Bij de inrichting en implementatie van gegevensbescherming en informatiebeveiliging richten organisaties hun pijlen voornamelijk op de technologische, organisatorische en juridische component ervan. Getroffen beheersmaatregelen zijn in de lijn hiervan vaak technisch, organisatorisch en normatief van aard. Ondanks deze maatregelen gebeuren er op de werkvloer beveiligingsincidenten en datalekken. Elk jaar nemen ze in aantal toe.
Het recht op privacy, de kwaliteit van informatie en de controleerbaarheid ervan komen erdoor in het gedrang. Voor organisaties die het slachtoffer zijn van een incident of datalek kan dit negatieve gevolgen voor de productiviteit/dienstverlening, hoge herstelkosten en imagoschade met zich meebrengen. Voor betrokkenen kan dit leiden tot schending van de privacy met ernstige schade tot gevolg. De toegang tot fundamentele rechten en vrijheden kan erdoor worden beperkt of zelfs volledig worden verhinderd.
Gedrag van bestuur, directie, management en uiteraard ook elke medewerker, wordt vaak als onderliggende verklaring van beveiligingsincidenten en datalekken aangehaald. De mens als zwakke schakel.
Gedragingen bestaan echter niet in een vacuüm, maar doen zich voor in een context waarin velerlei determinanten op één en hetzelfde moment een rol spelen. Ook factoren als een gebrek aan capaciteit en motivatie bij de medewerker of een gebrek aan steun uit de werkomgeving en invloed van sociale normen kunnen mee verklaren waarom het wel eens op het gebied van gegevensbescherming en informatiebeveiliging fout loopt. Het gevolg hiervan is dat op de werkvloer bewust of onbewust onnodig veel risico’s worden genomen.
Wel of geen beveiligingsincident of datalek krijgen, is geen kwestie van pech of geluk, maar heb je als organisatie voor het overgrote deel zelf in de hand. Het aantal beveiligingsincidenten en meldingen van datalekken kan erop wijzen dat de aandacht voor gegevensbescherming en informatiebeveiliging in de organisatie nog onvoldoende is ontwikkeld. Het ontbreekt dan aan een privacybewuste en informatieveilige organisatiecultuur.
Uiteraard is het belangrijk als organisatie oog te hebben voor de technische, organisatorische of juridische component van gegevensbescherming en informatiebeveiliging. Maar als de werkvloer met technische maatregelen er niet op de juiste manier mee omgaat, of er zijn onvoldoende processen ingericht om de normen te kunnen naleven en de techniek zijn werk te laten doen, dan is bescherming en beveiliging niet effectief.
Om risicogedrag op de werkvloer – de hoofdoorzaak nummer 1 van beveiligingsincidenten en datalekken – om te buigen richting het gewenste privacybewuste en informatieveilige gedrag voltstaat het als organisatie daarom niet langer de pijlen uitsluitend te richten op de technische, organisatorische en juridische component van gegevensbescherming en informatiebeveiliging. Ook de factor ‘mens’, meer in het bijzonder ‘gedrag’ is hierbij aan zet.
Een positieve vaststelling waar we niet omheen kunnen, is dat er steeds meer aandacht bestaat voor de bijdrage die gedragseconomische en psychologische inzichten kunnen leveren aan beter beleid en dit op diverse maatschappelijke terreinen: verkeersveiligheid, veiligheid bouwsector, welzijn op het werk, gezondheidspreventie. Onder de noemer ‘Beter beleid maken met gedragsinzichten’ heeft de Vlaamse Overheid inmiddels volop de kaart getrokken om in zijn beleidsvoering rekening te houden met die inzichten. Gegevensbescherming en informatiebeveiliging mogen in deze eregalerij echter niet ontbreken. Het verdient daarom aanbeveling het gedragswetenschappelijke perspectief steviger te verankeren in het beleid rond gegevensbescherming en informatiebeveiliging. De Vlaamse ICT Organisatie, kortweg V-ICT-OR, heeft hiertoe alvast mee de aftrap gegeven door gedragsinzichten mee op te nemen in de opleidingen ‘Certified DPO’ en ‘DPO in de praktijk’.
Een van die inzichten uit de gedragspsychologie is dat een groot deel van ons gedrag onbewust, automatisch is, d.w.z. gedrag dat irrationeel gestuurd wordt door onze automatische piloot. Alleen maar een klein deel van ons gedrag is bewust, gecontroleerd gedrag, d.w.z. gedrag dat rationeel gepland is. Volgens psychoanalist Carl Gustav Jung en Nobelprijswinnaar Daniël Kahneman - belangrijke pionier op het grensvlak van de economie en psychologie - zou de gemiddelde mens 5% bewust en 95% onbewust door het leven gaan. Dit is een bijzonder interessant inzicht waarmee best rekening wordt gehouden bij het opzetten van bewustwordingscampagnes en andere vormen van gedragsinterventies. Wil de Data Protection Officer gedragsverandering richting het gewenste gedrag op de werkvloer op gang brengen, dan zal de aandacht moeten gericht zijn zowel naar de rationele, bewuste kant waarmee gedrag tot stand komt als naar het gedrag dat irrationeel aangestuurd wordt door de automatische piloot.
Hoog tijd dus om inzichten uit gedragswetenschappen deel te laten worden van de dagelijkse praktijk van de Data Protection Officer. De inzet van deze inzichten moeten helpen veranderen (Change) van wat op de werkvloer aan risicogedrag gezien (See) en gevoeld (Feel) wordt (John Kotter). ‘Watching behavior before writing the rules’ (Richard H. Thaler). Kijk dus hoe naar medewerkers zich gedragen op de werkvloer, niet eenzijdig naar hoe ze zich zouden moeten gedragen.
Dit houdt kennis van gedragsinzichten in en hoe je als Data Protection Officer er mee aan de slag kunt gaan binnen je eigen organisatie. Voor de Data Protection Officer is het daarom ten zeerste aanbevolen de kennis van en inzicht in gedrag bij te spijkeren naar een hoger niveau.
Rond het thema ‘
Privacy en Gedragsverandering’ organiseert Politeia op 15 oktober 2020 een webinar.
Het thema ‘Beter beleid gegevensbescherming en informatiebeveiliging maken met gedragsinzichten’ zal vanaf heden tevens ruimschoots aan bod komen in de V-ICT-OR-opleiding ‘DPO in de praktijk’.
Geschreven door: KP