Skip to main content

Goed voorbeeld doet goed volgen – deel 2


Volgens Ferdinand Grapperhaus, minister van Justitie en Veiligheid, moet iedereen met een voorbeeldfunctie zijn verantwoordelijk nemen en digitaal leiderschap tonen. Maar hoe doe je dat? De zeven factoren uit het promotieonderzoek van Muel Kaptein, hoogleraar Bedrijfskunde, kunnen je daarbij helpen. De eerste drie factoren heb ik de vorige keer behandeld. Lees snel verder voor de rest.

Directie en management zijn weliswaar integraal verantwoordelijk voor de processen en daarmee ook voor een veilig gebruik van informatie, maar in de praktijk leunen ze sterk op de CISO en Privacy Officer. En zeker bij gemeenten op de integriteit van de medewerker. Hoe lang en onder welke condities kan je daar op leunen? Uit het onderzoek van Muel Kaptein, hoogleraar Bedrijfskunde aan de Erasmus Universiteit Rotterdam, blijkt dat er zeven factoren zijn die het gedrag van mensen binnen een organisatie beïnvloeden. In deel 1 van deze reeks heb ik de factoren helderheid, voorbeeldgedrag en uitvoerbaarheid behandeld. Nu ga ik verder met de laatste vier factoren.

4. Betrokkenheid

Gewenst gedrag hangt niet alleen af van of mensen het weten en kunnen, maar ook van de mate waarin zij gemotiveerd zijn om te doen wat gewenst is, ofwel hoe betrokken zijn medewerkers bij de organisatie? Betrokkenheid van directie, management en de ondersteunende afdelingen is cruciaal om gedragsverandering te realiseren. Het is van groot belang dat bij hen een positieve houding ontstaat ten aanzien van informatiebeveiliging en privacy en dat daarbij ook de eigen (voorbeeld)rol en verantwoordelijkheid wordt bezien. Voor medewerkers geldt dat wanneer zij zich gericht aangesproken voelen, dit bijdraagt aan het gewenste betrokkenheidsniveau. Dit doe je door het verpersoonlijken van het proces (wat heb ik eraan?), met als gevolg een verandering in houding en gedrag. Wanneer je medewerkers intrinsiek weet te motiveren, zullen zij gemotiveerd raken om deel te nemen aan de verandering en het ook ondersteunen.

5. Transparantie

Hierbij gaat het om de mate waarin medewerkers zicht hebben op hun eigen gedrag en de effecten ervan. Dit is belangrijk bij het vergroten van bewustwording en het eigen verantwoordelijkheidsbesef. Laat medewerkers bijvoorbeeld eens hun eigen gedrag beoordelen; in welke mate vinden zij zelf dat ze te maken hebben met informatiebeveiliging en privacy in hun werk? En wat kunnen zij zelf anders doen om informatieveiliger te werken? Daarnaast kan transparantie worden bevorderd door controles uit te voeren. Zoals dit gebeurt bij het rechtmatig gebruik van bijvoorbeeld Suwinet. Hier wordt gelogd wat medewerkers doen en deze lograpportages worden weer gecontroleerd. Een hoge pakkans kan dus afschrikken, maar niet als mensen niet weten dat ze iets fout doen. Maak het eigen gedrag dus bespreekbaar. Van nature vinden mensen het eng om transparant te zijn, maar het kan juist helpen om hun eigen gedrag te verbeteren. En transparantie kan weer leiden tot meer betrokkenheid. Als medewerkers inzien hoe hun eigen rol en handelen de organisatie helpt, werkt dat motiverend. Houd medewerkers dus op de hoogte.

6. Bespreekbaarheid

Maak informatiebeveiliging en privacy bespreekbaar! Bijvoorbeeld tijdens een teamoverleg en/of evaluatiegesprek, maar ook binnen de gehele organisatie. Zo is het belangrijk dat collega’s niet bang zijn om incidenten te melden. Een incident of datalek kan iedereen overkomen, we zijn immers mensen. Door hier openlijk met elkaar over te praten kan dit een gevoel van veiligheid creëren (he, het is oké om fouten te maken), herkenning (door datalekken intern te delen, herkennen mensen datalekken eerder) en verbetering (wat kunnen we ervan leren en in de toekomst beter doen) maar ook kan erger voorkomen worden. Kortom, bij een informatieveilige omgeving hoort ook een veilige (meld)cultuur. Dit is niet voor niets ook één van de tien bestuurlijke principes die zijn opgesteld door de Vereniging voor Nederlandse Gemeenten (VNG) als aanvulling op de BIO en bedoeld zijn om bestuurders te helpen in het nemen van deze verantwoordelijkheid. Benieuwd naar de andere principes? Lees dan deze blog die ik hier eerder over schreef.

7. Handhaving

Tot slot de zevende en laatste factor, handhaving. Als gemeente dien je kaders en grenzen te stellen als het gaat om het veilig omgaan met informatie. Dat is voor veel mensen nodig willen ze iets belangrijk vinden. Houden medewerkers zich hier niet aan? Dan kun je als gemeente jezelf de vraag stellen of iemand wel de juiste persoon is binnen een gemeentelijke werkomgeving waar alles draait om het bezit, beheer, verwerken en hergebruiken van privacygevoelige gegevens van burgers. Neem bijvoorbeeld het recente incident bij gemeente Castricum, waar vijf ambtenaren die werkzaam zijn voor BUCH per direct geschorst zijn omdat zij misbruik hebben gemaakt van computersystemen van de gemeenten. Maar ook het belonen van goed gedrag kan helpen bij gedragsverandering. Bijvoorbeeld door waardering uit te spreken naar collega’s die het gewenst gedrag vertonen (wat goed dat je hier melding van maakt) of een beloning voor iedereen die melding heeft gemaakt van een phishingmail tijdens een phishingactie. Dit stimuleert mensen het gewenste gedrag te vertonen.

De behandelde factoren uit deze blogreeks helpen de digitale veiligheid binnen jouw gemeente te verhogen. Belangrijk hierbij is wel dat je dit moet blijven herhalen wil je iets voor de langere termijn voor elkaar krijgen en borgen.

Ben je na het lezen van deze reeks benieuwd naar hoe je nog meer aan de slag kunt om een informatiebewuste gemeentecultuur te creëren én vast te houden? Wij behandelen dit onderwerp ook in ons boek ‘Gemeenten. Bewustzijn. Privacy.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…