Handleiding implementatie bewustwording - Informatiebeveiliging en Privacy

Dé handleiding voor een succesvolle implementatie van het bewustwordingsprogramma

In een eerdere blogpost hebben we het gehad over de randvoorwaarden voor een succesvol bewustwordingsprogramma op het gebied van informatiebeveiliging en privacy. Het belang van privacy awareness gaat samen met professioneel en onderscheidend zijn als organisatie. Om de realisering van het bewustwordingsprogramma succesvol te maken, zijn een aantal stappen nodig. Daar staan we in deze blog bij stil.

Het projectmatig opzetten van het bewustwordingsprogramma

Om te starten is het verstandig om een multidisciplinaire projectgroep op te zetten. In de projectgroep zijn in ieder geval de Functionaris Gegevensbescherming/DPO en CISO vertegenwoordigd. Zij gaan over de inhoud van het programma.

Het is aan te bevelen om de HR/Personeelsafdeling ook te betrekken. Zij weten vaak precies wat er speelt en hoe wordt omgegaan met de medewerkersgegevens. Dit geldt ook voor een vertegenwoordiger van ICT/I&A. Zij weten hoe bepaalde processen of middelen werken, welke ICT projecten op de agenda staan en hebben een korte lijn naar de servicedesk.

Niet te vergeten afdelingen

Sommige afdelingen worden soms over het hoofd gezien, terwijl ze zeker belangrijk zijn in het proces. Je kan denken aan iemand uit het primaire proces, net als de communicatieafdeling. De communicatieafdeling kan namelijk helpen bij het kiezen van de juiste vorm en toon van communicatie. Bovendien zijn zij vaak op de hoogte van andere bestaande initiatieven waarbij kan worden aangesloten. Denk aan personeelsbladen, intranetcampagnes, en medewerkersdagen.

De implementatie van het bewustwordingsprogramma kan bespoedigd worden als het projectmatig wordt opgezet, met een strakke planning, beslismomenten, en budgetten.

De belangrijkste vuistregels voor het bewustwordingsprogramma

Meestal hebben participanten in de projectgroep een goed idee van wat er op dit moment gaande is in de organisatie en wat de grootste risico’s zijn. Denk aan het spieken in zorgdossiers. In het onderwijs gaat het meer om het onbeveiligd delen van klassenlijsten. Je kunt ook kijken naar incidentmeldingen die binnenkomen, of die juist ontbreken.

Het helpt je bewustwordingsprogramma als je voor deze belangrijke zaken in totaal vijf tot zeven vuistregels formuleert. Enkele voorbeelden zijn:

Ik bekijk patiëntgegevens alléén als ik rechtstreeks betrokken ben bij de behandeling van die patiënt, de administratie of financiële afhandeling van de behandelovereenkomst.
Ik meld datalekken en privacy gerelateerde incidenten direct via helpdesk@voorbeeld.nl of toestelnummer 333.
Ik houd mijn wachtwoord en medewerkerspas voor mezelf.

Deze vuistregels kun je vervolgens intern verspreiden. Ze helpen ook om focus te houden bij het bewustwordingsprogramma.

Het koppelen van doelgroepen aan communicatie en leermiddelen

Het is belangrijk om de communicatie op verschillende doelgroepen af te stemmen, en ook aan specifieke onderwerpen. Niet alle medewerkers hebben namelijk dezelfde communicatie- of leervoorkeuren. Daarnaast komen de medewerkers in aanraking met verschillende vraagstukken en risico’s. Probeer daarom doelgroepen te maken en koppel aan deze doelgroepen verschillende communicatie en leermiddelen.

Een aantal voorbeelden van doelgroepen zijn: medische professionals (artsen, apothekers en therapeuten) of docenten, managers, HR-medewerkers, beheerders, facilitaire medewerkers, secretaresses, administratief personeel, vrijwilligers en personeel niet in loondienst.

Een passend programma van activiteiten

Als duidelijk is wat je de verschillende doelgroepen wilt meegeven en wat hun leer- en communicatievoorkeuren zijn, dan kun je een passend programma van activiteiten samenstellen. Diverse combinaties zoals e-learning, fysieke training en berichten op intranet zijn aan te bevelen. Maar ook het gebruik van vlogs, posters, een event, e-mail of appberichten en een screensaver. Stel een kalender samen van de activiteiten.

Meten is weten

Probeer de activiteiten die zijn bedacht zoveel mogelijk meetbaar te maken. Om je daarbij te helpen volgen hierna een paar tips.

Gebruik je een intranetpagina? Kijk dan hoeveel kliks/likes op de berichten volgen.
Het bijhouden van de hoeveelheid meldingen. Eventueel kun je daarbij differentiëren op onderwerp en periode.
Maak ook inzichtelijk hoeveel vragen worden gesteld.
Beschik je over een e-learning, houd daar dan de scores voor bij. Als het goed is, zie je een stijgende lijn in het aantal goede antwoorden.
Kijk hoeveel gebruik wordt gemaakt van de veilige mail.
Denk aan periodieke werkvloercontroles of logging/dossier steekproeven.
Tot slot kun je ook enquêtes of interviews houden om voortgang in kaart te brengen.

Het is helemaal mooi als je deze indicatoren kunt koppelen aan een volwassenheidsniveau. Denk bijvoorbeeld aan het Program Maturity Model (PMM) met de niveaus: “1. Ad Hoc, 2. Repeatable, 3. Defined, 4. Managed en 5. Optimized”. Door vooraf een nulmeting te doen, maak je de voortgang vanaf de start van het bewustwordingsprogramma inzichtelijk.

Tip: vraag het bestuur om een ambitie uit te spreken. Op welke niveau willen zij minimaal zitten?

Het opzetten van een implementatieplan

Verwerk het bovenstaande vervolgens in een implementatieplan. Dit is belangrijk vanwege verschillende redenen. Ten eerste kun je dit plan aan de directie voorleggen om draagvlak en de nodige goedkeuringen te verkrijgen. Ten tweede dwingt het je organisatie om activiteiten concreet en structureel te maken. Ten derde helpt dit om de toezichthouders te laten zien dat bewustwording structureel en continue vorm krijgt (accountability). Tot slot kan dit plan worden gebruikt om de benodigde middelen/budgetten te verkrijgen. Vaak kunnen meerdere budgetten worden gecombineerd, bijvoorbeeld van de communicatie en IT-afdeling.

Vergeet niet de ondersteuning te informeren

Als de uitrol van het bewustwordingsprogramma start, zal dit leiden tot extra incidenten en vragen. Zorg ervoor dat voldoende capaciteit beschikbaar is om deze incidenten en vragen in behandeling te nemen. Denk niet alleen aan de helpdesk, maar ook aan superusers of ambassadeurs.

Bij ZCUR hebben wij de oplossing

Heb je ondersteuning nodig bij het implementeren of het maken van een bewustwordingsprogramma? Wij kunnen je helpen. Dat doen we vanuit ZCUR dagelijks voor verschillende organisaties.

Neem met ons contact op en we bespreken de mogelijkheden. Je kunt ons bereiken op 085 – 0608419 of via info@zcur.nl.

Cookie	Duur	Omschrijving
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.