Skip to main content

Behaviour by Design?

| Erna Havinga | ,

Wist je dat… bewuste medewerkers sneller risico’s signaleren en daardoor beveiligingsincidenten kunnen worden voorkomen? Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

De steeds snellere digitalisering van de dienstverlening binnen organisaties en zeker ook gemeenten, het toenemende gebruik van sociale netwerken en de toename van informatie in de Cloud creëren nieuwe beveiligingsrisico’s voor de integriteit en vertrouwelijkheid van (persoons)gegevens. Bewustwording is en blijft daarom een cruciaal onderwerp als het gaat om informatieveiligheid. Want je informatiebeveiliging kan technisch wel in orde zijn, wanneer medewerkers hier niet naar handelen liggen incidenten, zoals datalekken en malware aanvallen, op de loer. Nog steeds zien we dat medewerkers vaak, al dan niet onbedoeld, een rol spelen bij het veroorzaken van deze incidenten. Onbewust menselijk handelen blijkt zelfs een groter risico voor de privacy van burgers en de veiligheid van informatie dan bewuste en gerichte cyberaanvallen. Daarom moet elke gemeente bouwen aan een sterke informatieveilige omgeving, zowel op het vlak van techniek als op het vlak van de mens. Maar hoe krijg je dit gewenste gedrag tussen de oren van mensen? Veel gemeenten hebben hier al veel tijd en energie in gestoken en toch zien ze nog steeds dat veel incidenten veroorzaakt worden door menselijk handelen.

Kortom, waar gaat het mis?

We zien een aantal factoren hiervoor:

  • Het ontbreken van een bewustwordings- en traingingsplan. Met daarin een heldere strategie en aanpak hoe het bewustzijn te verhogen. Inspanningen zijn te vaak ad hoc gericht op incidenten en niet ingebed in een voortdurend proces. 
  • Er wordt alleen aan bewustwording gedaan om te voldoen aan regelgeving. Dit zonder na te denken over het uiteindelijke doel van het programma. Het uitvoeren van alleen de maatregelen is niet voldoende. Informatiebeveiliging en privacy goed organiseren staat of valt met het uitvoeren van een bewustwordingsprogamma.
  • Het juiste niveau ontbreekt. Binnen je gemeente heb je te maken met verschillende type mensen en niveaus. Bewustwordingsprogramma’s zijn vaak te algemeen gericht op de organisatie en sluiten onvoldoende aan op de werkzaamheden van individuele medewerkers. Het is belangrijk dat het herkenbaar en ‘dichtbij’ is voor collega’s. What’s in it for me?
  • De voortgang en effectiviteit van het programma wordt niet gemeten. Vaak wordt er van alles georganiseerd rondom bewustwording maar wordt er niet gemeten wat het effect is, namelijk of het alertheidsniveau onder collega’s ook daadwerkelijk verhoogd is. Terwijl dit wel belangrijk is. Wat is de effectiviteit van het programma? Bereik je medewerkers? Slaan ze het geleerde op en handelen ze anders? Zo kun je maatregelen, indien gewenst per afdeling of onderwerp, bijstellen indien nodig.
  • Men heeft onrealistische verwachtingen over menselijk gedrag. Vaak willen we mensen veranderen. En zeker het veranderen van onze gewoontes is helaas niet zo makkelijk als het lijkt. Maar het goede nieuws is, het kan wel. Wist je bijvoorbeeld dat je iets 100 keer anders moet hebben uitgevoerd, voordat het nieuwe gedrag een gewoonte is geworden?
  • Men heeft onrealistische verwachtingen van het bewustwordingsprogramma. Vaak heersen er diverse verwachtingen over bewustwordingsprogramma’s. Wat bij de ene gemeente een succes is hoeft bij een andere gemeente niet te werken. Een programma op maat werkt vaak beter.
  • Bewustwording wordt gezien als achtergrondruis: We moeten vandaag de dag al zoveel. Daarnaast roept verandering vanzelf een natuurlijke weerstand op bij mensen.

Maar hoe maak je bewustwording dan wel tot een succes?
Allereerst moet er binnen organisaties een sterke veiligheidscultuur worden gecreëerd; een cultuur waar medewerkers risico’s en bedreigingen en zorgvuldige omgang met persoonsgegevens meewegen als onderdeel van hun dagelijkse routine. Om een goede veiligheidscultuur binnen je organisatie op te bouwen, is een structurele cultuurverandering nodig. Dit is geen makkelijke opgave, want een cultuur kun je niet van de een op de andere dag veranderen. Normen en waarden veranderen pas als een nieuwe werkwijze over een periode heeft laten zien succesvol te zijn. Dit is een langdurig proces waarvoor een integrale aanpak en veel deskundige inzet nodig zijn. Wil je praktische informatie over hoe je aan de slag kunt om een informatiebewuste veiligheidscultuur te creëren én vast te houden? Lees dan ons boek ‘Gemeenten. Bewustzijn. Privacy.

Toolkit ‘Behaviour by Design’
Veel gemeenten hebben behoefte aan duidelijke richtlijnen met betrekking tot een goede aanpak om het beveiligingsbewustzijn te verhogen. Om gemeenten te helpen bij de ontwikkeling en uitvoering van een structureel bewustwordingsprogramma rond informatiebeveiliging heeft de IBD daarom de Handreiking ‘Verhogen bewustzijn informatiebeveiliging’ en bijhorende Toolkit ‘Behaviour by Design’ ontwikkeld. Deze middelen bieden gemeenten passende hulp door middel van een gestructureerde aanpak. In de handreiking wordteen aanpak gepresenteerd om structureel aandacht te geven aan het verhogen van beveiligingsbewustzijn. Deze aanpak kent de volgende fasen:

1. De ontwerpfase

In deze fase worden de te beveiligen belangen en behoeften vastgesteld, de belangrijkste onderwerpen en prioriteiten geïdentificeerd en vervolgens draagvlak, betrokkenheid en budget gezocht. In dit hoofdstuk wordt o.a. ingegaan op:

  • de strategie die gevolgd gaat worden
  • de structuur van het bewustwordingsprogramma
  • het bepalen van de inhoud van het bewustwordingsprogramma
  • het opstellen van een plan
  • het stellen van prioriteiten
  • de budgettering
  • commitment en draagvlak
  • de rol van HRM en Communicatie.

2. De ontwikkelingsfase

In deze fase wordt een plan opgesteld om het bewustwordingsprogramma vorm te geven. Nadat het bewustwordingsprogramma is ontworpen, moet het ondersteunende materiaal worden ontwikkeld. Het aandachtspunt hierbij is dat dit materiaal moet aansluiten bij de belevingswereld, het kennisniveau én de functie van de medewerker. Denk hierbij aan generiek inzetbare middelen en specifieke middelen voor een bepaalde doelgroep.

3. De implementatiefase

Wanneer er een bewustwordingsprogramma is ontwikkeld, moet er uitvoering worden gegeven aan het opgestelde plan. Ook moet dit binnen de organisatie uitgelegd en gecommuniceerd worden. In deze fase worden de stakeholders en ambassadeurs betrokken bij de uitrol van het programma.

4. De evaluatie- en onderhoudsfase

In deze laatste fase wordt het effect van het bewustwordingsprogramma beoordeeld. Deze fase maakt van het geheel een cyclisch en herhalend proces. Want, bewustwording is en blijft een continu proces. Actualiseer en verbeter je bewustwordingsprogramma daarom met regelmaat. Technologie verandert in rap tempo en ook organisatorisch kunnen de prioriteiten veranderen. Pas je programma hierop aan. Als het gaat om bewustwording kun je nooit genoeg doen.


Meer informatie?
Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…
Verder lezen

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…
Verder lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …
Verder lezen

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…
Verder lezen

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …
Verder lezen

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…
Verder lezen