Privacy awareness: een zaak van gedragsverandering
Wat is het grootste risico voor privacy-incidenten op de werkvloer? De mens! Verloren USB-sticks, het ongeautoriseerd bekijken van dossiers of het verkeerd versturen van een e-mail horen bij de dagelijkse kost van organisaties. Gelukkig staat privacy awareness daarom hoog op de agenda’s van Privacy Officers en FG’s. Helaas wordt er ten onrechte vaak te makkelijk over gedacht. Privacy awareness draait om het realiseren van gedragsverandering en dat is een complexe uitdaging. In deze blog vind je uitleg over hoe je met jouw privacy awareness initiatieven kan aansturen op gedragsverandering.
Verandering vraagt om aandacht
Stel je voor: jouw beleid schrijft voor dat medewerkers alleen gebruik mogen maken van goedgekeurde online tools (bijvoorbeeld wel SharePoint, geen Google Drive). Toch merk je dat er vaak met Google Drive wordt gewerkt. Wat kan jij doen om hier verandering in te brengen? Vaak is de eerste reactie: er is een gebrek aan kennis over welke tools goedgekeurd zijn. Dit kan bijvoorbeeld opgelost worden door het communiceren van een bericht hierover via intranet. Dat is niet gek gedacht: het ontbreken van kennis kan zeker het belangrijkste probleem zijn dat moet worden aangepakt. Het is alleen niet het énige aspect van het probleem dat aangepakt kan worden als je streeft naar gedragsverandering.
Gedrag is moeilijk te veranderen. Wanneer mensen eenmaal zijn vastgeroest in bepaalde manieren, dan kost het moeite om het anders te doen. Wanneer een afdeling al jaren met Google Drive werkt voor het delen van documenten met persoonsgegevens, moet deze afdeling een veranderproces door. Vaak zijn mensen wel bereid om te veranderen, maar het is een proces dat niet onderschat moet worden. Het vraagt geduld, kennis van gedrag en flexibiliteit van zowel diegene die zijn gedrag wil veranderen als van de omgeving.
Weten, willen, kunnen
Een manier om naar gedragsverandering te kijken is door middel van het gedragsveranderingsmodel van Marcel Balm. Balm beschrijft drie belangrijke aspecten voor het realiseren van gedragsverandering: willen, weten, kunnen.
1: Weten: je moet weten wat het nieuwe gedrag inhoudt
Iemand moet bewust zijn van het feit dat er een gedragsverandering gewenst is en het moet duidelijk zijn wat deze verandering inhoudt. In het geval van de goedkeurde online tools betekent dit dat werknemers moeten weten welke tools ze niet mogen gebruiken, en belangrijker nog: welke ze juist wél moeten gebruiken. Werken aan het aspect ‘weten’ betekent dat je moet inzetten op communicatie en training. Zo kan je bijvoorbeeld gebruik maken van e-learning.
2: Willen: je moet je gedrag willen veranderen.
Om ervoor te zorgen dat men gemotiveerd is om gedrag te veranderen kan je inzetten op het bespreekbaar maken van het probleem. De medewerker moet begrijpen waarom iets urgent is. Zo kan je bijvoorbeeld uitleggen waarom Google geen betrouwbare partij is voor het verwerken van gevoelige gegevens en wat de risico’s daarvan zijn. Wanneer medewerkers mee worden genomen in het grote plaatje zullen ze eerder intrinsiek gemotiveerd zijn om te veranderen. Om effectief de intrinsieke motivatie aan te wakkeren is het belangrijk om niet alleen te communiceren in één richting, maar om de dialoog aan te gaan. Zo kan je bijvoorbeeld regelmatig kennissessies organiseren waarbij de discussie centraal staat.
3: Kunnen: je moet je gedrag kunnen veranderen
Het derde aspect van veranderen is ‘kunnen’. Omdat mensen feilbaar zijn – iedereen is immers wel eens moe of afgeleid - kan je niet uitgaan van verandering vanuit de mens alleen. Je moet er alles aan doen om een omgeving zo in te richten dat het makkelijk is voor de medewerker om zich te gedragen als gewenst. Dit is ook de achterliggende gedachte van het principe ‘Privacy by Design’: wanneer je systemen en processen privacyvriendelijk ontwerpt wordt het makkelijk om privacyvriendelijk te werken. In het geval van het ongewenste gebruik van Google Drive is het belangrijk dat er een alternatief aanwezig is die makkelijk te gebruiken is. Het UWV heeft dit principe bijvoorbeeld goed onder de knie. Toen bleek dat zij regelmatig te maken hadden met datalekken met Excel-bestanden op werk.nl hebben ze besloten om het versturen van Excel-bestanden te blokkeren.
Leren van incidenten
Mensen zijn feilbaar dus je zal altijd te maken hebben met datalekken en beveiligingsincidenten op de werkvloer. Incidenten zijn er ook om van te leren. Helaas is de eindconclusie van een incidentanalyse vaak “het was een menselijke fout”. Een menselijke fout moet het begin zijn van een analyse en niet het einde. Wanneer je gedrag wil veranderen naar aanleiding van een incident kan je dus proberen om het gedrag te begrijpen. Zo kan je kijken welk aspect van gedragsverandering het meest noodzakelijk is (willen, weten en/of kunnen).
Wil je meer weten over Privacy by Design of privacy awareness? Of heb je hulp nodig bij een incidentanalyse of bij het ontwerpen van een awareness campagne? Twijfel niet en neem contact op met info@privacycompany.eu.