Bij veel gemeenten wordt hard gewerkt aan informatiebeveiliging. Er worden beleidsstukken opgesteld, awarenesscampagnes opgezet en medewerkers volgen jaarlijks een verplichte e-learning. Toch blijkt in de praktijk dat afspraken vaak niet goed worden nageleefd. Dat komt omdat gedrag niet automatisch verandert door kennisoverdracht alleen. Het draait om de dagelijkse keuzes die medewerkers maken. Goede informatiebeveiliging vraagt daarom om gedragsverandering, en uiteindelijk om een cultuurverandering binnen de organisatie. In deze blog lees je hoe je dat aanpakt.

Download hier een pdf van deze blog

Kennis is niet genoeg

Veel organisaties denken: als mensen maar weten wat ze moeten doen, dan doen ze het wel. Maar zo simpel is het helaas niet. Medewerkers weten meestal wel dat ze geen wachtwoorden moeten delen, hun computer moeten vergrendelen en geen vertrouwelijke documenten onbeveiligd mogen versturen. Toch gaat het juist daar vaak mis. Niet uit kwade wil, maar omdat hun gedrag door meer dan alleen kennis wordt beïnvloed.

Onveilig gedrag kan grote gevolgen hebben. Zo kan een onbeheerde laptop leiden tot een datalek en het gebruik van eigen apparaten op het bedrijfsnetwerk het aanvalsoppervlak vergroten. En cybercriminelen maken slim gebruik van menselijke fouten via manipulatie- en misleidingstechnieken. Uit onderzoek blijkt keer op keer dat het merendeel van de beveiligingsincidenten wordt veroorzaakt door menselijk handelen, zowel bewust als onbewust. Vaak gaat het niet om onwil, maar van gemak. In de hectiek van alledag kiezen medewerkers al snel voor de snelle oplossing in plaats van de veilige. Een jaarlijkse training verandert dit gedrag niet.

Wat wél helpt? De werkomgeving zo inrichten dat veilig gedrag makkelijker en vanzelfsprekender wordt. Denk aan veilige standaardinstellingen, duidelijke werkinstructies, toegankelijke ondersteuning en vooral: een organisatiecultuur waarin risico’s bespreekbaar zijn en medewerkers elkaar helpen scherp te blijven en aanspreken op onveilig gedrag. Want gedrag verandert niet in een training, maar in de praktijk, op de werkvloer.

Wat is veilig gedrag?

Veilig gedrag betekent dat medewerkers risico’s op het gebied van informatiebeveiliging herkennen, voorkomen, beperken of melden. Dat klinkt logisch, maar het is een samenspel van factoren. Kennis speelt een rol, maar ook sociale normen, de manier van werken binnen teams, de cultuur van de organisatie en de ondersteuning die mensen krijgen. Digitaal veilig gedrag staat daarnaast niet op zichzelf. Het hangt samen met andere vormen van veiligheid, zoals fysieke veiligheid en sociale veiligheid. Denk aan het afsluiten van een kantoordeur, het aanspreken van een collega op risicovol gedrag of het veilig omgaan met gevoelige informatie. Alles hangt met elkaar samen. In deze blog focussen we op digitaal veilig gedrag, als belangrijk onderdeel van integrale veiligheid binnen de gemeentelijke organisatie.

Informatiebeveiligingscultuur

Een sterke informatiebeveiligingscultuur betekent dat medewerkers zich verantwoordelijk voelen voor de digitale veiligheid van de hele organisatie, niet alleen binnen hun eigen taken. Ze spreken collega’s aan op risicovol gedrag, melden incidenten zonder angst voor sancties en denken actief mee over hoe het beter en veiliger kan. Maar dat aanspreken werkt alleen als het breed geaccepteerd is binnen de organisatie. In een werkomgeving waar dat niet gebruikelijk is, zullen medewerkers zich minder snel uitspreken. Daarom vraagt het bouwen aan zo’n cultuur om voorbeeldgedrag van leidinggevenden, ruimte voor open feedback en structurele aandacht in het dagelijkse werk. Informatiebeveiliging wordt pas vanzelfsprekend als veilig gedrag is ingebed in het professioneel handelen, net als klantvriendelijkheid, zorgvuldigheid of integriteit. Pas dan groeit bewustzijn uit tot gewoonte. En alleen dan wordt veilig gedrag écht de norm.

Hoe pak je het aan?

Er is geen one-size-fits-all-oplossing. Wat werkt, hangt af van de organisatie en de externe omgeving. Allereerst moet je de context begrijpen waarin medewerkers dagelijks werken. Wat zijn hun routines, waar lopen ze tegenaan, welke afwegingen maken ze onder druk? Vanuit deze inzichten kan je gericht interventies inzetten die aansluiten bij de belevingswereld van de medewerker, zoals:

• Nudging: Kleine, slimme aanpassingen in systemen of processen kunnen veilig gedrag stimuleren zonder dat mensen zich daarvan bewust zijn. Denk aan een pop-up waarschuwing bij het versturen van een e-mail naar een extern adres of het standaard verbergen van e-mailadressen bij groepsmails. Deze subtiele ‘duwtjes’ in de juiste richting maken het makkelijker om veilige keuzes te maken in het dagelijks werk.
• Praktijkvoorbeelden: en concreet verhaal over een collega die per ongeluk een datalek veroorzaakte doordat hij een Excelbestand met persoonsgegevens naar de verkeerde ontvanger stuurde, blijft beter hangen dan een abstracte beleidsregel. Herkenbare en persoonlijke voorbeelden maken de risico’s tastbaar en zorgen voor meer betrokkenheid. Het is daarbij belangrijk dat zulke situaties niet leiden tot schuld of schaamte. De collega hoeft niet aan de schandpaal genageld te worden; juist door fouten open en zonder oordeel te bespreken, ontstaat een veilige leeromgeving waarin iedereen bewuster en veiliger gaat handelen.
• Interactie: Mensen leren beter door te doen. Laat medewerkers oefenen met herkenbare situaties, bijvoorbeeld via korte dilemma-oefeningen of simulaties. Wat doe je als je een verdachte e-mail ontvangt van je leidinggevende? Door hierover met elkaar in gesprek te gaan, ontstaat meer inzicht in veilig gedrag én worden mensen actiever betrokken.
• Het goede voorbeeld geven: Als leidinggevenden het belang van informatiebeveiliging uitdragen (goed voorbeeld doet volgen) en regelmatig bespreekbaar maken in het team, volgt de rest vanzelf. Zo ontstaat stap voor stap een omgeving waarin veilig gedrag makkelijker én vanzelfsprekender wordt.
• Beloning: Positieve bekrachtiging werkt, vooral in de beginfase van gedragsverandering. Door veilig gedrag zichtbaar te waarderen, bijvoorbeeld met een compliment in het teamoverleg, een ‘veiligheidsaward’ of een kleine attentie, voelen mensen zich gezien en gestimuleerd om bewust veilige keuzes te maken. Belonen hoeft niet groot te zijn, als het maar oprecht en herkenbaar is. Uiteindelijk wordt informatiebeveiliging onderdeel van het dagelijkse werkproces, net als kwaliteit of klantgerichtheid. Dan is het geen ‘extra’ aandachtspunt meer, maar gewoon hoe we werken, vaak zonder dat mensen zich nog realiseren dat ze met informatiebeveiliging bezig zijn.
• Medewerkers betrekken: Mensen ondersteunen bij iets waar ze zelf aan hebben bijgedragen. Betrek medewerkers daarom actief bij het ontwikkelen van maatregelen, campagnes of werkwijzen rondom informatieveiligheid. Vraag om ideeën, laat ze meedenken of test nieuwe middelen samen met gebruikers. Zo vergroot je niet alleen het draagvlak, maar maak je informatieveiligheid iets van iedereen.
• Maak gebruik van ambassadeurs: Collega’s die fungeren als informatieveiligheidsambassadeurs spelen een belangrijke en ondersteunende rol op het gebied van informatieveiligheid en privacy binnen een afdeling of organisatieonderdeel. Hun rol is belangrijk voor het succes van bewustwordingsprogramma’s, omdat zij direct contact hebben met collega’s en op verschillende manieren kunnen bijdragen. Lees in onze blog ‘De kracht van ambassadeurs’ hoe je ambassadeurs effectief kunt inzetten en wat nodig is voor een succesvol ambassadeursprogramma.

Informatiebeveiliging is geen bijzaak

Veel gemeenten zien informatiebeveiliging nog steeds als iets dat er ‘bij’ komt. Maar in een tijd waarin de dienstverlening volledig afhankelijk is van digitale processen en systemen, en gemeenten dagelijks werken met grote hoeveelheden privacygevoelige informatie, is die houding niet langer houdbaar. Gemeenten beheren enorm veel vertrouwelijke data, en dat maakt hen een aantrekkelijk doelwit voor cybercriminelen.

Informatiebeveiliging moet daarom geen losse taak zijn, maar een vast onderdeel van het dagelijkse werk. Het gaat niet om regels en vinkjes, maar om eigenaarschap, mensen en cultuur. Het hoort verweven te zijn met alle werkprocessen en gezien te worden als een gedeelde verantwoordelijkheid van iedereen. Dat betekent dat medewerkers niet alleen weten wat veilig gedrag is, maar zich ook echt verantwoordelijk voelen voor de risico’s binnen hun eigen taken. Pas als informatiebeveiliging wordt benaderd als een integraal onderdeel van professioneel handelen, net als nauwkeurigheid of klantgerichtheid, kan je als organisatie je digitale weerbaarheid verhogen.

De CISO als aanjager van verandering

De Chief Information Security Officer (CISO) speelt een belangrijke rol in het versterken van informatiebeveiliging. Niet alleen door beleid te maken en toezicht te houden, maar steeds vaker ook als aanjager van gedragsverandering. In de praktijk komt bewustwording vaak op het bord van de CISO terecht, of dat nu terecht zo is of niet. Dat vraagt meer dan alleen inhoudelijke kennis: je moet kunnen schakelen tussen beleid en praktijk en tussen systemen en mensen. Een CISO die deze rol oppakt, kijkt niet alleen naar regels en procedures, maar ook naar organisatiecultuur. Wat werkt wel, wat niet, en hoe zorg je dat mensen veilig gedrag gaan vertonen, structureel en vanzelfsprekend?

Daarvoor is draagvlak nodig op alle niveaus: van medewerkers op de werkvloer tot het bestuur. En je moet in gesprek blijven, steeds weer. Niet elke CISO is opgeleid of gepositioneerd als verandermanager, en dat maakt het extra uitdagend. Toch ontbreekt in veel organisaties een duidelijk alternatief. De CISO vervult deze rol vaak noodgedwongen, met wisselende steun en middelen.

Om hierin echt impact te maken, zijn er randvoorwaarden nodig: steun vanuit het bestuur, een duidelijke koers, genoeg tijd en middelen, en samenwerking met andere afdelingen zoals HR, communicatie, IT en risicomanagement. Want informatiebeveiliging is niet iets van één persoon of één team. Het is een gezamenlijke verantwoordelijkheid, en gedragsverandering begint met samenwerken.

Tot slot: gedragsverandering kost tijd

Gedrag verander je niet van de ene op de andere dag. Het kost tijd, aandacht en vooral een lange adem. Denk meer in jaren dan in maanden. Begin daarom klein. Bespreek bijvoorbeeld in teamoverleggen herkenbare dilemma’s rond informatiebeveiliging: Hoe ga je om met een collega die per ongeluk een fout maakt, of jezelf? Door zulke situaties bespreekbaar te maken, creëer je bewustwording en ruimte om van elkaar te leren. Zo groeit het vertrouwen om risico’s te delen, en ontstaat er stap voor stap een cultuur waarin veilig gedrag de norm wordt.

Meer informatie of hulp nodig?
Heb je na het lezen van de blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen of neem direct contact met ons om te zien wat IB&P voor jou kan betekenen.