Meten is weten: hoe doe je dat met privacy awareness?
Bewustwording is een van de meest belangrijkste onderdelen van AVG compliance. Sinds de AVG van toepassing is, zien we veel organisaties die serieus aan de slag zijn gegaan met voorlichtingscampagnes en training. Maar hebben al die bewustwordingsinitiatieven effect? En hoe kan je dat meten? Vorige maand waren Roseanne, Tessa en Iris bij DNB in Amsterdam voor een seminar georganiseerd door Security Awareness NL. Het grote thema van de avond was “is meten ook weten?”. Spoiler alert: ja, maar dan moet je wel weten wat je moet meten, hoe je moet meten en wat je met deze meetresultaten kan doen. Lees hier meer over in deze blog.
Privacy awareness campagnes
Als organisatie heb je inmiddels een duidelijk privacybeleid, een mooi register van verwerkingen opgezet, afspraken gemaakt met je verwerkers, steek je veel moeite in informatiebeveiliging en heb je een overzichtelijke procedure bedacht voor het melden van datalekken. Top! Maar hoe zorg je ervoor dat dit allemaal landt bij de werknemers, die zich vooral laten leiden door de waan van de dag?
Wanneer je ervaring hebt met privacy awareness dan weet je dat het niet werkt om beleid te delen op het Intranet in de hoop dat iedereen het leest en aanneemt. Privacy awareness gaat immers over gedragsverandering, en om dat te realiseren moet je ervoor zorgen dat je medewerkers weten, willen en kunnen veranderen. Daarom wordt er steeds vaker geïnvesteerd in een goede privacy awareness campagne.
Meetmethoden
Nu privacybewustwording een steeds ‘volwassener’ onderwerp wordt, komen de uitdaging op dit gebied steeds meer aan bod. Een belangrijke vraag is dan ook: hoe weet je of wat je doet ook effectief is? Tijdens het Security Awareness NL seminar bespraken we een aantal frequent gebruikte methoden:
1. Observeren en bijhouden
Omdat de AVG aantoonbaarheid vereist – ook op het gebied van bewustwording – ligt het voor de hand om duidelijk bij te houden uit welke initiatieven je bewustwordingscampagne bestaat. Ook kan je bijhouden hoeveel mensen een AVG training hebben gehad of wie er aanwezig waren bij de lunchlezing over datalekken. Met e-learning kan je ook bijhouden wie op welk moment de e-learning heeft voltooid en welk cijfer is behaald voor een eventuele toets. Ook kan je gedrag observeren binnen de organisatie. Hoeveel incidenten worden er gemeld na de bewustwordingscampagne? Hoeveel vragen komen er binnen bij de Privacy Officer sinds de e-learning? Of hoeveel vertrouwelijke gesprekken kan je opvangen als je een tijdje bij de koffieautomaat gaat staan? Let wel op je geen voorbarige conclusies trekt: is het geobserveerde gedrag wel terug te leiden naar jouw interventies, of kan het ook een andere oorzaak hebben?
2. Vragenlijsten
Vragenlijsten worden ook vaak ingezet om het effect van bewustwordingscampagnes te meten. Zo kan een organisatie bijvoorbeeld een nulmeting doen. Werknemers beantwoorden dan kennisvragen over privacy. Vervolgens zullen zij een training of e-learning volgen waarna ze opnieuw een vragenlijst invullen. Scoren ze op de tweede vragenlijst hoger dan op de eerste? Dan wordt aangenomen dat de training effectief is geweest. Ook hier moeten we een kritische houding aannemen. Als het doel van privacybewustwording het veranderen van gedrag is, dan meet een vragenlijst gericht op kennis niet persé de effectiviteit van jouw campagne.
3. Experimenteren
Inmiddels zien we ook steeds vaker vernieuwende en creatievere manieren om awareness te meten. Een van de sprekers gaf een overtuigende presentatie over het belang van het slim inzetten van experimenten. Belangrijk inzicht: mensen gedragen zich anders als ze weten dat ze geobserveerd worden. De kans is groot dat iemand sociaal wenselijk gedrag vertoont wanneer hij of zij onderdeel is van een test. Om te kijken hoe iemand zich gedraagt in een normale setting kunnen verschillende meetmethodes ingezet worden. Zo gebeurt het regelmatig dat organisaties een ‘mystery guest’ inschakelen. Zo’n mystery guest is een acteur of actrice die komt testen of het privacybeleid in de praktijk ook wordt uitgevoerd. Een ander voorbeeld is het versturen van nep phishing e-mails om te kijken of erop wordt geklikt. Een nadeel van deze experimenten kan zijn dat de medewerker zich voor de gek gehouden voelt waardoor er juist weerstand kan ontstaan.
De privacy paradox
Zoals in de beschrijving van deze methodes al naar voren komt: meten is nog niet zo makkelijk. Een van de sprekers identificeerde een denkfout die vaak gemaakt word, namelijk: “als je weet hoe je privacyvriendelijk kan werken, dan doe je dat ook”. En dat is helaas niet het geval. Er is namelijk een gat tussen intentie en doen, dat noemen we ook wel de privacy paradox. Dat iemand weet wat privacy is en waarom het belangrijk is, wil niet zeggen dat hij of zij dit in het gedrag ook laat zien. Zo weet men vaak wel dat gevoelige data bewaren op Google Drive niet verstandig is, maar omdat het wel erg makkelijk is, gebeurt het toch. Wanneer je je bewust bent van de privacy paradox ga je anders kijken naar metingen: meet je alleen kennis en attitudes, of meet je ook het daadwerkelijke gedrag?
Is meten weten?
Kort antwoord: ja en nee. Het is van belang om zoveel mogelijk weten over de effectiviteit van je interventies. Wat werkt en wat werkt niet? Zo bepaal je waar je in de toekomst opnieuw in gaat investeren en waar je verandering gaat toepassen. Het meten van effectiviteit is echter niet makkelijk. Wanneer je ervoor kiest om effectiviteit te meten dan moet je goed nadenken over je doel, wat je meet en welke methoden je gebruikt. Zo werd er tijdens het seminar gezegd door een van de sprekers: “meten is weten, maar alleen als je weet hoe je moet meten”.
Wil je meer weten over privacy awareness, training of e-learning? Of zoek je iemand om mee te sparren over het meten van privacy awareness? Stel Iris je vraag via info@privacycompany.eu.