9/19
  • Pages

Informatiebeveiliging en privacy

Drie-eenheid van techniek, proces en mensen

Tekst Feline Gillessen en Maartje Brouwers

Feline Gillessen en Maartje Brouwers zijn adviseurs NCOD Digitalisering & Informatiemanagement

Informatiebeveiliging en privacy zijn niet alleen een kwestie van je techniek en processen op orde hebben. Ook de medewerkers spelen een belangrijke rol. Als zij zich niet aan de regels houden, ben je als organisatie nergens. Met andere woorden, informatie­beveiliging en privacy vragen om verandermanagement.

Wikipedia heeft de mond vol van informatiebeveiliging en privacy. Van preventieve, detectieve, repressieve en correctieve maatregelen voor de bescherming van informatie tot de afscherming van persoonsgegevens en het recht om vertrouwelijk te communiceren (voor de volledige omschrijving zie: Wikipedia.org/wiki/Informatie­beveiliging). Voor privacy geldt hetzelfde: daar gaat het over de afscherming van persoonsgegevens, het eigen lichaam, de woningen of leefruimte, het recht om vertrouwelijk te communiceren enzovoort (voor de volledige omschrijving zie: Wikipedia.org/wiki/Privacy). Leuk die omschrijvingen en ze kloppen helemaal, maar wat heeft dat nu met verandermanagement te maken? Wereldwijd hebben organisaties te maken met informatiebeveiliging en privacy. Zeker in de steeds grotere digitalisering binnen de overheid zijn deze twee onderwerpen belangrijker dan ooit. Als je Wikipedia erop naslaat, lijkt het alsof je aan de normen van informatiebeveiliging en privacy voldoet, als je de techniek en processen goed hebt ingericht. Toch ben je er dan nog niet. Informatiebeveiliging en privacy in een organisatie zijn een drie-eenheid van:

  1. techniek;
  2. proces (procedures);
  3. mens.

Deze drie onderdelen zijn onlosmakelijk met elkaar verbonden en kunnen niet zonder elkaar. De techniek en de processen kunnen nog zo goed ingericht zijn, maar als de mens er niet naar handelt, zijn we nergens. Informatiebeveiliging en privacy zijn dus verandermanagement. Binnen informatie­beveiliging en privacy is de gedrags­verandering van de mens en de cultuur­verandering in de organisatie van groot belang.

Gedragsverandering?

Gedrags- en cultuurverandering gaan natuurlijk niet vanzelf. Dat heeft tijd nodig en de juiste motivatie in de organisatie. Er zijn verschillende manieren om dit te realiseren, zoals:

  • bewustwordingscampagnes;
  • e-learnings, verplicht of vrijwillig;
  • informatieberichten via interne kanalen zoals intranet;
  • het gesprek aangaan.

Het begint bij het aangaan van het gesprek met alle lagen in de organisatie. Waarom is dit zo belangrijk? Niet alleen omdat de IBD het verplicht om te voldoen aan de BIO-normen en de wetgeving vanuit de AVG. Het is vooral belangrijk om de toegevoegde waarde voor de klant en henzelf te laten inzien.

‘GEDRAGS- EN CULTUURVERANDERING GAAN NIET VANZELF’

Toegevoegde waarde

Voordat mensen in de organisatie deelnemen aan een bewustwordingscampagne, aan de slag gaan met e-learning of bewust berichten lezen, hebben ze een intrinsieke motivatie nodig. Anders wordt het een verplicht nummertje waarbij de informatie die ze hebben ontvangen niet goed beklijft. De kunst zit veel meer in het gebruikmaken van de middelen die ons gegeven worden en deze vertalen naar een werkbare situatie in de organisatie. Uitspraken als “het mag niet vanuit de AVG” en “de BIO verplicht ons om het zo te doen” moeten weg uit de organisatie. De AVG is er ter bescherming van persoonsgegevens en geeft richtlijnen hoe deze bescherming gewaarborgd kan worden. De BIO is een normenkader dat de organisatie helpt om informatiebeveiliging goed in te richten in de organisatie, zodat je niet zelf het wiel hoeft uit te vinden. Op het moment dat de mensen in de organisatie steeds meer gaan zien welke toegevoegde waarde de AVG-wetgeving en de normkaders van de BIO hebben voor de veiligheid van de informatie in de organisatie zowel van zichzelf als van de klant, ontstaan er bewustwording, gedragsverandering en cultuurverandering.

‘VAAK ZIJN CISO’S EN PRIVACY OFFICERS VAKIDIOTEN’

CISO’s en privacy officers

De invulling van de rol als CISO en privacy officer verandert hierdoor ook. Vaak zijn mensen die zo’n functie hebben vanuit de inhoud gedreven. Soms zijn het echte vakidioten en soms mensen die de functie er maar “bij” moeten doen. Tussen deze twee uitersten is er een groot verschil in de intrinsieke motivatie en dus in de invulling van die rol. We zien dat het overbrengen van de boodschap, het creëren van draagvlak en het verbeteren van bewustwording een steeds grotere rol spelen. Daardoor is het lang niet meer voldoende om alleen maar vakinhoudelijk te zijn. De CISO’s en privacy officers van tegenwoordig worden steeds meer verandermanagers dan alleen maar vakinhoudelijke specialisten. Zeker voor inhoudelijk gedreven mensen kan dit lastig zijn en betekent dat ook iets voor het veranderende vermogen van jezelf. In een privacy- en securityteam wil je eigenlijk het beste van deze twee werelden bij elkaar zien, zodat je elkaar kunt versterken en het onderwerp stevig kunt verankeren in de organisatie. Gemakkelijker gezegd dan gedaan, maar zeker niet onmogelijk! Het staat of valt ook met de juiste aanpak en iemand die hierin kan doorpakken. Bij NCOD hebben wij specialisten in huis die zowel op techniek- en procesniveau als op mensniveau de kennis hebben om organisaties hierbij te helpen.

Deel dit artikel

Inhoud