De AVG in een wereld waar ik bij een gemeente nog vaak met een vriendelijk 'Goedemorgen' zonder opgave van reden door kan lopen.

Geschreven door Tim Hartog op 28-03-2018


Gemeentelijke organisaties hebben net als bedrijven last van ICT-securityproblemen. De grootste bedreiging hierbij blijkt de mens te zijn, die fouten maakt. Daarnaast liggen er veel risico’s in partners buiten de gemeenten. 
 
Zo luidt de start van een artikel in AG Connect van 15 februari jongstleden. Het artikel bepleit dat beveiliging voornamelijk mensenwerk is. Iets wat we met zijn allen natuurlijk wel weten, maar met de druk voor het compliant zijn aan de AVG per 25 mei aanstaande soms nog te veel vergeten.
 
Ook wij als InnoviQ ondersteunen gemeenten in het opstellen en actualiseren van beveiligingsplannen, procedures rondom datalekken, ENSIA-trajecten en verbetertrajecten en implementatie van de AVG-vereisten in beleid, systemen, applicaties, etc. Daarmee doen wij net zo hard mee aan de door anderen veronderstelde nieuwe Milennium-bug. 
 
Ik betrap onszelf en gemeenten erop dat we volledig mee gaan in de gekte: ook omdat het simpelweg gevraagd wordt om op tijd klaar te zijn en de gestelde risico's niet te riskeren. Maar bereiken we ook de mensen (en zoals het artikel stelt: de mensen van de gemeentelijk ketenpartners) die uiteindelijk een groot deel van de beveiligingsmaatregelen moeten dragen.
 
Ik zie diverse awareness-trajecten binnen gemeenten die op deze menselijke kant van beveiliging inspelen en gedrag positief proberen te beïnvloeden. Instrumentarium zoals 'nep-phishing-mails', 'rondslingerende USB-devices' en 'mysteryguests' worden ondermeer ingezet. Een vaak ludieke manier om medewerkers met het belang van informatiebeveiliging te confronteren.  
 
Toch heb ik het gevoel dat de deze maatregelen onvoldoende leiden tot een duurzame gedragsverandering in de omgang met het beveiligingsthema in brede zin. Dat betekent natuurlijk niet dat de awareness-trajecten geen zin hebben. De vraag is echter wat er aanvullend nodig is om meer en duurzaam invloed te verkrijgen op de noodzakelijke gedragsverandering. 
 
In het beleidstukken kan de omgang met het thema beveiliging per 25 mei aanstaande prima kloppen. Gelijktijdig realiseer ik me dat we allemaal met vele potentiële beveiligingsrisico's per dag worden geconfronteerd. We vertrouwen elkaar in de dagelijkse werkomgeving, maar ik besef wat ik teweeg zou kunnen brengen als ik kwaad zou willen. 
 
Dat is waar het mijn inziens begint: je eigen gedrag veranderen uitgaande van de kwaadwillendheid van anderen en anderen aanspreken op hun dagelijks gedrag om hetzelfde te doen. Dat is iets wat mensen onderling moeten regelen, maar kan gefaciliteerd worden vanuit het dagelijks management. Deze laatste groep is naar mijn mening cruciaal in het tot stand brengen van een aanspreekcultuur, waarmee beveiligingsmaatregelen diep in de gemeentelijke organisatie geworteld kunnen worden.
 
Ik constateer vaak nog 'wij' en 'zij'. Beveiligingsambtenaren die van boven in de organisatie hun bereik proberen te vergroten met allerhande maatregelen, terwijl het (midden)management voor werkelijke continuïteit aan het roer dient te staan. Het realiseren van gedragsverandering in ons alledaagse werk vraagt leiderschap in pure zin! Het onderstaande schema vind ik zeer toepasselijk. 
  
 
Om recht te doen aan de auteur de volgende link. We zien de Deming Cycle, waarbij de 'check' op basis van het bovengenoemde de meeste aandacht vergt. Het gaat dan bij het thema beveiliging niet (alleen) om een algemene check of het opgestelde beleid wordt waargemaakt. Het gaat veel eerder om die tientallen checkjes verdeeld over een dag om elkaar op beveiligingsissues aan te spreken, passend bij een lerende organisatie en continu verbeteren.
 
De Deming Cycle is dan al gauw te beperkt voor datgene dat nodig is. De Bovis Cycle probeert invloed te nemen op de intrinsieke motivatie van mensen om er werkelijk wat van te kunnen maken. Dat definieert voor mij werkelijk leiderschap: echte leiders zijn in staat de winkel open te houden en bij te sturen, maar tevens adequaat in te spelen op het groene speelveld. Het instrumentarium is simpel en enkelvoudig: een oprecht gesprek. En daarom ben ik toch gelukkig met de AVG: het geeft de kans en noodzaak dat gesprek steeds meer te zullen gaan voeren in de toekomst.

Labels: innoviq, aanpak, avg, betekenisgeving, betrokkenheid, datalekken, demming cirkel, gedrag, informatiebeveiliging, privacy