Als startende trainee informatiemanagement komt er veel op je af. Pas na een aantal maanden druk bezig te zijn met mijn eerste opdracht, kreeg ik in de gaten hoe groot het vakgebied eigenlijk is. Een van de eerste zaken waar ik mee aan de slag ben gegaan is informatiebeveiliging.
Het feit dat we veel informatie gebruiken en de hoeveelheid informatie alleen maar toeneemt, maakt dat organisaties daar ook een plan voor moeten hebben. Op grote schaal is het thema steeds actueler; 1 januari 2016 is nieuwe wetgeving in Nederland van kracht gegaan en de verwachting is dat we in 2018 geconfronteerd worden met de nieuwe officiële Europese Privacy Verordening gericht op hoe om te gaan met informatiebeveiliging. Genoeg te doen dus!
Informatiebeveiliging, IT, juridisch en gedragsverandering
Informatiebeveiliging is voor veel organisaties een lastig onderwerp. Het is een complex thema waarbij verschillende disciplines samenkomen. Het is een IT-zaak, er is een groot juridisch aspect en tenslotte is het gedrag van medewerkers een belangrijke factor. Als trainee ben ik niet alleen bezig met de technische component (die voor de hand ligt?), maar ben ik vooral op zoek naar de mogelijkheden in het gedrag van medewerkers en wat zij nodig hebben. Daarnaast focus ik op het juridische aspect. Hoe doen we de juiste dingen en hoe doen we wat we moeten doen?
Ethisch vraagstuk
Deze drie aspecten vragen ieder om een eigen benadering en hebben hun eigen prioriteiten. Echter, in mijn ogen komt er nog een vierde benadering bij, die zelfs leidend zou moeten zijn. Informatiebeveiliging is boven alles een ethisch vraagstuk. Als organisatie kun je vervolgens gaan bepalen hoe je daar invulling aan geeft. Informatiebeveiliging is in mijn ogen een ethisch vraagstuk, omdat mensen hun gegevens en daarmee een deel van hun identiteit toevertrouwen aan jou als organisatie. Heb je dan niet de plicht om daar goed mee om te gaan? Om dat vertrouwen niet de beschamen? En zoals hoort bij ethische vraagstukken, waar ligt de grens dan? Wanneer doe je het goed, wanneer bescherm je te veel en wanneer laat je zien dat je te weinig doet aan de bescherming van je informatie?
Persoonsgegevens
Binnen de (semi-)overheid wordt veel gewerkt met persoonsgegevens en bijzondere persoonsgegevens. Mensen geven je alle informatie die jij nodig hebt, om hen te kunnen ondersteunen. Daarbij gaat het over alle lagen van de samenleving; de hoogopgeleiden, de kinderen, uitkeringsgerechtigden, langdurig zieken, ga zo maar door. En al deze groepen gaan er vanuit dat jij goed met hun informatie omgaat, zodat zij geholpen kunnen worden. Juist dat vertrouwen mogen we niet beschamen, door puur naar de letter van de wet te kijken. Het is heel eenvoudig om te zeggen wat je moet doen, zodat je geen boetes krijgt. Maar zou dat werkelijk je motivatie moeten zijn om dit soort keuzes te maken?
Het is ook heel eenvoudig om je IT omgeving zo in te richten dat medewerkers niets meer kunnen en de informatie dus (ogenschijnlijk) veilig is. Maar daarmee gaat de werkbaarheid sterk achteruit en gaan mensen op zoek naar omwegen. Vaak nog veel riskanter. En dan ga je het gedrag van de medewerkers proberen te sturen, door hen te vertellen wat ze allemaal niet meer mogen. Terwijl zij, juist zij, dagelijks te maken hebben met de mensen achter de informatie. Het is die hulpverlener, consulent, baliemedewerker, die dagelijks werkt met de mensen van wie de informatie is. Mijn ervaring is dat zij er veel voor over hebben om hen te beschermen en zorgvuldig met hun gegevens om te gaan. Mits ze weten waar ze kunnen aankloppen voor uitleg, tips en hulpmiddelen om dit voor elkaar te krijgen.
Informatiebeveiliging voor iedereen
Dat betekent voor mij dat informatiebeveiliging een onderwerp is dat bij iedereen hoort. Het hoort op de werkvloer, het hoort bij het management, het hoort bij de IT afdeling. Informatiebeveiliging is een verantwoordelijkheid van iedereen. Als projectleider draag ik er dan ook zorg voor om deze verschillende groepen met elkaar om tafel te krijgen. Het is de kunst om te begrijpen waarom iemand ergens belang aan hecht en om de juiste kwaliteiten naar boven te laten komen.
Mijn grootste uitdaging is om de gehele organisatie mee te krijgen in deze verandering, waarin het de normaalste zaak van de wereld is om veilig met informatie om te gaan. Het zijn kleine stappen per keer, maar ik zie er zeker de resultaten van. En als medewerkers dan vervolgens naar mij toe komen met hun vragen, omdat zij het belangrijk vinden dat ze zorgvuldig omgaan met informatie, ben ik blij. Ik ondersteun ze in de mogelijkheden, bedenk welke opties er zijn en ontdek samen met hen hoe we alles ook werkbaar kunnen houden. Een uitdaging, maar wel een hele belangrijke!
