Skip to main content

Goed voorbeeld doet goed volgen – deel 2


Volgens Ferdinand Grapperhaus, minister van Justitie en Veiligheid, moet iedereen met een voorbeeldfunctie zijn verantwoordelijk nemen en digitaal leiderschap tonen. Maar hoe doe je dat? De zeven factoren uit het promotieonderzoek van Muel Kaptein, hoogleraar Bedrijfskunde, kunnen je daarbij helpen. De eerste drie factoren heb ik de vorige keer behandeld. Lees snel verder voor de rest.

Directie en management zijn weliswaar integraal verantwoordelijk voor de processen en daarmee ook voor een veilig gebruik van informatie, maar in de praktijk leunen ze sterk op de CISO en Privacy Officer. En zeker bij gemeenten op de integriteit van de medewerker. Hoe lang en onder welke condities kan je daar op leunen? Uit het onderzoek van Muel Kaptein, hoogleraar Bedrijfskunde aan de Erasmus Universiteit Rotterdam, blijkt dat er zeven factoren zijn die het gedrag van mensen binnen een organisatie beïnvloeden. In deel 1 van deze reeks heb ik de factoren helderheid, voorbeeldgedrag en uitvoerbaarheid behandeld. Nu ga ik verder met de laatste vier factoren.

4. Betrokkenheid

Gewenst gedrag hangt niet alleen af van of mensen het weten en kunnen, maar ook van de mate waarin zij gemotiveerd zijn om te doen wat gewenst is, ofwel hoe betrokken zijn medewerkers bij de organisatie? Betrokkenheid van directie, management en de ondersteunende afdelingen is cruciaal om gedragsverandering te realiseren. Het is van groot belang dat bij hen een positieve houding ontstaat ten aanzien van informatiebeveiliging en privacy en dat daarbij ook de eigen (voorbeeld)rol en verantwoordelijkheid wordt bezien. Voor medewerkers geldt dat wanneer zij zich gericht aangesproken voelen, dit bijdraagt aan het gewenste betrokkenheidsniveau. Dit doe je door het verpersoonlijken van het proces (wat heb ik eraan?), met als gevolg een verandering in houding en gedrag. Wanneer je medewerkers intrinsiek weet te motiveren, zullen zij gemotiveerd raken om deel te nemen aan de verandering en het ook ondersteunen.

5. Transparantie

Hierbij gaat het om de mate waarin medewerkers zicht hebben op hun eigen gedrag en de effecten ervan. Dit is belangrijk bij het vergroten van bewustwording en het eigen verantwoordelijkheidsbesef. Laat medewerkers bijvoorbeeld eens hun eigen gedrag beoordelen; in welke mate vinden zij zelf dat ze te maken hebben met informatiebeveiliging en privacy in hun werk? En wat kunnen zij zelf anders doen om informatieveiliger te werken? Daarnaast kan transparantie worden bevorderd door controles uit te voeren. Zoals dit gebeurt bij het rechtmatig gebruik van bijvoorbeeld Suwinet. Hier wordt gelogd wat medewerkers doen en deze lograpportages worden weer gecontroleerd. Een hoge pakkans kan dus afschrikken, maar niet als mensen niet weten dat ze iets fout doen. Maak het eigen gedrag dus bespreekbaar. Van nature vinden mensen het eng om transparant te zijn, maar het kan juist helpen om hun eigen gedrag te verbeteren. En transparantie kan weer leiden tot meer betrokkenheid. Als medewerkers inzien hoe hun eigen rol en handelen de organisatie helpt, werkt dat motiverend. Houd medewerkers dus op de hoogte.

6. Bespreekbaarheid

Maak informatiebeveiliging en privacy bespreekbaar! Bijvoorbeeld tijdens een teamoverleg en/of evaluatiegesprek, maar ook binnen de gehele organisatie. Zo is het belangrijk dat collega’s niet bang zijn om incidenten te melden. Een incident of datalek kan iedereen overkomen, we zijn immers mensen. Door hier openlijk met elkaar over te praten kan dit een gevoel van veiligheid creëren (he, het is oké om fouten te maken), herkenning (door datalekken intern te delen, herkennen mensen datalekken eerder) en verbetering (wat kunnen we ervan leren en in de toekomst beter doen) maar ook kan erger voorkomen worden. Kortom, bij een informatieveilige omgeving hoort ook een veilige (meld)cultuur. Dit is niet voor niets ook één van de tien bestuurlijke principes die zijn opgesteld door de Vereniging voor Nederlandse Gemeenten (VNG) als aanvulling op de BIO en bedoeld zijn om bestuurders te helpen in het nemen van deze verantwoordelijkheid. Benieuwd naar de andere principes? Lees dan deze blog die ik hier eerder over schreef.

7. Handhaving

Tot slot de zevende en laatste factor, handhaving. Als gemeente dien je kaders en grenzen te stellen als het gaat om het veilig omgaan met informatie. Dat is voor veel mensen nodig willen ze iets belangrijk vinden. Houden medewerkers zich hier niet aan? Dan kun je als gemeente jezelf de vraag stellen of iemand wel de juiste persoon is binnen een gemeentelijke werkomgeving waar alles draait om het bezit, beheer, verwerken en hergebruiken van privacygevoelige gegevens van burgers. Neem bijvoorbeeld het recente incident bij gemeente Castricum, waar vijf ambtenaren die werkzaam zijn voor BUCH per direct geschorst zijn omdat zij misbruik hebben gemaakt van computersystemen van de gemeenten. Maar ook het belonen van goed gedrag kan helpen bij gedragsverandering. Bijvoorbeeld door waardering uit te spreken naar collega’s die het gewenst gedrag vertonen (wat goed dat je hier melding van maakt) of een beloning voor iedereen die melding heeft gemaakt van een phishingmail tijdens een phishingactie. Dit stimuleert mensen het gewenste gedrag te vertonen.

De behandelde factoren uit deze blogreeks helpen de digitale veiligheid binnen jouw gemeente te verhogen. Belangrijk hierbij is wel dat je dit moet blijven herhalen wil je iets voor de langere termijn voor elkaar krijgen en borgen.

Ben je na het lezen van deze reeks benieuwd naar hoe je nog meer aan de slag kunt om een informatiebewuste gemeentecultuur te creëren én vast te houden? Wij behandelen dit onderwerp ook in ons boek ‘Gemeenten. Bewustzijn. Privacy.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

In 5 stappen naar een succesvolle GAP-analyse van de BIO

: Een GAP-analyse geeft snel inzicht in hoeverre jouw gemeente voldoet aan de normen van de BIO. Het laat zien wat al goed geregeld is en waar nog verbeteringen nodig zijn. Maar hoe voer je een GAP-analyse effectief uit? In deze blog ontdek je het…

Wat is ethisch hacken en waarom is het belangrijk?

Stel je voor dat je een inbreker bent, maar dan eentje met goede bedoelingen. Je zoekt naar zwakke plekken in een huis om de eigenaar te waarschuwen, zodat hij ze kan repareren. Dat is precies wat ethical hackers doen, maar dan met computers en ne…

Applicatiebeheer en de AVG: wat moet je weten?

Als applicatiebeheerder beheer je alle applicaties waarin persoonsgegevens worden verwerkt binnen de gemeente. Maar hoe zorg je dat deze applicaties voldoen aan de vereisten van de AVG?

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…