Privacy awareness in organisaties: de missende schakel tussen papier en praktijk

Informatiebeveiliging staat bij veel organisaties hoog in het vaandel.privacy awareness Zeker nu de ransomware WannaCry diep in de portemonnee van een aantal grote namen heeft gegrepen. Er zijn CISO-opleidingen te over en veel organisaties waarin teamleden nog steeds inloggegevens met elkaar uitwisselen. We gaan er echter vanuit dat het laatste steeds meer uitzondering dan regel wordt. De meesten draaien op zijn minst regelmatig een back-up en werken met up-to-date software. Maar wat als een collega achter die goed beveiligde computer geen bezwaar voelt om wat series op de werklaptop online te streamen? Of een collega besluit een eigen map op de privélaptop bij te houden met de personeelsadministratie, omdat dat nu eenmaal makkelijker werkt dan inloggen via Citrix? Tegen een ongeïnformeerd of ongeïnteresseerd persoon kan geen informatiebeveiliger op.

 

Niet alleen informatiebeveiligers moeten met deze problemen omgaan. Het beleid van privacy officers kan als een kaartenhuis in elkaar vallen zonder bewustzijn bij de medewerkers. En dan heeft privacy ook nog te maken met een onderwerp dat minder leeft of tastbaar is, ondanks de groeiende aandacht.

 

Hoe creëert u privacy awareness?

Privacy moet niet alleen in het beleid en de functieprofielen staan. Het moet terug te vinden zijn in de cultuur, in de dagelijkse gedachten van werknemers. Wat zorgt ervoor dat privacy niet doordringt, en wat is eraan te doen? Wij stellen voor dat u begint met twee belangrijke stappen.

 

Stap 1: het kennisniveau

Meestal is het aanpakken van het kennisniveau de eerste stap. Organisaties zetten een training op die verplicht is voor iedere nieuwe medewerker, plaatsen een paar documenten over privacy op intranet of organiseren een bewustwordingssessie. Vaak hebben werknemers wel van privacy gehoord, maar realiseren zij zich niet dat het onderwerp ook in hun dagelijkse werkzaamheden speelt. Een interactieve training laat hen meedenken over hoe zij zelf kunnen bijdragen aan het beleid.

Het overdragen van kennis alleen is echter niet genoeg om tot een goede uitvoering van het beleid te komen. Om privacybestendig gedrag te laten leven in uw organisatie zullen veel meer factoren moeten worden meegenomen. Wat nu als werknemers wel weten wat privacy is en wat ze ermee moeten, maar het niet belangrijk genoeg vinden? Ervan uitgaande dat het management zich sterk maakt voor privacy en de top in uw organisatie het goede voorbeeld geeft, kunnen een paar kleine acties een groot verschil maken. Laat werknemers bijvoorbeeld zien hoe vatbaar ze zijn voor fouten door een nep-phishingcampagne. Elke werknemer die voor de oplichter valt krijgt een bericht. Of deel privacynieuws met de organisatie: een gemeente die door de fout van een medewerker prominent in het nieuws komt kan een goed voorbeeld zijn van hoe het niet moet.

Zorg daarnaast voor een leesbaar en vindbaar beleid. Het moet uitvoerders zo min mogelijk moeite kosten om het beleid mee te nemen in de werkzaamheden. Hiervoor is het belangrijk dat de algemene beschrijvingen in het beleid (“wij bewaren gegevens zo lang dat volgens de wet is toegestaan”) praktisch is gemaakt voor hun werkprocessen (“informatie over ziekte van de werknemer verwijdert de manager meteen uit zijn mailbox”).

 

Stap 2: de organisatiecultuur

De belangrijkste factor is echter de organisatiecultuur. Dit is tegelijkertijd de moeilijkste factor om aan te pakken. Patronen die lang bestaan zijn nu eenmaal moeilijk te doorbreken. Toch zijn er een paar dingen die het management kan doen om ervoor te zorgen dat de organisatiecultuur werknemers niet belemmert bij het werken met privacy. Iedereen moet bijvoorbeeld voelen dat fouten bespreekbaar zijn. Zeker in privacy is dit belangrijk: datalekken moeten eerst intern gemeld worden. Voorkom dat een werknemer die zijn usb-stick is verloren te zware consequenties vreest wanneer hij dit eerlijk opbiecht. Het bespreekbaar maken van fouten heeft als bijkomend voordeel dat iedereen in kleine mate toezicht houdt op het beleid. Logt een werknemer niet uit als hij zijn computer verlaat? Een collega kan hem of haar daar dan op een luchtige manier op wijzen.

Onderzoek tot slot de routines die in de organisatie leven. Routines zijn sterker dan regels op papier. Identificeer de punten waar werknemers uit gewoonte de fout in gaan en probeer die te doorbreken. Als er bijvoorbeeld de neiging is om een dossier uit een database te exporteren zodat die op meer plekken toegankelijk is, zorg dan voor een melding die de werknemer erop attendeert dat het dossier alleen onder bepaalde voorwaarden geëxporteerd mag worden.

Bovenstaande aandachtspunten kunnen het verschil maken tussen een ‘dood’ en ‘levend’ beleid. Toch wordt deze menselijke kant van de implementatie vaak vergeten, waardoor de schakel mist tussen papier en praktijk. De obstakels hierin zijn voor geen enkele organisatie hetzelfde, maar hopelijk helpen bovenstaande tips u verder in een eigen pragmatische en doelgerichte aanpak.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *