Pieter Kloetstra – Managing consultant
We zijn allemaal gewoontedieren. En daar is niks mis mee. Immers, routine maakt efficiënt. Kijk naar het ochtendritueel van een druk huishouden: met elke dag dezelfde activiteiten in dezelfde volgorde loopt dat (meestal) gesmeerd. Een keukenverbouwing gooit dan roet in het eten. Na een paar weken kamperen in huis sta je misschien nog wel drie keer in de verkeerde la te graaien. Gedragsverandering is dus lastig en kost tijd. Dat is niet anders in een bedrijf. De implementatie van een ISO-norm heeft nogal wat voeten in de aarde. Werkprocessen veranderen en van werknemers verwachten we dat ze hun gedrag hierop aanpassen. Gewoontes zijn echter vaak al jaren ingesleten, waardoor het aanpassen niet vanzelf gaat. De volgende vijf stappen helpen je gedragsverandering effectief aan te pakken.
Gedragsverandering is lastig. Leg daarom niet alleen uit wat er gaat veranderen, maar vooral ook waaróm dat zo is. Dit lijkt een open deur, maar toch vergeten managers dat maar al te vaak. Geef je een bewustwordingssessie, dan ben je vaak goed op de hoogte van het waarom van een implementatietraject. Je gaat er te snel vanuit dat anderen dat ook zijn. Stel dat de informatiebeveiliging intern wordt aangescherpt. Alleen mededelen dat iedereen voortaan zijn computerscherm vergrendelt bij het weggaan is niet genoeg. Grote kans dat 90% het vergeet. Goed dus om te vertellen waarom dit belangrijk is. Licht de risico’s en impact van onbeveiligde data toe. Wanneer er sprake is van een datalek via een niet vergrendelde PC is het bedrijf aansprakelijk. Dat kan leiden tot het betalen van een aanzienlijke boete aan de Autoriteit Persoonsgegevens. Datalekken zijn organisatiebreed: gevoelige data staan overal. Zeker niet alleen op de laptops van de directie.
Neem werknemers mee in het grotere geheel van informatiebeveiliging en geef voorbeelden van de risico’s die slecht beveiligde data met zich meebrengen. Het vergrendelen van PC’s is slechts één maatregel. Vaak worden beveiligingsmaatregelen op datacenters aangescherpt, is het versturen van gevoelige data via e-mail niet meer toegestaan en zijn USB-sticks voortaan versleuteld. Het digitaal opslaan van gegevens heeft veel voordelen, maar het altijd en overal kunnen raadplegen van data vergroot ook de kans op lekken. Een datalek heeft aanzienlijke financiële gevolgen.
Autoriteiten claimen hoge boetes, er komt een hoop reputatieschade bij kijken en bovendien kan een bedrijf haar concurrentievoordeel kwijtraken. Kostenbesparingen naar aanleiding van het voorgaande beïnvloeden uiteindelijk de werkzekerheid voor alle werknemers. Taxibedrijf Uber ligt bijvoorbeeld al geruime tijd onder vuur na het verzwijgen van een groot datalek. Het is dus in ieders belang om zorgvuldig om te gaan met data; in extreme gevallen leidt een lek tot het schrappen van banen.
Weerstand is inherent aan verandering. Het is zelfs nuttig omdat het voorkomt dat je met alle winden meewaait. Logisch dus dat je daarmee te maken krijgt. Negeren heeft geen zin: dat werkt zelfs versterkend. Wees alert op weerstand en gebruik de situatie om de gedragsverandering vanuit een andere invalshoek te bekijken. Luister naar bezwaren en belicht vervolgens de verandering vanuit een ander perspectief. Vergelijk het opbergen van gevoelige documenten eens met een situatie thuis. Als er visite is laat je bankafschriften ook niet op de keukentafel liggen. Want dat is niet voor ieders ogen bestemd. De bedrijfsdata waar een werknemer toegang tot heeft zijn in principe alleen bestemd voor hem of haar en voor niemand anders. Zoals onder het vorige kopje besproken zijn data waardevol én is het ieders verantwoordelijkheid om deze goed te beschermen. Zo werkt het immers ook met je eigen bankafschriften.
Het kan gebeuren dat je een keer je laptop in de auto laat liggen. Er is een groot verschil tussen bewust maken en bang maken. Een angstcultuur verpest de werksfeer en bovendien werkt het averechts. De kans is groot dat men het niet vertelt wanneer er mogelijk data zijn gelekt uit angst om er persoonlijk op afgerekend of zelfs ontslagen te worden. Kortom, het is veel constructiever om te benadrukken dat verandering alleen werkt als je daar als groep voor gaat. Benadruk dat fouten maken menselijk is en dat het verzwijgen van een incident veel meer impact heeft dan het meteen aan de bel trekken. Dat zal positief bijdragen aan de gedragsverandering. Creëer bovendien een open sfeer waarbij collega’s elkaar op een luchtige manier bij de les houden. Een onvergrendelde PC? “Taart voor iedereen!” is met één druk op de knop naar de afdeling gemaild.
Ga er niet vanuit dat alles in één keer perfect gaat. Dat hoeft ook niet. Als mensen weten waar ze het voor doen en zien dat jij er ook actief mee bezig bent, komt het doel een stuk dichterbij. Geef zelf het goede voorbeeld.
Blog geschreven door Pieter Kloetstra, Managing consultant
In de complexe wereld van informatiebeveiliging in de gezondheidszorg staat één uitdaging centraal: het vinden van de juiste balans tussen veilig...
Computerweg 22
3542 DR Utrecht
KvK: 30277648
BTW: NL 8217.37.612.B01
Privacy statement - Disclaimer - © 2024 BMGRIP