ZBC Kennisbank

Awareness privacy en informatiebeveiliging niet trainen maar kweken

 

Hoe vaak lezen we bij een datalek niet de vermelding, dat het ging om een menselijke fout en dat er passende maatregelen zijn genomen om de fout in de toekomst te vermijden. In de praktijk betekent dit meestal dat de ‘dader’ op z’n donder gehad heeft en vaak ook dat besloten is om nog zwaarder in te zetten op procedures of awareness.

Net als een bordje ‘verboden toegang’ echter, houden procedures niets tegen. Dat weten we al lang. De wet zegt, dat je moet kunnen aantonen, dat je maatregelen hebt genomen. Als je als organisatie maar heel veel procedures hebt, houd je in ieder geval de schijn op, dat je privacy en informatiebeveiliging serieus neemt. En in de wereld van vandaag draait het vaak om de schone schijn. Veelal is er dan ergens ook nog wel een procedure te vinden, waarin aangegeven wordt dat er controles zijn. Maar controle van heel veel maatregelen is ondoenlijk en als je de naleving niet daadwerkelijk controleert, dan maak je daarmee de pakkans bij overtredingen erg klein en de gevolgen minimaal en zijn er nog weinig redenen waarom men zich aan de procedures zou houden. (Zie ook ‘Procedures zijn niet meer van deze tijd’.)

Eigen belang eerst

Als dan wordt vastgesteld, dat managers en medewerkers zich niet aan procedures houden, wordt al snel de conclusie getrokken, dat de awareness onvoldoende is. Blijkbaar snappen managers en medewerkers het belang van de regeltjes niet en moet dat beter worden uitgelegd. Maar wat is het effect van al die regeltjes? We zagen het in 2016, het Oekraïne referendum, de Brexit en Donald Trump, in feite werd in alle drie de gevallen door een meerderheid gestemd tegen het oerwoud aan regeltjes, waar de tegenpartij voor stond. Niet omdat het alternatief beter is. Het was een ‘nee’ tegen de technocraten die denken dat ze wel weten wat goed voor ons is.
Het belang dat al jaren gediend wordt, herkennen we niet meer als ons belang en we stemmen het weg, zelfs als onduidelijk is wat we ervoor terug krijgen. Dat dit denigrerend wordt afgedaan als populisme, zonder dat het leidt tot herbezinning, is wel heel zorgelijk. Blijkbaar werkt het managementsysteem van onze leiders niet goed. Een managementsysteem zou immers moeten borgen, dat je leert van je fouten. En daarmee zijn we dan weer terug bij ons onderwerp: privacy en informatiebeveiliging. Ook technocratisch aangelegde security en privacy officers wijzen graag op gebrek aan awareness als het gaat om het belang van privacy en informatiebeveiliging, zonder er een moment over na te denken om wiens belang het nu eigenlijk gaat. (Zie ook ‘Eigenbelang eerst’.)

‘Hart voor de zaak’

‘Hart voor de zaak’, het is misschien een enigszins verouderd begrip, maar toch heel wezenlijk in deze tijd, waarin technocraten krampachtig proberen normen en waarden te vangen in wetgeving. Vroeger was ‘hart voor de zaak’ bijna vanzelfsprekend. Niet alleen in het werk, maar ook in geloof, relaties enzovoort. Na decennia van individualisering zien we dit echter nu vooral bij jongeren terugkomen. Men zoekt weer naar zingeving. Laten we ons echter nu beperken tot het werk. ‘Hart voor de zaak’, hoe zorg je daarvoor?

  • Iedereen weet op hoofdlijnen wat de organisatie wil en waarom (financieel, continuïteit, reputatie, zingeving, maatschappelijk). Het waarom is eigenlijk vanzelfsprekend! Anders zou je immers bij die organisatie niet werken.
  • Iedereen snapt dus wat er van hem wordt verwacht.
  • Successen worden intern en extern gecommuniceerd.
  • Teams of medewerkers die in hoge mate bijdragen aan het succes, worden hiervoor beloond. (salaris, status, waardering).
  • Managers en medewerkers zijn trots op wat met elkaar bereikt is en spreken elkaar aan op gedrag dat hieraan afbreuk doet.
  • ‘Hart voor de zaak’ is de norm. Hiervoor worden soms zelfs regels en wetten overtreden.

En zodra je ‘Hart voor de zaak’ probeert te vangen in regeltjes, dan zien we dat het niet meer vanzelfsprekend is en dus verdwijnt.

‘Hart voor IB’: waarom werkt dit niet?

Als we nu de gemiddelde awareness training voor informatiebeveiliging (IB) of privacy hier eens mee vergelijken, dan zijn er een aantal opvallende verschillen. Hieronder staan ze (in vet en cursief):

  • Niemand weet op hoofdlijnen wat de organisatie wil (financieel, continuïteit, reputatie, zingeving, maatschappelijk). Het waarom is dan ook niet vanzelfsprekend!
  • Niemand snapt dus wat er van hem wordt verwacht.
  • Alleen incidenten worden intern (en extern) gecommuniceerd.
  • Teams of medewerkers die in hoge mate bijdragen aan het succes, worden hiervoor niet beloond (salaris, status, waardering).
  • Managers en medewerkers zijn niet trots op wat met elkaar bereikt is en spreken elkaar niet aan op gedrag, dat hieraan afbreuk doet.
  • ‘Hart voor IB’ is slechts een formele norm. ‘Hart voor de zaak’ prevaleert altijd en daarom worden zo nodig regels en wetten van privacy en IB overtreden.

Dit alles is niet zo vreemd als we kijken naar de tijd, waarin IB zich ontwikkelde. Vroeger was ‘Hart voor IB’ voor de organisatie helemaal niet vanzelfsprekend. En dat was ook nogal wiedes. Want informatiebeveiliging gaat over beschikbaarheid, integriteit en vertrouwelijkheid. En voor de gemiddelde manager en medewerker was dat een ‘ver van mijn bed’-show.

  • Beschikbaarheid van data werd gezien als het probleem van de ICT.
  • Integriteit van data was alleen van belang voor de financiële afdeling.
  • Vertrouwelijkheid gaat over bedrijfsgeheimen en daar had je als medewerker of manager niets mee te maken.
  • Inbreuk op de privacy was geen issue. Niemand wist immers hoe dat in zijn werk ging.

Niemand snapte dus ook het belang van IB en privacy in zijn dagelijkse werk. Tot er een paar jaar geleden een paar belangrijke veranderingen plaats vonden.

De ophef rond privacy is voor IB een geschenk uit de hemel

Ineens werd zichtbaar gemaakt, dat inbreuken op de privacy wel erg ver gingen en dat overtredingen ook tot serieuze straffen kunnen leiden. Denk aan:

  • Edward Snowden, die de praktijken van de NSA openbaarde;
  • datahandelaren en andere organisaties die grof geld verdienden met de verkoop van persoonsgegevens;
  • mensen die slachtoffer werden van identiteitsfraude en dergelijke;
  • de boetes op overtredingen van de privacy wet die bijna 20 keer zo hoog werden;
  • de wet Meldplicht datalekken die werd ingevoerd.

In één klap stond de bescherming van persoonsgegevens op de kaart en was het belang van privacy (en daarmee ook IB) duidelijk. Iedereen snapt, dat als persoonsgegeven op straat komen te liggen, de reputatie van de organisatie gevaar loopt. Zeker als dit persoonsgegevens betreft, die eigendom zijn van een klant of een ketenpartner. En omdat iedereen dagelijks in aanraking komt met persoonsgegevens, was het ook ineens geen ‘ver van mijn bed’-show meer.

De verkeerde aanpak

Iedereen snapte dus ineens dat bescherming van persoonsgegevens (en dus IB) ook voor hem belangrijk is. Helaas wordt deze kans voor informatiebeveiliging verziekt door technocraten die het in regels willen vangen.

  • Intussen is de nieuwe AVG (Europese privacy wet) goedgekeurd en deze moet in mei 2018 in alle lidstaten ingevoerd zijn. Dat hierdoor opsporingsdiensten en datahandelaren nog steeds door kunnen gaan met wat ze deden, is niet bekend bij politici, media en dus ook niet bij het grote publiek. (Zie ook ‘Hoe legaal de privacywet overtreden’.)
  • Organisaties zijn op grote schaal bezig om zich in te dekken door eisen te stellen aan hun leveranciers en ketenpartners, met wie persoonsgegevens worden gedeeld. Vaak is de eis dat die een 27001 of een NEN 7510 certificaat moeten hebben om de aansprakelijkheid voor incidenten bij hen neer te kunnen leggen. (Zie ook ‘Klanten vaak aansprakelijk voor privacy incidenten bij leveranciers’.)
  • Managers en medewerkers worden geconfronteerd met een tsunami aan procedures en protocollen, terwijl een kind weet, dat dit niet gaat werken.
  • Incidenten worden opgeblazen tot olifanten, zodat de vraag ‘Is dit erg?’ niet eens meer gesteld wordt.

Kortom, het bewustzijn van privacy en IB, dat er nu is bij managers en medewerkers, wordt door technocraten weer gekaapt, zodat niemand zich meer geroepen voelt om IB en privacy vanzelfsprekend te vinden en zelf bij te dragen aan de bescherming van persoonsgegevens.  Zo gaat het nooit werken!
Iedere awareness training die begint met de nieuwe AVG, is bij voorbaat tot mislukken gedoemd. Awareness moet een beroep doen op wat je zelf wilt en niet op wat anderen van je willen. ‘Hart voor de zaak’ en ‘Hart voor IB’ worden vermoord door ze te vangen in regels, die op voorhand bijna oncontroleerbaar zijn.

IB en privacy zijn ook van mij!

Wanneer je wilt dat mensen met IB en privacy aan de slag gaan, dan moet je ze inzicht geven in hoe ze dit kunnen doen. Gras gaat ook niet harder groeien als je eraan trekt. Je moet het bewerken. Dat geldt ook voor awareness. Je moet het op de juiste manier bewerken en zorgen voor omstandigheden waardoor het gaat groeien. Dus geen regels, maar principes. En die zijn niet moeilijk. Zo vanzelfsprekend zelfs, dat technocraten ze allang vergeten zijn. Zij stellen controle boven vertrouwen, zelfs als dingen niet te controleren zijn zoals bij IB. (Zie ook ‘Controle is goed, maar vertrouwen is beter’.)

Daarom in het kort even de principes van IB en dus van de bescherming van persoonsgegevens:

  • Doel van IB is het voorkomen dat onbevoegden bij je kostbare data kunnen komen.
  • Er zijn drie logische principes voor IB, die verder uitgewerkt worden in het artikel ‘Informatiebeveiliging is helemaal niet zo moeilijk’:
    • Vertrouwelijke data die je niet hebt, hoef je ook niet te beveiligen.
    • Scheid gegevens.
    • Sleep niet met vertrouwelijke data.
  • Spreek elkaar aan op ongewenst gedrag. Geen gedragscodes dus, maar een ethische code (principle based) die breder gaat dan IB alleen. Deze staat uitgeschreven in het artikel ‘Moreel kompas en aanspreekbaarheid belangrijker dan toezicht’.

Deze principes moeten ongeschreven wetten zijn, die deel uitmaken van iedere organisatie, waar ‘hart voor de zaak’ nog vanzelfsprekend is. Ze moeten ingebakken zijn in het DNA van de organisatie en haar managers en medewerkers.
De enige reden voor het opschrijven van deze ongeschreven wetten is, dat deze vaak worden ondergesneeuwd in het geweld van privacy en security experts, die gesteund door technocratische politici en op sensatie beluste media, ons wijs willen maken dat achter iedere boom een terrorist of cybercrimineel kan zitten, waar daadkrachtig met heel veel maatregelen tegen opgetreden moet worden. Het is prima dat ze dat vinden, maar ik bepaal zelf wel waar ik hart voor heb. Hart voor mijn partner, hart voor mijn kinderen, hart voor goede doelen, hart voor de zaak en hart voor IB en privacy, dat bepaal ik nog altijd zelf en dat heeft niets te maken met wat technocraten daarvan vinden.

‘Hart voor IB’, hoe zorg je daar dus voor?

Hart voor IB en bescherming van persoonsgegevens werkt dus net als ‘Hart voor de zaak’. Er geldt dus dezelfde aanpak:

  • Iedereen weet op hoofdlijnen wat de organisatie wil en waarom (financieel, continuïteit, reputatie, zingeving, maatschappelijk). Het waarom is dan eigenlijk vanzelfsprekend!
  • Iedereen snapt wat er van hem wordt verwacht.
  • Successen worden intern en extern gecommuniceerd.
  • Teams of medewerkers die in hoge mate bijdragen aan het succes, worden hiervoor beloond. (salaris, status, waardering).
  • Managers en medewerkers zijn trots op wat met elkaar bereikt is en spreken elkaar aan op gedrag, dat hieraan afbreuk doet.
  • ‘Hart voor IB’ is de norm. Hiervoor worden soms zelfs regels overtreden.

En zodra je ‘Hart voor IB’ probeert te vangen in regeltjes, dan zien we dat het niet meer vanzelfsprekend is en dus verdwijnt.

ZBC helpt organisaties, die zich kunnen vinden in deze benadering, via coaching of cursussen om op pragmatische wijze hun privacy en informatiebeveiliging te verbeteren en om voor ISO 27001 of NEN 7510 gecertificeerd te worden.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 16 februari 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *