Volgens Ferdinand Grapperhaus, minister van Justitie en Veiligheid, moet iedereen met een voorbeeldfunctie zijn verantwoordelijk nemen en digitaal leiderschap tonen. Maar hoe doe je dat? De zeven factoren uit het promotieonderzoek van Muel Kaptein, hoogleraar Bedrijfskunde, kunnen je daarbij helpen. De eerste drie factoren heb ik de vorige keer behandeld. Lees snel verder voor de rest.

Directie en management zijn weliswaar integraal verantwoordelijk voor de processen en daarmee ook voor een veilig gebruik van informatie, maar in de praktijk leunen ze sterk op de CISO en Privacy Officer. En zeker bij gemeenten op de integriteit van de medewerker. Hoe lang en onder welke condities kan je daar op leunen? Uit het onderzoek van Muel Kaptein, hoogleraar Bedrijfskunde aan de Erasmus Universiteit Rotterdam, blijkt dat er zeven factoren zijn die het gedrag van mensen binnen een organisatie beïnvloeden. In deel 1 van deze reeks heb ik de factoren helderheid, voorbeeldgedrag en uitvoerbaarheid behandeld. Nu ga ik verder met de laatste vier factoren.

4. Betrokkenheid

Gewenst gedrag hangt niet alleen af van of mensen het weten en kunnen, maar ook van de mate waarin zij gemotiveerd zijn om te doen wat gewenst is, ofwel hoe betrokken zijn medewerkers bij de organisatie? Betrokkenheid van directie, management en de ondersteunende afdelingen is cruciaal om gedragsverandering te realiseren. Het is van groot belang dat bij hen een positieve houding ontstaat ten aanzien van informatiebeveiliging en privacy en dat daarbij ook de eigen (voorbeeld)rol en verantwoordelijkheid wordt bezien. Voor medewerkers geldt dat wanneer zij zich gericht aangesproken voelen, dit bijdraagt aan het gewenste betrokkenheidsniveau. Dit doe je door het verpersoonlijken van het proces (wat heb ik eraan?), met als gevolg een verandering in houding en gedrag. Wanneer je medewerkers intrinsiek weet te motiveren, zullen zij gemotiveerd raken om deel te nemen aan de verandering en het ook ondersteunen.

5. Transparantie

Hierbij gaat het om de mate waarin medewerkers zicht hebben op hun eigen gedrag en de effecten ervan. Dit is belangrijk bij het vergroten van bewustwording en het eigen verantwoordelijkheidsbesef. Laat medewerkers bijvoorbeeld eens hun eigen gedrag beoordelen; in welke mate vinden zij zelf dat ze te maken hebben met informatiebeveiliging en privacy in hun werk? En wat kunnen zij zelf anders doen om informatieveiliger te werken? Daarnaast kan transparantie worden bevorderd door controles uit te voeren. Zoals dit gebeurt bij het rechtmatig gebruik van bijvoorbeeld Suwinet. Hier wordt gelogd wat medewerkers doen en deze lograpportages worden weer gecontroleerd. Een hoge pakkans kan dus afschrikken, maar niet als mensen niet weten dat ze iets fout doen. Maak het eigen gedrag dus bespreekbaar. Van nature vinden mensen het eng om transparant te zijn, maar het kan juist helpen om hun eigen gedrag te verbeteren. En transparantie kan weer leiden tot meer betrokkenheid. Als medewerkers inzien hoe hun eigen rol en handelen de organisatie helpt, werkt dat motiverend. Houd medewerkers dus op de hoogte.

6. Bespreekbaarheid

Maak informatiebeveiliging en privacy bespreekbaar! Bijvoorbeeld tijdens een teamoverleg en/of evaluatiegesprek, maar ook binnen de gehele organisatie. Zo is het belangrijk dat collega’s niet bang zijn om incidenten te melden. Een incident of datalek kan iedereen overkomen, we zijn immers mensen. Door hier openlijk met elkaar over te praten kan dit een gevoel van veiligheid creëren (he, het is oké om fouten te maken), herkenning (door datalekken intern te delen, herkennen mensen datalekken eerder) en verbetering (wat kunnen we ervan leren en in de toekomst beter doen) maar ook kan erger voorkomen worden. Kortom, bij een informatieveilige omgeving hoort ook een veilige (meld)cultuur. Dit is niet voor niets ook één van de tien bestuurlijke principes die zijn opgesteld door de Vereniging voor Nederlandse Gemeenten (VNG) als aanvulling op de BIO en bedoeld zijn om bestuurders te helpen in het nemen van deze verantwoordelijkheid. Benieuwd naar de andere principes? Lees dan deze blog die ik hier eerder over schreef.

7. Handhaving

Tot slot de zevende en laatste factor, handhaving. Als gemeente dien je kaders en grenzen te stellen als het gaat om het veilig omgaan met informatie. Dat is voor veel mensen nodig willen ze iets belangrijk vinden. Houden medewerkers zich hier niet aan? Dan kun je als gemeente jezelf de vraag stellen of iemand wel de juiste persoon is binnen een gemeentelijke werkomgeving waar alles draait om het bezit, beheer, verwerken en hergebruiken van privacygevoelige gegevens van burgers. Neem bijvoorbeeld het recente incident bij gemeente Castricum, waar vijf ambtenaren die werkzaam zijn voor BUCH per direct geschorst zijn omdat zij misbruik hebben gemaakt van computersystemen van de gemeenten. Maar ook het belonen van goed gedrag kan helpen bij gedragsverandering. Bijvoorbeeld door waardering uit te spreken naar collega’s die het gewenst gedrag vertonen (wat goed dat je hier melding van maakt) of een beloning voor iedereen die melding heeft gemaakt van een phishingmail tijdens een phishingactie. Dit stimuleert mensen het gewenste gedrag te vertonen.

De behandelde factoren uit deze blogreeks helpen de digitale veiligheid binnen jouw gemeente te verhogen. Belangrijk hierbij is wel dat je dit moet blijven herhalen wil je iets voor de langere termijn voor elkaar krijgen en borgen.

Ben je na het lezen van deze reeks benieuwd naar hoe je nog meer aan de slag kunt om een informatiebewuste gemeentecultuur te creëren én vast te houden? Wij behandelen dit onderwerp ook in ons boek ‘Gemeenten. Bewustzijn. Privacy.‘