Veel bedrijven en organisaties kampen met hetzelfde probleem: het lukt niet om gedragsverandering bij medewerkers te realiseren als het gaat om het omgaan met persoonsgegevens. Zo worden bestanden met gevoelige persoonsgegevens bijvoorbeeld nog steeds onbeveiligd via e-mail gedeeld en blijft gevoelige informatie nog lang in de mailbox bewaard.
Er is meer nodig dan een eenmalige presentatie
De grootste oorzaak van het mislukken van privacy bewustwording ligt in de aandacht die eraan gegeven wordt. Veelal zien we een eenmalige algemene presentatie over de privacywetgeving (AVG), aangevuld met wat artikelen op intranet. Op zich is uitleg over de AVG een goed begin, maar medewerkers zijn vooral geïnteresseerd in de toepassing in de dagelijkse praktijk; wat betekent de AVG voor mij en mijn afdeling? Immers, de omgang met persoonsgegevens is voor een klantenservice medewerker toch echt anders dan voor een HR-medewerker. Een one-size-fits-all aanpak resulteert niet in het gewenste resultaat.
Hoe dan wel?
Nieuwe wetgeving vereist nieuw gedrag. Daar is een lange adem voor nodig, waarbij gerichte aandacht nodig is voor het onderwerp en wat het bedrijf wil bereiken. Voor privacy geldt dit bij voorkeur in combinatie met informatiebeveiliging te doen. Want privacy en informatiebeveiliging kunnen niet los van elkaar worden gezien.
Natuurlijk is commitment van het management ook noodzakelijk om er de nodige aandacht aan te kunnen geven. De directie is uiteindelijk eindverantwoordelijke als het gaat om bewustwording op het gebied van privacy en informatiebeveiliging en dient dit ook aantoonbaar te kunnen maken (zie AVG artikel 24 lid 1).
Zet een programma op
Periodiek aandacht besteden kan op verschillende manieren: trainingen, presentaties, teamoverleg, e-learning, phishing mail test, mystery guest, escape room, maar ook informatie op intranet en nieuwsartikelen. Dat is allemaal vorm. Belangrijker hierbij is dat de activiteiten zijn afgestemd op de doelgroep, zichtbaar zijn en periodiek worden uitgevoerd. Zet daarom een programma op, gericht op gedragsverandering. Door drukke agenda’s van medewerkers is het een strijd om aandacht. Er moet dus goed nagedacht worden over (de boodschap voor) de doelgroep, de frequentie en het medium om te voorkomen dat de boodschap wegzakt in de dagelijkse drukte van medewerkers. Wees uiteraard ook flexibel genoeg om in te kunnen spelen op de actualiteit. Denk hierbij aan het plotseling thuiswerken als gevolg van Covid-19.
Bied ondersteuning
Als je gewoontes van mensen wilt veranderen, zul je ze daarbij moeten helpen. In plaats van te hameren op het gebruik van lange wachtwoorden, kan een password manager of single-sign-on als oplossing geboden worden. Bij gebruik hiervan kun je mensen er wel op attenderen dat dat ene wachtwoord heel belangrijk is.
Belonen
Om medewerkers te laten ervaren hoe gemakkelijk het is om op een phishing mail te klikken, kan een phishing test uitgevoerd worden. Ervaring is nog altijd de beste leer. Trapt er dan toch iemand in een phishing mail, dan kan de neiging ontstaan om die persoon erop aan te spreken. Daarmee wordt feitelijk een bom gelegd onder het hele bewustwordingsprogramma. Want als er iets is wat je niet wilt, dan is het dat mensen beveiligingsincidenten of onveilige situaties niet meer melden. Het melden is een voorwaarde om je als organisatie te kunnen verbeteren. Je kunt dit niet vaak genoeg benadrukken. Beloon medewerkers dus voor het melden. Een compliment of positieve aandacht doen wonderen.
Aantrekkelijk
Tot slot is het de kunst om medewerkers niet te overladen met het onderwerp. Als je dit wel doet, dan creëert dit weerstand. In het bewustwordingsprogramma dien je hier dus rekening mee te houden. Dan blijft de boodschap aantrekkelijk en vergroot je de kans op succes.
Meer weten? Zoek Contakt!
Wil je meer weten over dit onderwerp of heb je directe hulp nodig? Neem dan contact op met Ronald van Putten +31 6 29 09 1602 of ronald.van.putten@contakt.nl
