Organisaties treffen op basis van privacyregelgeving en beveiligingsstandaarden maatregelen om privacy (gegevensbescherming) te borgen en security (informatiebeveiliging) te verbeteren. Hoewel bepaalde organisaties formeel wel in orde zijn, doen er zich op die plaatsen toch beveiligingsincidenten en datalekken voor. Elk jaar nemen die lekken in aantal toe. Kan meer aandacht voor gedragsverandering en psychologie daar verandering in brengen?
‘Gedrag van mensen’ wordt in de literatuur vaak als verklaring voor datalekken aangehaald. De mens als zwakke schakel. Gedragingen bestaan echter niet in een vacuüm, maar doen zich voor in een context waarin velerlei determinanten op een en hetzelfde moment een rol spelen. Gebrek aan bewustzijn, risicoperceptie, attitude, capaciteit, motivatie, wilskracht of gemakzucht en een ‘dat overkomt mij toch niet’-houding zijn maar enkele voorbeelden van determinanten die ertoe kunnen bijdragen dat het op het gebied van privacy en security plotseling fout kan gaan. Maar ook factoren als de werkdruk, gebrek aan tijd, oververmoeidheid, uitputting, gebrek aan steun uit de werkomgeving, de invloed van sociale normen kunnen mee verklaren waarom het fout kan lopen. Het gevolg hiervan is dat medewerkers op de werkvloer bewust of onbewust onnodig veel risico’s nemen.
Wel of geen beveiligingsincident of een datalek krijgen, is geen kwestie van pech of geluk, maar heb je als organisatie voor het overgrote deel zelf in de hand. Veel organisaties onderschatten echter nog altijd de rol van gegevensbescherming en informatiebeveiliging. Hun meerwaarde is echter evident: informatie blijft vertrouwelijk, klopt en is beschikbaar wanneer nodig, privacy compliance, imagovoordelen, sterkere concurrentiële positie én bovenal de feitelijke invulling van een grondrecht dat privacy heet.
Met ingang van 25 mei 2018 is de wetgeving rond privacy niet alleen in ons land, maar in de ganse Europese Economische Ruimte (EER) gewijzigd. Organisaties krijgen door de Algemene Verordening Gegevensbescherming (AVG) meer verplichtingen op het gebied van gegevensbescherming en informatiebeveiliging om invulling te geven aan hoe ze binnen de eigen organisatie aan de Verordening kunnen voldoen.
Naast regelgeving, technische en organisatorische beschermings- en beveiligingsmaatregelen zijn bewustwording, inzicht en risicoperceptie en behandeling van de risico’s op de werkvloer daarbij van onmiskenbaar belang. Veel van die risico’s hebben te maken met gedrag.
Privacybewust en informatieveilig werken doe je als organisatie echter niet uitsluitend omdat het vanuit het oogpunt van privacyregelgeving en beveiligingsnormen moet. Organisaties die overtuigd zijn van het belang van gegevensbescherming en informatiebeveiliging schrijven doelstellingen op het gebied van privacy en security in hun bedrijfsstrategie in. De factor ‘mens’ hoeft tenslotte niet de zwakke schakel te zijn. Wanneer privacybewust en informatieveilig gedrag een gewoonte of reflex wordt, kan de mens juist dé sleutel tot verandering zijn.
Auteur: Kurt Penninck