Vorige week schoof ik digitaal aan bij het Bespreekuur veiligheid gemeenten van de IBD (Informatie Beveilingsdienst). Het doel van dit bespreekuur was het delen van kennis en ervaringen omtrent informatiebeveiliging bij gemeenten. Dat een solide databeveiligingsbeleid cruciaal is binnen overheidsorganisaties, staat inmiddels als een paal boven water. Maar dit betekent niet dat het opstellen en uitvoeren van het beleid altijd even gemakkelijk is. Om een doeltreffend privacybeleid te maken, met oog voor de huidige realiteit, is het niet voldoende om goed op de hoogte te zijn van de richtlijnen van de AVG. In tegendeel, daar is veel aanvullende informatie voor nodig over de huidige realiteit op de werkvloer.
Menselijke fouten
Het grootste deel van datalekken wordt nog altijd veroorzaakt door menselijke fouten. De mens is en blijft de zwakste schakel. Een gedeelte van dit risico kan beperkt worden door degelijke software te gebruiken en de verwerkingsprocessen in te richten volgens de richtlijnen van privacy by design. Dat zijn belangrijke randvoorwaarden. Maar zelfs dan zit een menselijke fout in een klein hoekje. Wie kent niet de verhalen van zwaar beveiligde organisaties die van binnenuit gehackt werden door bijvoorbeeld een medewerker die een slingerende USB-stick opraakte en in zijn computer stak?
Bewustzijn creëren
Deze risico’s kunnen waarschijnlijk nooit volledig weggenomen worden, maar preventie is zeker mogelijk door het creëren van bewustzijn. Specifiek betekent dit dat de meeste organisaties baat hebben bij een hoger IB&P-bewustzijn (Informatiebeveiliging & Privacy-bewustzijn). Maar waar begin je als organisatie? Hoe weet je welke informatie wel en niet aansluit bij het huidige kennisniveau van de medewerkers? Waar zitten de hiaten en waar is de organisatie wellicht al juist bijzonder sterk in?
Het belang van nulmetingen
Dit is waar het belang van nulmetingen om de hoek komt kijken. Gecoördineerde metingen die de huidige privacy-cultuur binnen een organisatie in kaart brengen vormen een ideaal startpunt voor een doeltreffend privacybeleid met concrete doelstellingen. Maar hoe kan je het IB&P-bewustzijn meten? Er zijn meer indicatoren mogelijk dan je wellicht zou denken!
Tips & tricks
Worden nieuwe medewerkers bijvoorbeeld niet voorgesteld aan de CISO/FG? Dat zegt iets over de privacy-cultuur binnen een organisatie. Hoeveel mensen reageren op phishing mails en maken hier melding van? Ook interessant: hoeveel medewerkers laten ongeïdentificeerde bezoekers achter zich aan naar binnen lopen door de poortjes?
Het beste resultaat wordt bereikt door deze metingen periodiek te blijven uitvoeren met een vaste set van indicatoren. Is er een meetbare verbetering zichtbaar? Dan zit de organisatie op het goede spoor. Zo niet? Dan moet het privacybeleid wellicht herschreven of anders uitgedragen worden. Hoe dan ook zijn deze metingen, met de nulmeting als basis, van cruciaal belang om het IB&P-bewustzijn binnen een organisatie in kaart te brengen.
KBenP Digitale Overheid
Binnen KBenP Digitale Overheid hebben wij een eigen tool ontwikkeld om via een nulmeting het kennisniveau van medewerkers binnen een overheidsorganisatie in kaart te brengen. De basistool richt zich in eerste instantie op het kennisniveau van Zaakgericht Werken, maar het mooie van onze opzet is dat wij de meting flexibel kunnen inrichten op basis van de behoeften van de betreffende organisatie. Interesse in een nulmeting van het IB&P-bewustzijn of het kennisniveau omtrent Zaakgericht Werken? Neem dan contact met ons op via klaske.schep@kbenp.nl.
