Breng informatieveiligheid dichtbij

Gebruik de nationale campagne Alert online om in de organisatie awareness op de kaart te zetten. Doel van de twee weken durende campagne is om burgers, bedrijven en andere instanties bewust te maken van on- en offline omgaan met persoonlijke informatie. Wij haken vanuit BZK aan en vertalen de campagne door naar de eigen organisatie. Door die landelijke campagne wordt het vuurtje aangewakkerd om ook bij BZK aandacht te vragen voor veilig online gedrag.

Het informatiebeveiligingsdomein (IB-domein) regelt van alles rond techniek en technische beveiliging, maar mensen willen graag kunnen doen wat ze thuis ook doen. De getroffen beveiligingsmaatregelen ervaren ze als belemmerend waardoor ze om de beveiliging heen gaan werken. Daar worden de grootste risico’s gelopen. Wat het IB-domein wilde is een kijkje in de keuken bieden. Toen ben ik op het concept storytelling gekomen. Er zijn natuurlijk ontzettend veel mensen binnen de organisatie die werken met informatie. Dat begint in feite al bij een receptioniste die iemand ontvangt en de gegevens moet controleren. In het pand gaat het bijvoorbeeld om het vergrendelen van beeldschermen waarmee je de privacy van jezelf en van anderen waarborgt. Er zijn BZK-onderdelen zoals Logius, Dienst Huurcommissie en Rijksdienst voor identiteitsgegevens, die veel dichter in contact met de burger staan en met gegevens van burgers werken. Waar het bij storytelling om gaat, is dat je vanuit verschillende organisatieonderdelen van BZK laat zien: wat betekent informatiebeveiliging bezien vanuit jouw functie en jouw domein. Wat tref je op je werkplek aan, hoe ga je daarmee om? En wat voor tips heb je naar de lezer toe. Het gaat erom dat de lezer zich kan vereenzelvigen met de functionaris in het IB-domein en zich afvraagt: “Hoe doe ik dit eigenlijk in mijn praktijk”. Zo probeer ik informatiebeveiliging dichter bij medewerkers te brengen.

We zijn bezig met sessies waarin iemand lezingen houdt. Nu is dat Maria Genova, schrijfster van het boek ‘komt een vrouw bij de h@cker’. Wat zij doet is het verhaal van het slachtoffer vertellen, bijvoorbeeld bij identiteitsfraude. Zeker voor gemeente- of andere overheidsmedewerkers die met erg gevoelige burgergegevens werken, is het goed om in gedachte te hebben, te voelen, wat het betekent als een burger geraakt wordt door identiteitsfraude. Voor een burger is het zo dat de bewijslast bij hem komt te liggen. Hij moet gaan verdedigen dat hij het niet was die bepaalde dingen gedaan heeft. Dat is een hele traumatische gebeurtenis voor veel mensen, die ook lang kan aanhouden, soms wel twee jaar. Als je dat beseft en voelt, je bent zelf ook altijd burger, dan kun je ook veel beter begrijpen waarom het belangrijk is dat je veilig omgaat met die gegevens. Dan ben je intrinsiek gemotiveerd. En vindt er een gedragsverandering plaats.

Wat ik merk, is dat het slim is om in te spelen op actuele zaken. Als er deze week in het journaal aandacht wordt besteed aan cybercrime, en drie weken geleden ook, dan sluiten we met onze campagne daar mooi bij aan. Goed nadenken over de risico’s is essentieel, want niet elk risico is even groot of heeft impact. Maar we willen medewerkers wel bewust maken van wat er had kunnen gebeuren.

We gaan ook ronde-tafel-sessies doen rondom informatieveiligheid. Waarbij we eerst een boodschap communiceren naar de medewerkers en vervolgens groepjes vormen waarin mensen erover gaan praten. En ook onderwerpen ter discussie mogen stellen. Dat kan bijvoorbeeld gaan over wat een persoonsgegeven is. Of: waarom moet ik mijn werkplek locken als er ook allemaal andere ambtenaren in het kantoor zijn. De gedachte is vaak: we hebben toch de ambtseed afgelegd, we kunnen elkaar toch allemaal vertrouwen? Maar wij hebben bij de gemeente Rotterdam zo veel medewerkers, dat er statistisch gezien altijd een crimineel tussen kan zitten. Natuurlijk ga je uit van vertrouwen, maar je moet ook de verantwoordelijkheid nemen voor de gevoelige gegevens waar je mee werkt.

We proberen veel te doen met workshops om de bewustwording te verbeteren. Natuurlijk moet je onderwerpen op intranet zetten, flyers uitdelen en posters hangen in de gang. Maar probeer ook bij mensen binnen te komen, om zaken toe te spitsen op hun eigen werkproces, hun eigen taken in de organisatie en op de plek waar ze zitten. En in grote organisaties met veel verschillende taken en afdelingen en onderdelen is het nodig om het net even wat specifieker te maken. Wij hebben medewerkers die op kantoor werken. Maar we hebben ook medewerkers die bijvoorbeeld op straat met handhaving bezig zijn. Zij hebben met verschillende informatie te maken. Maar ook met verschillende omgevingen en andersoortige risico’s. Daarom hebben we per organisatieonderdeel een ambassadeur die kijkt wat precies nodig is en die kan helpen om zijn afdeling bewuster te maken. Je kan niet overal maatwerk voor maken, maar we proberen wel om in de campagne zo specifiek te zijn dat het iedereen aanspreekt.

Met informatieveiligheid kun je ook op de ‘natuurlijke’ momenten in het jaar ‘voorbij komen’, zoals de zomervakantie of de kerst. Dan ben je niet die kadersteller of wetgever. Er zijn natuurlijk ook regels voor veilig omgaan met informatie en over wat je wel en niet mag doen op je werkplek. Maar voor regels heeft men over het algemeen een behoorlijk natuurlijke allergie. Het is de kunst om daarover op een goede manier te communiceren. Mensen kijken uit naar hun vakantie. Dus als je een bericht afstemt op dat vooruitzicht, komt je boodschap heel anders over. Ga uit van een positieve beleving. Met de zomervakantie voor de deur, heb ik een artikel op het rijksportaal geplaatst met daarnaast een afbeelding met ‘fijne vakantie gewenst’ (PDF – 221 Kb). Een boodschap verbonden aan de komende vakantie. Dan open je het artikel als volgt: ‘Je manager verwacht niet dat je ook tijdens je vakantie bereikbaar bent. Dus is het niet nodig, laat je mobiele apparaten thuis. Dat is het meest veilig. Maar wil je ze dan toch meenemen, let dan daar en daar op’. Dat is heel goed ontvangen. Dus dat werkt wel.