Goed voorbeeld doet goed volgen – deel 2


Volgens Ferdinand Grapperhaus, minister van Justitie en Veiligheid, moet iedereen met een voorbeeldfunctie zijn verantwoordelijk nemen en digitaal leiderschap tonen. Maar hoe doe je dat? De zeven factoren uit het promotieonderzoek van Muel Kaptein, hoogleraar Bedrijfskunde, kunnen je daarbij helpen. De eerste drie factoren heb ik de vorige keer behandeld. Lees snel verder voor de rest.

Directie en management zijn weliswaar integraal verantwoordelijk voor de processen en daarmee ook voor een veilig gebruik van informatie, maar in de praktijk leunen ze sterk op de CISO en Privacy Officer. En zeker bij gemeenten op de integriteit van de medewerker. Hoe lang en onder welke condities kan je daar op leunen? Uit het onderzoek van Muel Kaptein, hoogleraar Bedrijfskunde aan de Erasmus Universiteit Rotterdam, blijkt dat er zeven factoren zijn die het gedrag van mensen binnen een organisatie beïnvloeden. In deel 1 van deze reeks heb ik de factoren helderheid, voorbeeldgedrag en uitvoerbaarheid behandeld. Nu ga ik verder met de laatste vier factoren.

4. Betrokkenheid

Gewenst gedrag hangt niet alleen af van of mensen het weten en kunnen, maar ook van de mate waarin zij gemotiveerd zijn om te doen wat gewenst is, ofwel hoe betrokken zijn medewerkers bij de organisatie? Betrokkenheid van directie, management en de ondersteunende afdelingen is cruciaal om gedragsverandering te realiseren. Het is van groot belang dat bij hen een positieve houding ontstaat ten aanzien van informatiebeveiliging en privacy en dat daarbij ook de eigen (voorbeeld)rol en verantwoordelijkheid wordt bezien. Voor medewerkers geldt dat wanneer zij zich gericht aangesproken voelen, dit bijdraagt aan het gewenste betrokkenheidsniveau. Dit doe je door het verpersoonlijken van het proces (wat heb ik eraan?), met als gevolg een verandering in houding en gedrag. Wanneer je medewerkers intrinsiek weet te motiveren, zullen zij gemotiveerd raken om deel te nemen aan de verandering en het ook ondersteunen.

5. Transparantie

Hierbij gaat het om de mate waarin medewerkers zicht hebben op hun eigen gedrag en de effecten ervan. Dit is belangrijk bij het vergroten van bewustwording en het eigen verantwoordelijkheidsbesef. Laat medewerkers bijvoorbeeld eens hun eigen gedrag beoordelen; in welke mate vinden zij zelf dat ze te maken hebben met informatiebeveiliging en privacy in hun werk? En wat kunnen zij zelf anders doen om informatieveiliger te werken? Daarnaast kan transparantie worden bevorderd door controles uit te voeren. Zoals dit gebeurt bij het rechtmatig gebruik van bijvoorbeeld Suwinet. Hier wordt gelogd wat medewerkers doen en deze lograpportages worden weer gecontroleerd. Een hoge pakkans kan dus afschrikken, maar niet als mensen niet weten dat ze iets fout doen. Maak het eigen gedrag dus bespreekbaar. Van nature vinden mensen het eng om transparant te zijn, maar het kan juist helpen om hun eigen gedrag te verbeteren. En transparantie kan weer leiden tot meer betrokkenheid. Als medewerkers inzien hoe hun eigen rol en handelen de organisatie helpt, werkt dat motiverend. Houd medewerkers dus op de hoogte.

6. Bespreekbaarheid

Maak informatiebeveiliging en privacy bespreekbaar! Bijvoorbeeld tijdens een teamoverleg en/of evaluatiegesprek, maar ook binnen de gehele organisatie. Zo is het belangrijk dat collega’s niet bang zijn om incidenten te melden. Een incident of datalek kan iedereen overkomen, we zijn immers mensen. Door hier openlijk met elkaar over te praten kan dit een gevoel van veiligheid creëren (he, het is oké om fouten te maken), herkenning (door datalekken intern te delen, herkennen mensen datalekken eerder) en verbetering (wat kunnen we ervan leren en in de toekomst beter doen) maar ook kan erger voorkomen worden. Kortom, bij een informatieveilige omgeving hoort ook een veilige (meld)cultuur. Dit is niet voor niets ook één van de tien bestuurlijke principes die zijn opgesteld door de Vereniging voor Nederlandse Gemeenten (VNG) als aanvulling op de BIO en bedoeld zijn om bestuurders te helpen in het nemen van deze verantwoordelijkheid. Benieuwd naar de andere principes? Lees dan deze blog die ik hier eerder over schreef.

7. Handhaving

Tot slot de zevende en laatste factor, handhaving. Als gemeente dien je kaders en grenzen te stellen als het gaat om het veilig omgaan met informatie. Dat is voor veel mensen nodig willen ze iets belangrijk vinden. Houden medewerkers zich hier niet aan? Dan kun je als gemeente jezelf de vraag stellen of iemand wel de juiste persoon is binnen een gemeentelijke werkomgeving waar alles draait om het bezit, beheer, verwerken en hergebruiken van privacygevoelige gegevens van burgers. Neem bijvoorbeeld het recente incident bij gemeente Castricum, waar vijf ambtenaren die werkzaam zijn voor BUCH per direct geschorst zijn omdat zij misbruik hebben gemaakt van computersystemen van de gemeenten. Maar ook het belonen van goed gedrag kan helpen bij gedragsverandering. Bijvoorbeeld door waardering uit te spreken naar collega’s die het gewenst gedrag vertonen (wat goed dat je hier melding van maakt) of een beloning voor iedereen die melding heeft gemaakt van een phishingmail tijdens een phishingactie. Dit stimuleert mensen het gewenste gedrag te vertonen.

De behandelde factoren uit deze blogreeks helpen de digitale veiligheid binnen jouw gemeente te verhogen. Belangrijk hierbij is wel dat je dit moet blijven herhalen wil je iets voor de langere termijn voor elkaar krijgen en borgen.

Ben je na het lezen van deze reeks benieuwd naar hoe je nog meer aan de slag kunt om een informatiebewuste gemeentecultuur te creëren én vast te houden? Wij behandelen dit onderwerp ook in ons boek ‘Gemeenten. Bewustzijn. Privacy.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

ENSIA: méér dan de C in PDCA?

Lokale overheden leggen middels de ENSIA-systematiek jaarlijks verantwoording af over informatiebeveiliging. M.i.v. dit jaar gaat dit grotendeels langs de lat van de BIO. ENSIA wordt in de praktijk gemakkelijk gereduceerd tot een verplichte, jaarlijkse onderhoudsbeurt. Maar het is zoveel meer, toch?

In vijf stappen een goed informatiebeveiligingsbeleid

De allereerste maatregel uit de BIO, en ook gelijk de belangrijkste, is het hebben van een informatiebeveiligingsbeleid. In deze blog de vijf stappen naar een goed informatiebeveiligingsbeleid en dito implementatie.

Rechten van betrokkenen toepassen

Laatst was ik bij een gemeente die de inwoner een verzoek in het kader van dataportabiliteit liet indienen bij een verhuizing naar een andere gemeente, om het dossier rond de bijstandsuitkering bij de nieuwe gemeente te krijgen. Punten voor de creativiteit, maar niet helemaal waar het recht op overdraagbaarheid voor bedoeld is. In deze blog leg ik uit voor welke rechten betrokkenen een verzoek kunnen indienen, wanneer ze van toepassing zijn en hoe je daar praktisch invulling aan kunt geven.

Tips voor het beveiligen van Office 365

Eind april actualiseerde het Amerikaans ‘Cybersecurity & Infrastructure Security Agency’ (CISA) haar beveiligingsadvies voor Microsoft Office 365. Dat is relevante informatie omdat veel gemeenten momenteel, al dan niet versneld n.a.v. de noodzaak tot thuiswerken, bezig zijn met het uitrollen van Office 365. Daarom vandaag een blog waarin ik de belangrijkste beveiligingsinstellingen voor Office 365 bespreek.

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…