij het vergroten van bewustwording en het eigen verantwoordelijkheidsbesef. Laat medewerkers bijvoorbeeld eens hun eigen gedrag beoordelen; in welke mate vinden zij zelf dat ze te maken hebben met informatiebeveiliging en privacy in hun werk? En wat kunnen zij zelf anders doen om informatieveiliger te werken? Daarnaast kan transparantie worden bevorderd door controles uit te voeren. Zoals dit gebeurt bij het rechtmatig gebruik van bijvoorbeeld Suwinet. Hier wordt gelogd wat medewerkers doen en deze lograpportages worden weer gecontroleerd. Een hoge pakkans kan dus afschrikken, maar niet als mensen niet weten dat ze iets fout doen. Maak het eigen gedrag dus bespreekbaar. Van nature vinden mensen het eng om transparant te zijn, maar het kan juist helpen om hun eigen gedrag te verbeteren. En transparantie kan weer leiden tot meer betrokkenheid. Als medewerkers inzien hoe hun eigen rol en handelen de organisatie helpt, werkt dat motiverend. Houd medewerkers dus op de hoogte.

6. Bespreekbaarheid

Maak informatiebeveiliging en privacy bespreekbaar! Bijvoorbeeld tijdens een teamoverleg en/of evaluatiegesprek, maar ook binnen de gehele organisatie. Zo is het belangrijk dat collega’s niet bang zijn om incidenten te melden. Een incident of datalek kan iedereen overkomen, we zijn immers mensen. Door hier openlijk met elkaar over te praten kan dit een gevoel van veiligheid creëren (he, het is oké om fouten te maken), herkenning (door datalekken intern te delen, herkennen mensen datalekken eerder) en verbetering (wat kunnen we ervan leren en in de toekomst beter doen) maar ook kan erger voorkomen worden. Kortom, bij een informatieveilige omgeving hoort ook een veilige (meld)cultuur. Dit is niet voor niets ook één van de tien bestuurlijke principes die zijn opgesteld door de Vereniging voor Nederlandse Gemeenten (VNG) als aanvulling op de BIO en bedoeld zijn om bestuurders te helpen in het nemen van deze verantwoordelijkheid. Benieuwd naar de andere principes? Lees dan deze blog die ik hier eerder over schreef.

7. Handhaving

Tot slot de zevende en laatste factor, handhaving. Als gemeente dien je kaders en grenzen te stellen als het gaat om het veilig omgaan met informatie. Dat is voor veel mensen nodig willen ze iets belangrijk vinden. Houden medewerkers zich hier niet aan? Dan kun je als gemeente jezelf de vraag stellen of iemand wel de juiste persoon is binnen een gemeentelijke werkomgeving waar alles draait om het bezit, beheer, verwerken en hergebruiken van privacygevoelige gegevens van burgers. Neem bijvoorbeeld het recente incident bij gemeente Castricum, waar vijf ambtenaren die werkzaam zijn voor BUCH per direct geschorst zijn omdat zij misbruik hebben gemaakt van computersystemen van de gemeenten. Maar ook het belonen van goed gedrag kan helpen bij gedragsverandering. Bijvoorbeeld door waardering uit te spreken naar collega’s die het gewenst gedrag vertonen (wat goed dat je hier melding van maakt) of een beloning voor iedereen die melding heeft gemaakt van een phishingmail tijdens een phishingactie. Dit stimuleert mensen het gewenste gedrag te vertonen.

De behandelde factoren uit deze blogreeks helpen de digitale veiligheid binnen jouw gemeente te verhogen. Belangrijk hierbij is wel dat je dit moet blijven herhalen wil je iets voor de langere termijn voor elkaar krijgen en borgen.

Ben je na het lezen van deze reeks benieuwd naar hoe je nog meer aan de slag kunt om een informatiebewuste gemeentecultuur te creëren én vast te houden? Wij behandelen dit onderwerp ook in ons boek ‘Gemeenten. Bewustzijn. Privacy.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…

Wanneer gebruik je BBN2+?

Binnen de BIO wordt gebruik gemaakt van drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heef…