In 5 stappen naar een informatieveilige omgeving
Weet je niet hoe jij een gedragsverandering creëert bij medewerkers binnen jouw zorgorganisatie? Of lukt het überhaupt niet om informatieveilig werken hoog op de agenda te krijgen? Volg de 5 stappen hieronder en maak direct een goede start.
Stap 1: krijg het onderwerp hoog op de agenda
Voor het creëren van een informatieveilige omgeving is het allereerst van belang dat jij als deskundige precies weet wat er op het gebied van informatieveiligheid speelt binnen jouw organisatie. Bekijk welke onderwerpen er leven en ga het gesprek aan met de betrokkenen. Denk aan actuele onderwerpen als het ongewenst inzien van dossiers, het onvoldoende melden van datalekken, wachtwoorden die zwak zijn en het openen van phishingmails. Door de risico’s ook daadwerkelijk te benoemen, wordt het makkelijker om het ‘waarom’ uit te leggen aan collega’s.
Pak het vervolgens multidisciplinair aan. Betrek de afdeling Communicatie, ICT, HRM en Opleidingen bij het proces. Om maximale impact te maken, is het verstandig om het bestuur mee te nemen. Op deze manier weet iedereen binnen de organisatie wat er gaande is en laat je niks aan het toeval over.
Het opstellen van een (onafhankelijke) nulmeting is daarnaast ook een geschikt middel om bewustwording hoger op de agenda te krijgen. Jouw organisatie wil op zijn minst aan de huidige regelgeving voldoen. Met een nulmeting, praktijkvoorbeelden of een social engineering onderzoek toon je aan dat jouw organisatie met kleine maatregelen al veel winst boekt.
Stap 2: het vaststellen van de doelgroep en het doelgedrag
Nu iedereen weet dat het onderwerp prioriteit heeft, is het tijd om het doelgedrag van de medewerkers te bepalen. Je stelt per onderwerp vast hoe jouw organisatie wil dat jouw collega’s handelen in bepaalde situaties. In de praktijk blijkt het vaak nog niet zo eenvoudig om een uniform doelgedrag vast te stellen.
Het is namelijk ook belangrijk om de communicatie op verschillende doelgroepen af te stemmen én ook aan specifieke onderwerpen. Niet alle medewerkers hebben namelijk dezelfde communicatie- of leervoorkeuren. Daarnaast komen de medewerkers in aanraking met verschillende vraagstukken en risico’s. Probeer daarom doelgroepen te maken en koppel aan deze doelgroepen verschillende communicatie en leermiddelen.
Voorbeelden van doelgroepen zijn:
- Artsen
- Verpleegkundigen
- Facilitair personeel
- Ondersteunend personeel
Stap 3: Bepalende gedragsfactoren onderzoeken
In deze stap kijk je naar de factoren die het doelgedrag in de weg staan. Hieruit komt bijvoorbeeld naar voren dat medewerkers het belang van een handeling niet onderkennen, dat systemen onlogisch zijn ingericht, dat er dubbele handelingen moeten worden uitgevoerd of dat er bijvoorbeeld angst is om datalekken te melden.
We willen jou graag laten kennismaken met de drie factoren die het gedrag van mensen bepalen. Gedragswetenschappers maken vaak gebruik van het COM-B model. Volgens dit model wordt gedrag bepaald door drie factoren: capaciteiten (Capacity), kansen (Opportunity) en motivatie (Motivation). Met dit model onderzoek je welke factoren gedrag bepalen én veranderen.
- Capaciteit: bij capaciteit gaat het om het kunnen uitvoeren van gedrag. Het kan gaan om psychologische capaciteit, waarbij het gaat om de kennis en vaardigheden van mensen.
- Kans: hierbij gaat het om factoren buiten het individu die het gedrag beïnvloeden, denk aan de werkplek, software, maar ook de sociale omgeving.
- Motivatie: bij motivatie kijkt men naar drijfveren, attitudes en motieven van mensen.
Stap 4: Interventies selecteren en uitvoeren
Als je weet wat de factoren zijn die het gewenste gedrag (on)mogelijk maken, is de vervolgstap het kiezen van interventies. Grofweg zijn er negen soorten interventies. Voorbeelden zijn training, voorlichting, het aanpassen van de omgeving en overtuiging.
Zoals we eerder hebben vastgesteld wordt gedrag door drie factoren bepaald. We kiezen de interventies die het meeste geschikt zijn om de relevante factoren te beïnvloeden.
Het inzetten van een E-learning (training) is bijvoorbeeld een geschikte interventie die alle drie de factoren beïnvloedt. Wil je de motivatie van medewerkers beïnvloeden dan kun je werken aan hun overtuigingen en gebruik maken van beloningen.
Afhankelijk van de behoeften en wensen, kan een e-learningprogramma aangevuld worden met andere interventies zoals:
- Phishing campagne
- Praktische tips om Social Engineering te voorkomen.
- Fysieke trainingen
- Sprekers
- Een privacy escaperoom
- Een dag voor de privacy
Stap 5: Monitoren en borgen
Meten is weten. Probeer de bedachte activiteiten die zijn bedacht zoveel mogelijk meetbaar te maken. Om je daarbij te helpen hebben wij 7 praktische tips:
- Gebruik je een intranetpagina? Kijk dan hoeveel kliks/likes op de berichten volgen.
- Houd de hoeveelheid meldingen bij. Het is mogelijk om te differentiëren op onderwerp en periode.
- Maak ook inzichtelijk hoeveel vragen worden gesteld.
- Houd de de scores voor een E-learning bij. Als het goed is, zie je een stijgende lijn in het aantal goede antwoorden.
- Kijk hoeveel gebruik wordt gemaakt van de veilige mail.
- Denk aan periodieke werkvloercontroles of logging/dossier steekproeven.
- Tot slot kun je ook enquêtes of interviews houden om voortgang in kaart te brengen.
Nu ben jij klaar om een informatieveilige omgeving te creëren. Succes en veel plezier!