Een (hopelijk) hypothetisch gesprek tussen ontwikkelaars:
“Dit nieuwe systeem werkt met AES-256 encryptie, dus het duurt met een gemiddelde computer ongeveer honderd miljoen jaar om dit te kraken!”
“Dat is veilig! Maar wat is dat voor een post-it op je scherm?”
“Oh dat is het wachtwoord, als het zo lang duurt om alles te ontsleutelen mag ik het natuurlijk niet vergeten!”
Om de verwerking van persoonsgegevens veilig te laten verlopen, vereist de AVG dat een organisatie passende technische en organisatorische maatregelen neemt. Toch lijkt het alsof veel organisaties stoppen met lezen na het woordje ‘technisch’. Organisaties hameren op goede encryptie, goedwerkende 2FA en allerlei andere technische snufjes. Dat is natuurlijk belangrijk, maar zeker niet het enige waar je aan moet denken. Al is de techniek nog zo goed, een menselijke fout is zo gemaakt. Versleuteld mailen is een super goede oplossing om veilig gegevens te versturen, maar dan moeten medewerkers niet alsnog per ongeluk gevoelige gegevens onversleuteld verzenden. Een ander voorbeeld is het voorbeeld wat in het begin van deze blog werd aangehaald, leuk die goede versleuteling, maar als je dan het wachtwoord op een post-it laat slingeren heb je daar niet zoveel aan! Het is net als in het echte leven, je hebt niks aan dure sloten als je kinderen niet weten dat (of hoe) ze de deur op slot moeten doen.
Hoe belangrijk is awareness?
Heel belangrijk! Een onderzoek van IBM uit 2021 liet zien dat 95% van alle beveiligingsincidenten veroorzaakt is door een menselijke fout. Juristen hebben altijd het imago dat ze niet kunnen rekenen, maar iedere jurist kan zien dat 95% echt heel veel is. Nu kunnen technische maatregelen en beleid natuurlijk helpen om menselijke fouten te voorkomen. Denk bijvoorbeeld aan Data Loss Prevention (DLP) systemen (deze systemen herkennen bijvoorbeeld of je medische gegevens in een e-mail zet en geven dan een waarschuwing) of een goed privacybeleid waarin heldere instructies staan. Dat is natuurlijk heel mooi, maar het lost in essentie het probleem niet op. Het is mooi dat een DLP-systeem bepaalde datalekken voorkomt, maar dat het systeem nodig is, betekent dus dat er fouten worden gemaakt.
Privacy awareness kweken bij medewerkers helpt problemen voorkomen. Door medewerkers te informeren over wat persoonsgegevens zijn en in welke gevallen deze wel of niet verwerkt mogen worden, leren medewerkers op een goede manier met deze gegevens om te gaan. Het is hierbij van belang dat awareness niet alleen ziet op kennis, maar ook echt een gedragsverandering teweeg brengt.
Awareness is voor iedereen
Organisaties die al aan awareness training voor medewerkers doen, focussen zich vooral op werknemers die direct contact hebben met klanten. Denk aan medewerkers van de klantenservice of sales. Beter iets dan niets natuurlijk, maar awareness is iets voor iedereen. Een datalek kan immers op alle afdelingen plaatsvinden. Neem bijvoorbeeld een medewerker in het magazijn die de verkeerde adressticker op een doos plakt, iemand van finance die twee loonstrookjes in dezelfde envelop doet, of een ontwikkelaar die per ongeluk de productiedatabase online zet.
Hoe pak je awareness aan?
Er zijn twee soorten werknemers. De eerste categorie zijn de werknemers die een dagje awareness training bloedirritant en zonde van hun tijd vinden. De tweede categorie zijn de werknemers die een dagje awareness training superleuk vinden omdat ze dan een dagje niet hun gewone werkzaamheden hoeven uit te voeren! En de training zelf? Dat vinden ze niet heel interessant. Voor veel mensen ontbreekt de noodzaak, hen zal dat toch niet overkomen. Daarnaast lijkt het tijdens een presentatie of video heel makkelijk, maar in de praktijk valt het vaak vies tegen. Weten of iets wel of niet moet is één ding, er naar handelen is heel wat anders.
Maar hoe pak je het dan aan? Zorg in ieder geval voor een wisselend en meegroeiend aanbod van awareness trainingen binnen je organisatie. Werk bijvoorbeeld met video’s en factsheets als aanvulling op presentaties en personeelshandboeken. Vergeet ook niet dat awareness niet een eenmalig iets is, herhaling is belangrijk en onmisbaar.
Een andere optie is serious gaming. Zo bieden wij vanuit ICTRecht LAB de Privacy Simulatie aan. Een serious game waarin medewerkers aan de slag gaan bij de fictieve online juwelier Het Handje. Het doel van de game is Het Handje helpen met een datalek en tijdens dit verhaal leren medewerkers alles over persoonsgegevens, grondslagen, informatiebeveiliging en omgaan met klanten en social media. Iedereen kan dit op zijn eigen tempo doen. De game biedt ook voldoende uitdaging en, heel belangrijk, herhaling. Werknemers doorlopen over een langere periode meerdere volwassenheidsniveaus.
Wat je als organisatie ook doet, richt je awareness programma in met de volgend punten in je achterhoofd:
- Zorg voor een afwisselend programma (door bijvoorbeeld serious gaming te gebruiken) waardoor medewerkers enthousiast en geëngageerd blijven.
- Een organisatie is zo sterk als de zwakste schalen, dus zorg ervoor dat awareness bij iedereen binnen de organisatie gaat leven.
- Gedragsverandering is de enige manier om awareness naar een hoger niveau te tillen en dit is alleen te realiseren door voldoende herhaling.
- Houd het leuk en interessant!
Meer weten over privacy? Lees meer:
