Wanneer u uw huis verlaat doet u de voordeur achter u dicht. U wilt immers niet dat iedereen zomaar bij u naar binnen kan lopen. Online privacy kunt u zien als uw ‘digitale voordeur’. Ook deze moet u goed achter u dichttrekken om te voorkomen dat mensen ongewild naar binnen kunnen. Een stevige digitale voordeur kunt u opbouwen met beleid, processen, afspraken met wederpartijen, en ga zo maar door. Maar alleen als de mensen binnen uw organisatie hiervan op de hoogte zijn, de inhoud ervan begrijpen en hiernaar handelen.
Privacy- en beveiligingsbewustzijn is namelijk meer dan enkel het bewustzijn zelf. Het vereist daadwerkelijk gedragsverandering om de risico’s binnen uw organisatie te verkleinen wanneer het over de omgang met persoonsgegevens of gevoelige bedrijfsgegevens gaat. In deze blog delen wij enkele interessante aanvliegroutes en middelen om gedragsverandering bij de omgang met gevoelige gegevens in gang te zetten.
1. (Middel-)grote organisatie? Stel privacy champions aan!
Hoe groter een organisatie is, hoe belangrijker het is om uw digitale zaken goed op orde te hebben. Ongelukken zitten namelijk in een klein hoekje. Om dit te realiseren kan een ‘privacy champion’ een goede start zijn. Dit is een werknemer die fungeert als aanspreekpunt en daardoor kan helpen om privacy bewustzijn te vergroten. Door meerdere privacy champions over verschillende afdelingen te verspreiden, zorgt u ervoor dat de benodigde kennis overal in huis is. Daarnaast kan de champion toezien op goed handelen en dit stimuleren. Met de privacy champions heeft u daarnaast mensen in huis die zich bewust zijn van de stappen die ondernomen moeten worden wanneer er toch iets fout gaat.
2. Organiseer webinars of trainingen over specifieke privacy onderwerpen
Wanneer u een webinar of training over privacy effectief inricht kunt u in een korte tijd veel informatie verstrekken aan een grote groep werknemers. Een webinar is bij uitstek een middel waarmee u op een makkelijke manier veel werknemers kunt bereiken. Het is essentieel om de webinars compact te houden en aan te laten sluiten bij specifieke onderwerpen die spelen binnen de organisatie. Vond er onlangs een problematisch datalek plaats dat voorkomen had kunnen worden? Of is er onjuist of te traag gehandeld bij een verwijderverzoek van een betrokkene? Zoom dan in de webinar in op deze specifieke situaties, of ga in trainingen met medewerkers in gesprek om zo te kijken wat praktische oplossingen zouden zijn die leiden tot positieve gedragsverandering.
3. Start een privacy bewustzijnscampagne
Een derde manier om meer bewustzijn over privacy te realiseren is het starten van een uitgebreide bewustzijnscampagne. De ervaring leert namelijk dat constante aandacht voor juist handelen, een verbetering op dit vlak in de hand werkt. Zorg er bijvoorbeeld voor dat u reclamemiddelen op kantoor hebt liggen waarin wordt beschreven wat de veelvoorkomende digitale kwetsbaarheden van een organisatie zijn, hoe deze herkend kunnen worden en wat daaraan gedaan kan worden.
Beperk het niet tot één soort communicatiemiddel, maar maak gebruik van verschillende varianten. Mensen leren verschillend en onthouden dingen beter wanneer zij een onderwerp op verschillende manieren langs zien komen. U kunt bijvoorbeeld naast reclamemiddelen de webinars en trainingen uit het vorige punt onderdeel maken van de bewustzijnscampagne.
4. Simuleer beveiligingsincidenten
Beveiligingsincidenten komen helaas vaker voor dan dat we zouden willen. Een ongeluk zit namelijk in een klein hoekje. Het analyseren van gedrag bij dit soort incidenten is enorm leerzaam. Vaak leert u alleen dan waar de knelpunten zitten. Ook leren medewerkers in deze situaties wat gewenst gedrag is, om zo toekomstige incidenten tot een goed einde te brengen. En toch voorkomen we dit soort praktijksituaties liever.
Simuleer daarom beveiligingsincidenten! Een goed starpunt hierbij is de phishingmail. Een goed uitgevoerde nep-phishingmail legt namelijk duidelijk de kwetsbaarheden bloot over hoe indringers van buitenaf toegang kunnen krijgen tot gevoelige informatie. Doordat medewerkers daarnaast geconfronteerd worden met hun eigen handelen, dragen ze zelf bij aan positieve gedragsverandering.
Plan een phishingmail echter zorgvuldig en geef daarbij ook aandacht aan het onderwerp van de mail. Een phishingmail over de herintreding van een kerstpakket dat er in realiteit nooit gaat komen valt mogelijk niet bij iedereen in goede aarde.
Blijf constant monitoren
Naast dat u de bovenstaande opties kunt kiezen als startpunt of vervolg van uw bewustzijnscampagne, is het essentieel om behaald resultaat niet uit het oog te verliezen. Monitor daarom goed hoe uw medewerkers ervoor staan. Bewustzijn is niet iets eenmaligs en vereist veel herhaling. Door met toetsen en scores bij te houden hoe mensen ervoor staan, geeft u henzelf en de organisatie inzicht in het geboekte succes.
Deze blog is in samenwerking geschreven met stagiair Berend Rutten.
Meer lezen over dit onderwerp? Lees verder:
