Stapsgewijze aanpak
De Wegwijzer bestaat uit 6 concrete stappen:
1. Voorbereiding
Meestal geeft een directeur opdracht om met het versterken van de informatieveiligheid aan de slag te gaan. In de voorbereidende fase vormt (doorgaans) de expert informatieveiligheid een multidisciplinair kernteam, bestaande uit bijvoorbeeld een lid van bestuur of management, privacy officer, communicatieadviseur en opleidingsadviseur. Dit kernteam kiest het belangrijkste informatieveiligheidsprobleem, waarbij medewerkersgedrag een rol speelt. Bijvoorbeeld: het melden van datalekken. Vervolgens gaan de leden van het kernteam aan de slag met het gekozen probleem. Ze stellen een plan van aanpak op. Hierbij betrekken ze de opdrachtgever en andere belanghebbenden. Zo creëren ze draagvlak en een gevoel van urgentie binnen de organisatie. Kernteamleden komen regelmatig bij elkaar om de stappen uit de Wegwijzer te doorlopen.
2. Doelgedrag bepalen
Welk gedrag wil de zorgorganisatie zien bij medewerkers? Door het doelgedrag duidelijk te formuleren (bijvoorbeeld: medewerkers melden een datalek), schept de organisatie duidelijkheid en eensgezindheid over wat ze precies verwacht. Dit maakt de beoogde verandering bovendien meetbaar.
3. Gedragsanalyse
Wat verklaart waarom medewerkers (on)veilig werken? In de derde stap onderzoekt het kernteam wanneer medewerkers het doelgedrag wel of niet vertonen. Welke factoren belemmeren of bevorderen het uitvoeren van het doelgedrag? Om deze vraag te kunnen beantwoorden interviewt het team collega’s met behulp van de COM-B-gespreksleidraad.
Het COM-B-model gaat ervan uit dat drie factoren van invloed zijn op het gedrag (Behaviour): Capaciteit (zijn mensen in staat het juiste gedrag te vertonen?), Omgeving (krijgen ze de kans om dit gedrag te vertonen?) en Motivatie.
Om bij het voorbeeld van het datalek te blijven: het blijkt dat medewerkers datalekken niet melden, omdat er geen systeem is om dit te doen. En ook, omdat hun collega’s evenmin datalekken melden (Omgeving). Verder twijfelen ze of melden wel zinvol is en horen ze niet wat er met hun melding is gedaan (Motivatie). Bovendien weten ze niet precies wat er gemeld moet worden (Capaciteit).
4. Interventies kiezen
Als eenmaal bekend is welke factoren het doelgedrag beïnvloeden, is het tijd voor de volgende stap: passende interventies kiezen. Maar eerst voert de expert informatieveiligheid nog een 0-meting uit. Bijvoorbeeld om in kaart te brengen hoe vaak (op maandbasis) er een datalek is gemeld.
Daarna kiest het kernteam een of meer gedragsinterventies. Hierbij kunnen ook collega’s van andere afdelingen worden betrokken. Ze schrijven allemaal hun eigen ideeën op. Vervolgens bepalen deelnemers samen de meest haalbare en kansrijke interventies. Denk bijvoorbeeld aan een instructie, workshop, e-learning, nieuwe werkwijze. Zo kan in de eerder genoemde casus bijvoorbeeld een korte (voor nieuwe medewerkers verplichte) e-learning ‘Wanneer en hoe meld ik een datalek’ een effectieve interventie zijn.
5. Interventies uitvoeren
Bij stap 5 implementeren de ‘actiehouders’ (degenen die verantwoordelijk zijn voor de te nemen acties, bijvoorbeeld een manager, CISO en communicatieadviseur) de gekozen interventies. Met daarbij aandacht voor communicatie, timing en betrokkenheid. Hierbij gaat het om vragen als: namens wie versturen we de boodschap wanneer, wat is een effectief communicatiekanaal? Na het uitvoeren van de interventies volgt een nieuwe meting (1-meting) om te checken of de interventies succesvol waren. Als het resultaat tegenvalt, onderzoeken de verantwoordelijken samen met het kernteam waar dit aan ligt en stellen zij de interventies bij.
6. Verankeren
Samen met het kernteam bepaalt de expert informatieveiligheid wat er nodig is om het doelgedrag te verankeren binnen de organisatie. Denk bijvoorbeeld aan: herhaalde aandacht onder managers. De expert informatieveiligheid evalueert ook het project, legt de resultaten vast in een eindverslag en draagt de nieuwe werkwijzen of producten over aan de lijnorganisatie.
