Informatiebeveiliging en privacy

Drie-eenheid van techniek, proces en mensen

Informatiebeveiliging en privacy zijn niet alleen een kwestie van je techniek en processen op orde hebben. Ook de medewerkers spelen een belangrijke rol.

Als zij zich niet aan de regels houden, ben je als organisatie nergens. Met andere woorden, informatiebeveiliging en privacy vragen om verandermanagement.

De definities van informatiebeveiliging en privacy

Wikipedia heeft de mond vol van informa­tiebeveiliging en privacy. Van preventieve, detectieve, repressieve en correctieve maat­regelen voor de bescherming van informatie tot de afscherming van persoonsgegevens en het recht om vertrouwelijk te communiceren (zie Wikipedia voor de volledige omschrijving). Voor privacy geldt hetzelfde: daar gaat het over de afscherming van persoonsgegevens, het eigen lichaam, de woningen of leefruimte, het recht om vertrouwelijk te communiceren, enzovoort.

Leuk die omschrijvingen en ze kloppen helemaal, maar wat heeft dat nu met verandermanagement te maken? Wereldwijd hebben organisaties te maken met informatiebeveiliging en privacy. Zeker in de steeds grotere digitalisering binnen de overheid zijn deze twee onderwerpen belangrijker dan ooit. Als je Wikipedia erop naslaat, lijkt het alsof je aan de normen van informatiebeveiliging en privacy voldoet, als je de techniek en processen goed hebt ingericht. Toch ben je er dan nog niet. Informatiebeveiliging en privacy in een organisatie zijn een drie-eenheid van:

  1. Techniek
  2. Proces (procedures)
  3. Mens

Deze onderdelen zijn onlosmakelijk met elkaar verbonden en kunnen niet zonder elkaar. De techniek en de processen kunnen nog zo goed ingericht zijn, maar als de mens er niet naar handelt, zijn we nergens. Informatiebeveiliging en privacy zijn dus veranderma­nagement. Binnen informatiebeveiliging en privacy is de gedragsverandering van de mens en de cultuurver­andering in de organisatie van groot belang.

Gedragsverandering

Gedrags- en cultuurverandering gaan natuurlijk niet vanzelf. Dat heeft tijd nodig en de juiste motivatie in de organisatie. Er zijn verschillende manieren om dit te realiseren, zoals:

  • Bewustwordingscampagnes
  • E-learning, verplicht of vrijwillig
  • Informatieberichten via interne kanalen, zoals intranet
  • Het gesprek aangaan

Het begint bij het aangaan van het gesprek met alle lagen in de organisatie. Waarom is dit zo belangrijk? Niet alleen omdat de IBD het verplicht om te voldoen aan de BIO-normen en de wetgeving vanuit de AVG. Het is vooral belangrijk om de toegevoegde waarde voor de klant en henzelf te laten inzien.

Toegevoegde waarde

Voordat mensen in de organisatie deelnemen aan een bewustwordingscampagne, aan de slag gaan met e-learning of bewust berichten lezen, hebben ze een intrinsieke motivatie nodig. Anders wordt het een verplicht nummertje waarbij de informatie die ze hebben ontvangen niet goed beklijft. De kunst zit veel meer in het gebruikmaken van de middelen die ons gegeven worden en deze vertalen naar een werkbare situatie in de organisatie. Uitspraken als “het mag niet vanuit de AVG” en “de BIO verplicht ons om het zo te doen” moeten weg uit de organisatie. De AVG is er ter bescherming van persoonsgegevens en geeft richtlijnen hoe deze bescherming gewaarborgd kan worden. De BIO is een normenkader dat de organisatie helpt om informatiebeveiliging goed in te richten in de organisa­tie, zodat je niet zelf het wiel hoeft uit te vinden.

Gedrags- en cultuurverandering gaan niet vanzelf.

ISO’s en privacy officers

De invulling van de rol als CISO en privacy officer verandert hierdoor ook. Vaak zijn mensen die zo’n functie hebben vanuit de inhoud gedreven. Soms zijn het echte vakidioten en soms mensen die de functie er maar “bij” moeten doen. Tussen deze twee uitersten zit een groot verschil in de intrinsieke motivatie en dus in de invulling van die rol.

We zien dat het overbrengen van de boodschap, het creëren van draagvlak en het verbeteren van bewust­wording een steeds grotere rol spelen. Daardoor is het lang niet meer voldoende om alleen maar vakinhoudelijk te zijn. De CISO’s en privacy officers van tegenwoordig worden steeds meer verandermanagers en niet meer alleen maar vakinhoudelijke specialisten. Zeker voor inhoudelijk gedreven mensen kan dit lastig zijn en betekent dat ook iets voor het veranderende ver­mogen van jezelf. In een privacy- en securityteam wil je eigenlijk het beste van deze twee werelden bij elkaar zien, zodat je elkaar kunt versterken en het onderwerp stevig kunt verankeren in de organisatie.

Gemakkelijker gezegd dan gedaan, maar zeker niet onmogelijk! Het staat of valt ook met de juiste aanpak en iemand die hierin kan doorpakken. Bij NCOD heb­ben wij specialisten in huis die zowel op techniek- en procesniveau als op mensniveau de kennis hebben om organisaties hierbij te helpen.

NCOD-adviseurs beschikbaar

Bij ons werken adviseurs met kennis van verschillende beleidsterreinen, zij staan klaar om te helpen bij projecten op het gebied van informatiebeveiliging en privacy.

Auteur(s): Feline Gillessen en Maartje Brouwers , adviseurs bij NCOD.

Heb je naar aanleiding van dit artikel nog vragen? Neem contact met ons op.

Maartje

Adviseur
Digitalisering & informatiemanagement

maartjebrouwers@ncod.nl06-52302409

Gerelateerde artikelen

Werken bij ncod

Samen bouwen aan sterke publieke organisaties

ncod opleidingen

Praktijkgerichte opleidingen op ieder niveau

Aanmelden nieuwsbriefPrivacyverklaringAlgemene voorwaarden