Hoe vaak lezen we bij een datalek niet de vermelding dat het ging om een menselijke fout en dat er passende maatregelen zijn genomen om de fout in de toekomst te vermijden. In de praktijk betekent dit meestal dat de ‘dader’ op z’n donder gehad heeft en vaak ook dat besloten is om nog zwaarder in te zetten op procedures of awareness.
Net als een bordje ‘verboden toegang’ echter, houden procedures niets tegen. Dat weten we al lang. De wet zegt, dat je moet kunnen aantonen, dat je maatregelen hebt genomen. Als je als organisatie maar heel veel procedures hebt, houd je in ieder geval de schijn op, dat je privacy en informatiebeveiliging serieus neemt. En in de wereld van vandaag draait het vaak om de schone schijn. Veelal is er dan ergens ook nog wel een procedure te vinden, waarin aangegeven wordt dat er controles zijn. Maar controle van heel veel maatregelen is ondoenlijk en als je de naleving niet daadwerkelijk controleert, dan maak je daarmee de pakkans bij overtredingen erg klein en de gevolgen minimaal en zijn er nog weinig redenen waarom men zich aan de procedures zou houden.
Als dan wordt vastgesteld, dat managers en medewerkers zich niet aan procedures houden, wordt al snel de conclusie getrokken, dat de awareness onvoldoende is. Blijkbaar snappen managers en medewerkers het belang van de regeltjes niet en moet dat beter worden uitgelegd. Maar wat is het effect van al die regeltjes? We zagen het tijdens het Oekraïne-referendum, de Brexit en Donald Trump, in feite werd in alle drie de gevallen door een meerderheid gestemd tegen het oerwoud aan regeltjes, waar de tegenpartij voor stond. Niet omdat het alternatief beter is. Het was een ‘nee’ tegen de technocraten die denken dat ze wel weten wat goed voor ons is.
Het belang dat al jaren gediend wordt, herkennen we niet meer als ons belang en we stemmen het weg, zelfs als onduidelijk is wat we ervoor terug krijgen. Dat dit denigrerend wordt afgedaan als populisme, zonder dat het leidt tot herbezinning, is wel heel zorgelijk. Blijkbaar werkt het managementsysteem van onze leiders niet goed. Een managementsysteem zou immers moeten borgen, dat je leert van je fouten. En daarmee zijn we dan weer terug bij ons onderwerp: privacy en informatiebeveiliging. Ook technocratisch aangelegde security en privacy officers wijzen graag op gebrek aan awareness als het gaat om het belang van privacy en informatiebeveiliging, zonder er een moment over na te denken om wiens belang het nu eigenlijk gaat.
‘Hart voor de zaak’, het is misschien een enigszins verouderd begrip, maar toch heel wezenlijk in deze tijd, waarin technocraten krampachtig proberen normen en waarden te vangen in wetgeving. Vroeger was ‘hart voor de zaak’ bijna vanzelfsprekend. Niet alleen in het werk, maar ook in geloof, relaties enzovoort. Na decennia van individualisering zien we dit echter nu vooral bij jongeren terugkomen. Men zoekt weer naar zingeving. Laten we ons echter nu beperken tot het werk. ‘Hart voor de zaak’, hoe zorg je daarvoor?
En zodra je ‘Hart voor de zaak’ probeert te vangen in regeltjes, dan zien we dat het niet meer vanzelfsprekend is en dus verdwijnt.
Als we nu de gemiddelde awareness training voor informatiebeveiliging (IB) of privacy hier eens mee vergelijken, dan zijn er een aantal opvallende verschillen. Hieronder staan ze:
Dit alles is niet zo vreemd als we kijken naar de tijd, waarin IB zich ontwikkelde. Vroeger was ‘Hart voor IB’ voor de organisatie helemaal niet vanzelfsprekend. En dat was ook nogal wiedes. Want informatiebeveiliging gaat over beschikbaarheid, integriteit en vertrouwelijkheid. En voor de gemiddelde manager en medewerker was dat een ‘ver van mijn bed’-show.
Niemand snapte dus ook het belang van IB en privacy in zijn dagelijkse werk. Tot er een paar jaar geleden een paar belangrijke veranderingen plaats vonden.
Ineens werd zichtbaar gemaakt, dat inbreuken op de privacy wel erg ver gingen en dat overtredingen ook tot serieuze straffen kunnen leiden. Denk aan:
In één klap stond de bescherming van persoonsgegevens op de kaart en was het belang van privacy (en daarmee ook IB) duidelijk. Iedereen snapt, dat als persoonsgegeven op straat komen te liggen, de reputatie van de organisatie gevaar loopt. Zeker als dit persoonsgegevens betreft, die eigendom zijn van een klant of een ketenpartner. En omdat iedereen dagelijks in aanraking komt met persoonsgegevens, was het ook ineens geen ‘ver van mijn bed’-show meer.
Iedereen snapte dus ineens dat bescherming van persoonsgegevens (en dus IB) ook voor hem belangrijk is. Helaas wordt deze kans voor informatiebeveiliging verziekt door technocraten die het in regels willen vangen.
Kortom, het bewustzijn van privacy en IB, dat er nu is bij managers en medewerkers, wordt door technocraten weer gekaapt, zodat niemand zich meer geroepen voelt om IB en privacy vanzelfsprekend te vinden en zelf bij te dragen aan de bescherming van persoonsgegevens. Zo gaat het nooit werken!
Iedere awareness training die begint met de nieuwe AVG, is bij voorbaat tot mislukken gedoemd. Awareness moet een beroep doen op wat je zelf wilt en niet op wat anderen van je willen. ‘Hart voor de zaak’ en ‘Hart voor IB’ worden vermoord door ze te vangen in regels, die op voorhand bijna oncontroleerbaar zijn.
Wanneer je wilt dat mensen met IB en privacy aan de slag gaan, dan moet je ze inzicht geven in hoe ze dit kunnen doen. Gras gaat ook niet harder groeien als je eraan trekt. Je moet het bewerken. Dat geldt ook voor awareness. Je moet het op de juiste manier bewerken en zorgen voor omstandigheden waardoor het gaat groeien. Dus geen regels, maar principes. En die zijn niet moeilijk. Zo vanzelfsprekend zelfs, dat technocraten ze allang vergeten zijn. Zij stellen controle boven vertrouwen, zelfs als dingen niet te controleren zijn zoals bij IB.
Daarom in het kort even de principes van IB en dus van de bescherming van persoonsgegevens:
Deze principes moeten ongeschreven wetten zijn, die deel uitmaken van iedere organisatie, waar ‘hart voor de zaak’ nog vanzelfsprekend is. Ze moeten ingebakken zijn in het DNA van de organisatie en haar managers en medewerkers.
De enige reden voor het opschrijven van deze ongeschreven wetten is, dat deze vaak worden ondergesneeuwd in het geweld van privacy en security experts, die gesteund door technocratische politici en op sensatie beluste media, ons wijs willen maken dat achter iedere boom een terrorist of cybercrimineel kan zitten, waar daadkrachtig met heel veel maatregelen tegen opgetreden moet worden. Het is prima dat ze dat vinden, maar ik bepaal zelf wel waar ik hart voor heb. Hart voor mijn partner, hart voor mijn kinderen, hart voor goede doelen, hart voor de zaak en hart voor IB en privacy, dat bepaal ik nog altijd zelf en dat heeft niets te maken met wat technocraten daarvan vinden.
Hart voor IB en bescherming van persoonsgegevens werkt dus net als ‘Hart voor de zaak’. Er geldt dus dezelfde aanpak:
En zodra je ‘Hart voor IB’ probeert te vangen in regeltjes, dan zien we dat het niet meer vanzelfsprekend is en dus verdwijnt.