De human firewall bij bescherming van persoonsgegevens
Zingen is leuk! Iedere maandagavond repeteer ik met ons musicalkoor. En gelukkig stelt de plaatselijke basisschool een van de lokalen beschikbaar als oefenruimte. Er is een piano en er is koffie in de pauze. In de pauze valt mijn oog op een leerlingendossier wat ‘open en bloot’ op de tafel ligt. Da’s makkelijk voor de docent, dan heeft hij het morgenvroeg bij het oudergesprek meteen voorhanden. Maar veilig? Had het dossier niet in een afgesloten dossierkast op de docentenkamer moeten liggen?
De spagaat van veiligheid en gemak
Wat we hier zien gebeuren is begrijpelijk. Een leerkracht die kiest voor gemak. Hij heeft het vandaag doorgenomen, weer opbergen en morgen weer ophalen, veel te omslachtig. Hier wordt de disbalans –zeg maar een spagaat- ervaren tussen gebruikersgemak en beveiligingsniveau. Met het verhogen van het veiligheidsniveau neemt het gebruikersgemak af. Een dilemma. De docent knijpt blijkbaar een oogje dicht en maakt zijn keuze; ’t blijft tenslotte mensenwerk.
Nieuwsgierig van aard?
Nu ben ik niet nieuwsgierig van aard. Maar het lek in de veiligheid met het leerlingendossier had kunnen leiden tot een ‘datalek‘, als ik de informatie over de leerling bijvoorbeeld op Facebook had gezet. In dat geval was het datalek ook gevolgd door een aanzienlijke kans op ernstige nadelige gevolgen voor de betrokkenen: het kind, de ouders. Dan zijn de rapen gaar en had de docent en de schooldirectie het ook moeten melden aan de Autoriteit Persoonsgegevens en de betrokkenen.
De succesfactor: bewustwording van privacy
Bewust omgaan met informatieveiligheid. Het lijkt een zaak van procedures, IT-systemen en wachtwoorden. In de praktijk is het nog steeds mensenwerk. Slordigheid, onachtzaamheid en voor je het weet ligt privacygevoelige informatie ‘op straat’. Veilig met informatie omgaan betekent constant keuzes maken. Hoe bescherm ik informatie, wat doe ik als informatie in verkeerde handen valt of hoe constateer ik oneigenlijk gebruik van vertrouwelijke gegevens? Bij deze kwesties vraagt de bewustwording bij de medewerkers opperste aandacht. Het stimuleren van veiligheidsbewust gedrag is dan ook dé succesfactor voor het vergroten van informatieveiligheid in de organisatie.
Het vertrouwen niet beschamen
Evenals voor school is voor de meeste organisaties het verzamelen, beheren en verwerken van informatie essentieel voor de bedrijfsvoering en de continuïteit van je organisatie. Veel (privacygevoelige) informatie wordt aan je verstrekt door klanten, patiënten en relaties. Zij mogen er van uitgaan dat het gebruik van hun gegevens wordt gekoppeld aan het doel waarvoor het bestemd is. De persoon die de informatie aan je geeft, mag er op vertrouwen dat je deze data beveiligt. En je medewerkers mogen het vertrouwen van de klant niet schaden.
De ‘human firewall’ in 4 stappen
Je medewerkers zijn het spreekwoordelijke ‘slot op de deur’. Dit wordt ook wel de ‘Human firewall’ genoemd. De Raadgevers helpt organisaties met het bewustwordingsproces in 4 stappen:
- Informeren – medewerkers weten wat van hen verwacht wordt, wat ze moeten doen en waarom;
- Houding – medewerkers zijn waakzamer, zij spreken elkaar aan op risico’s en gedrag;
- Gedrag – medewerkers passen hun gedrag aan, gaan pro-actiever handelen omdat zij alert zijn;
- Cultuur – de bewustwording wordt met elkaar gedeeld en uitgedragen.
Veilig handelen wordt een permanente dialoog in de organisatie.