Tips voor informatiebeveiliging en privacy projecten

Traditioneel kijkt iedereen rond de jaarwisseling terug en vooruit. Ik ben niet heel traditioneel, maar terugkijken op je afgelopen jaar en bedenken wat je daaruit meeneemt – zowel privé, als voor je werk – past wel bij mij. In de afgelopen periode stond het werk voor mij in het teken van informatiebeveiliging en privacy: als consultant (met name op het gebied van awareness), presentaties geven bij saMBO-ICT en het opzetten van een e-learning module. Voor sommigen klinkt dit misschien heel saai: je bezig houden met wetgeving, maar de uitdagingen die het creëren van awareness met zich meebrengt zijn alles behalve saai! Ik heb dan ook veel geleerd tijdens deze projecten en deze lessen deel ik graag. Ze zijn overigens niet alleen van toepassing op het thema awareness van informatiebeveiliging en privacy, maar op bijna alle projecten binnen het onderwijs, dus doe er je voordeel mee voor het komende jaar.
 
Al in 2016 begon Zadkine met het compliant maken van de eigen organisatie met de aangescherpte wetgeving, de Algemene Verordening Gegevensbescherming (AVG). In de onderwijswereld was Zadkine een van de eerste mbo’s die hiermee startte en ze hebben het direct grondig aangepakt. Om te beginnen was er een meldingensysteem nodig. En met dat meldingensysteem ook afspraken hoe om te gaan met meldingen. Want zonder bijvoorbeeld een terugkoppeling op de melding, houden de meldingen snel op. Ik was verantwoordelijk voor het optuigen van dit meldingensysteem en het vervolgproces. Dit heb ik met veel plezier gedaan: met een klein team zijn we zo veel mogelijk vooruit gaan denken en hebben we functionele (en technische) eisen opgesteld. Wat zijn de eisen vanuit de wetgeving aan het meldproces? Hoe kunnen we het melden zo laagdrempelig mogelijk houden? Op basis van de eisen hebben we een systeem ingericht. Na activering stroomden de meldingen binnen.
 

  • Sluit bij het optuigen van een meldsysteem zo veel mogelijk aan op bestaande manieren om te melden.
    De drempel van het melden van een datalek is van zichzelf al hoog genoeg (vanwege gedachten en vragen als ‘het voelt als verlinken’, ‘wat zijn de consequenties precies?’ of ‘wat gebeurt er precies met mijn melding?’). Als ook de manier van melden nog nieuw is, is men nog eerder geneigd het niet te melden.

 
Het gehele project was bij Zadkine grondig opgezet met o.a. een planning met onderwerpen waar acties voor geformuleerd waren. Al gauw bleek echter dat er veel tijd ging zitten in het ad hoc oppakken van de meldingen van collega’s. We hebben het roer toen omgegooid: we besloten om de bedachte planning meer op de achtergrond te houden en te focussen op met name de onderwerpen die a.d.h.v. de meldingen binnenkwamen. Dat is immers waar collega’s op dat moment mee worstelen en waar zij de vooruitgang in zullen opmerken.
Daarom deze tips:
 

  • Bij een groot project (zoals informatiebeveiliging en privacy) is het van belang om de acties klein te houden.
    Er is zo veel te doen en het voltooien van een actie kan soms lang duren, waardoor er een groot risico is op ‘verdrinken’. Hou het klein, één stap tegelijk
  •  

  • Werk zelf een strategie en plan uit, maar wees niet bang om in volgorde en zwaarte van acties te schuiven op basis van feedback vanuit de organisatie.
    Ik merk vaak een bepaalde ‘meldingsmoeheid’: men heeft al te vaak iets gemeld waar naar hun idee vervolgens niks mee is gedaan. Het idee dat melden geen zin heeft overheerst. Daarom is het van belang dat áls er toch iemand iets meldt, dit direct en merkbaar opgepakt wordt. Zo boek je zichtbare resultaten en blijven collega’s zaken melden omdat ze zien dat er wat mee gedaan wordt.

 
Bij mboRijnland was ik verantwoordelijk voor het opzetten van de awareness campagne om collega’s meer bewust te maken van de wetgeving en de risico’s die het met zich meebrengt. Een grote uitdaging want er is vaak weinig tijd voor niet-onderwijs zaken. Bovendien is het een boodschap die soms leidt tot of meer werk, of omslachtiger werk, en dat is uiteraard niet populair. Des te leuker om op zoek te gaan naar tips die leiden tot werkbare én veilige situaties. Ik heb veel sessies in teams geleid en zo kwam ik veel in gesprek met collega’s over dit onderwerp. Zo vertelde ik tijdens een sessie bij mboRijnland over het van belang van het vergrendelen van je laptopscherm als je even wegloopt van je laptop. Een docent gaf aan dat dat voor haar niet werkbaar was omdat zij tijdens de les vaak een opdracht op het digibord projecteert via haar laptop. Als ze even wegloopt en ze zou haar laptopscherm vergrendelen, dan zou de opdracht niet meer zichtbaar zijn voor de studenten en stoppen ze met werken. Een andere collega wist daar twee oplossingen voor: je laat de studenten een foto maken van het scherm of je bevriest het geprojecteerde beeld op het digibord. Dit illustreert mijn volgende tip:
 

  • Ga in gesprek met collega’s en vraag waar zij tegenaan lopen.
    Want hoeveel meldingen je ook krijgt, het is nog maar het topje van de ijsberg. Uit ‘het gesprek aangaan’ vloeien twee tips voort:

    • Zet het thema in om collega’s met elkaar te verbinden.
      Met name groepsgesprekken blijken erg handig: de ene collega heeft vaak een vraag waar de collega ernaast het antwoord al op heeft. Zo merkt men ook dat het onderwerp informatiebeveiliging en privacy zich er voor leent om zelfstandig binnen een team op de agenda te zetten.
    • Haal je feedback rechtstreeks uit de bron.
      Je houdt als ondersteunende medewerker contact met de onderwijzende collega’s en krijgt beter mee waar docenten bijvoorbeeld tijdens de les(voorbereiding) tegenaan lopen. Als hier een patroon in te ontdekken is, dan is dat ook een signaal om wellicht eerder een veelvoorkomend probleem op te pakken in het project dan dat het van origine gepland stond.

 
Op naar een nieuw jaar om deze tips in praktijk te brengen en nieuwe lessen en tips te verzamelen!