Informatiebeveiliging en privacybescherming brengen veranderingen met zich mee voor gemeenten. En om verandering door te voeren, is draagvlak nodig. Als CISO, Privacy Officer of Functionaris Gegevensbescherming (FG) is het (mede) jouw taak om draagvlak te creëren voor deze veranderingen. Maar verandering gaat ook vaak hand in hand met weerstand. Dus hoe ga je hier effectief mee om? In deze blog geven we je tien praktische handvatten die je helpen bij het creëren van draagvlak.

Wat is draagvlak?

Het ‘creëren van draagvlak’ is een veel gehoorde term, maar wat betekent het eigenlijk? Kort samengevat houdt draagvlak creëren in ‘dat je mensen inspireert en betrekt bij een proces met als doel goedkeuring en ondersteuning van hen te krijgen om iets voor elkaar te krijgen’. Dit ‘iets’ kan een project zijn (bijvoorbeeld de implementatie van een bewustwordingsprogramma) maar ook het laten vaststellen van een bepaalde procedure of bepaald beleid op het gebied van informatiebeveiliging en/of privacy. Draagvlak is nodig om mensen te verbinden aan het idee dat er achter het beleid schuilt, zodat het ook tot uitvoering komt en mensen enthousiast en betrokken blijven. Maar het moet ook haalbaar zijn om het beleid of daarbij behorende actiepunten te realiseren: bijvoorbeeld technisch, organisatorisch of financieel. Zo is het voor het slagen van het informatiebeveiligingsbeleid belangrijk dat bestuurders en leidinggevende zich betrokken voelen bij het beleid. Door hen vroegtijdig te betrekken, creëer je draagvlak. Dit is geen eenmalige actie, maar vraagt continu aandacht.

Weerstand bij verandering

Vooral binnen informatiebeveiligings- en/of privacytrajecten zie je dat het creëren van draagvlak erg belangrijk is omdat het vaak gaat om een directe verandering op de werkwijze. Toch merk ik in de praktijk dat het heel erg moeilijk is om binnen een gemeente het juiste draagvlak te creëren voor deze veranderingen. Wanneer het om verandering gaat, treedt als vanzelf natuurlijke weerstand in werking bij mensen. Denk bijvoorbeeld aan de weerstand die optreedt bij een reorganisatie. Om te veranderen, moet het ons ook iets opleveren, what’s in it for me?. Kortom, men moet de positieve impact van de verandering voelen en zien. Weet je dat voor elkaar te krijgen, dan kun je draagvlak creëren.

Ik geef je in deze blog graag tien praktische handvatten om je hierbij te helpen:

1. Weet wat je wilt bereiken

Zorg dat je goed voor ogen hebt wat je doel is en wat je wilt bereiken met jouw voorstel. Wanneer jij weet wat je wilt, en hier zelf het nut en de noodzaak van inziet, helpt dit jou ook om dit aan een ander over te brengen. Wanneer iets voor jezelf ook vaag is, dan is het moeilijk om andere mensen mee te krijgen. Bereid dus goede argumenten voor die je collega’s belangrijk vinden.

2. Informeer en wees transparant

Zorg dat je collega’s voldoende kennis en inzicht hebben en dat ze de gekozen strategie begrijpen. Dit doe je door het ‘wat’ en het ‘waarom’ te vertellen ‘Als gemeente moeten we zorgvuldig omgaan met gegevens van inwoners, bedrijven en de gemeente zelf, om te voorkomen dat we slachtoffer wordt van cyberincidenten.’ Leg goed uit wat je bedoelt met “zorgvuldig”, over wat voor cyberincidenten je het dan hebt, bijvoorbeeld datalekken, en wat de mogelijke gevolgen hiervan kunnen zijn. Wees transparant over de verandering (vaak de implementatie van maatregelen uit de BIO of om te voldoen aan de AVG), niet alle veranderingen zijn leuk, beaam dat ook. Dit doe je door helder en proactief te communiceren richting je stakeholders en ze tijdig aan te haken.

3. Creëer een gevoel van urgentie (sense of urgency)

Help anderen inzien waarom informatiebeveiliging of privacy noodzakelijk is en waarom het belangrijk is om meteen te handelen. Laat ze bijvoorbeeld eens ervaren wat de gevolgen kunnen zijn van een grootschalig beveiligingsincident of datalek door een crisisoefening te doen met het managementteam.

4. Wees overtuigend: zorg voor feiten en cijfers

Je kunt alleen maar overtuigen als je het nut en de noodzaak kunt onderbouwen met feiten en cijfers. Eén van de beste manieren om vast te stellen en te onderbouwen dat informatiebeveiliging en privacy belangrijk zijn en waarom, is door middel van een goede rapportage met daarin statistieken die de waarde van goede informatiebeveiliging en privacymaatregelen aantonen. Juist door op basis van deze feiten en cijfers het gesprek aan te gaan, ontstaat ruimte om nieuwe inzichten op te doen. Er kunnen ook nieuwe feiten op tafel komen – kijk naar het nieuws, wat er bij collega gemeenten gebeurt aan incidenten, en probeer hier ook van te leren. Tenslotte kun je uit die nieuwe inzichten gezamenlijk conclusies trekken.

5. Verplaats je in de ander

Om collega’s te overtuigen is het daarnaast ook belangrijk dat jij je in hun situatie kunt verplaatsen. Een wethouder of Raad heeft andere behoeften dan je eigen manager. Wat vinden zij belangrijk? En wat zijn hun prioriteiten? Houd er rekening mee dat zij waarschijnlijk (nog) niet dezelfde taal spreken en misschien andere doelen en prioriteiten hebben, zoals het primaire proces waar zij verantwoordelijk voor zijn. Gebruik je inlevingsvermogen en laat in dat geval zien hoe jouw voorstel hierbij juist kan helpen. Benoem voordelen en probeer zoveel mogelijk in oplossingen te denken.

6. Betrek betrokkenen actief bij de aanpak van de verandering

Door collega’s een zinvolle rol te geven bij het plan of in het project, nemen zij eerder eigenaarschap. Ze hebben er tenslotte zelf aan meegewerkt. Vraag ook om feedback bij je stakeholders. Dit doe je door voldoende evaluatiemomenten in te plannen. Je stakeholders zijn de personen of de groepen die invloed hebben op de verandering of erdoor worden beïnvloed, hun inzichten en ervaringen kunnen van grote waarde zijn.

7. Toon begrip voor weerstand en geef niet zomaar op.

Bij veranderingen zal er altijd weerstand zijn. Dus wat voor weerstand je ook krijgt van collega’s: geef ze een luisterend oor en denk in mogelijkheden in plaats van onmogelijkheden. Wees dus oplossingsgerichtheid en benoem de voordelen. Wat is de reden waarom we dit doen? Waarom is informatiebeveiliging en privacybescherming zo belangrijk voor de organisatie? Waarom juist nu? We doen het al jaren op deze manier, waarom gaat dat voor de toekomst niet meer werken? Et cetera.

8. Manage verwachtingen

Ofwel geef duidelijk aan wat je van de ander verwacht. Benadruk hierbij ook duidelijk wat jouw rol is. Verwachtingen managen is behoeften managen. Wanneer je bijvoorbeeld iets binnen een afdeling wilt realiseren, is het belangrijk dat je de afdelingsmanager meeneemt en hem/haar goed voorbereid op de impact die het kan hebben voor zijn/haar afdeling maar ook wat je van hem/haar verwacht.

9. Werk aan borging

Blijf gedurende het proces aandacht besteden aan draagvlak. Dit doe je door af en toe bij de betrokkenen te peilen of iedereen nog steeds dezelfde belangen heeft. Zorg ook voor verankering door de veranderingen periodiek en systematisch te meten en evalueren.

10. En last but not least… deel en vier successen!

Creëer snel een aantal successen (quick wins) en maak ze zichtbaar in de organisatie. Zo beloon je degenen die meewerken. Bovendien is het een bevestiging dat de nieuwe aanpak werkt. En dat werkt motiverend voor iedereen. Beloon bijvoorbeeld collega’s die een datalek melden, zo laat je zien dat dit juist gewaardeerd wordt in plaats van als iets verkeerds gezien wordt.

Heel veel succes met de verandering!

Meer informatie?

Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Laat ons dit dan even weten en neem contact met ons op.