terug

‘Gedrag en cultuur van grote invloed op informatiebeveiliging en privacy’

Scholen in het voortgezet onderwijs (vo) beheren een schat aan gegevens over hun docenten en leerlingen. Denk daarbij aan bijzondere persoonsgegevens, zoals informatie over iemands gezondheid en welbevinden. “Zaken waarvan je niet wilt dat ze zomaar op straat komen te liggen”, vertelt Robert Bos, teamleider ict van het bestuursbureau van Stichting Carmelcollege. Voor zijn masteropleiding deed hij een tweejarig onderzoek naar bewustzijn over informatiebeveiliging en privacy (IBP) binnen Carmelcollege. 

Stichting Carmelcollege is met 50 schoollocaties, 37.000 studenten en 4200 medewerkers de grootste Nederlandse onderwijsinstelling in het vo. “Dan heb je het dus over serieuze hoeveelheden data die je moet beschermen volgens de AVG en andere Europese regelgeving”, vertelt Bos. “Dat maakt mijn onderzoek waardevol voor onszelf, voor andere onderwijsinstellingen en vele andere organisaties.”

Bewustwording

“Informatiebeveiliging valt uiteen in 2 belangrijke aspecten: techniek en bewustwording. Voor mijn Master of Business Administration bij TSM Business School heb ik vooral naar dat laatste aspect gekeken. Zijn beheerders zich bewust van alle aspecten van informatiebeveiliging? En hebben alleen geautoriseerde mensen toegang tot bepaalde gevoelige informatie? Neem gegevens over de gezondheid en persoonlijke situatie van leerlingen. Wie mogen die allemaal zien? De zorgcoördinator? De docent? De stagiaire? En wie bepaalt dat eigenlijk?”

Menselijke fouten

“De media staan vol met berichten over datalekken. Denk aan een verloren onbeveiligde USB-stick, een vergeten laptop zonder encryptie en een wachtwoord dat in verkeerde handen kwam. Menselijke fouten dus. In mijn onderzoek ben ik daarom ingegaan op de vraag hoe dit beter kan, zodat we het aantal datalekken verder terugdringen. Zo kwam ik tot een conceptueel model, dat is onderbouwd vanuit de literatuur en wetenschappelijk onderzoek.”

Conceptueel model

In het model hangt bewustzijn over informatiebeveiliging direct samen met 4 aspecten:

  1. gedrag
  2. cultuur
  3. kennis
  4. omgeving
© Robert Bos

Alle 4 zijn nodig. Zij vallen op hun beurt weer uiteen in 3 onderdelen. Gedrag kun je bijvoorbeeld beïnvloeden door te sturen op motivatie, houding en nauwkeurigheid.

“Via interviews en een vragenlijst heb ik het bewustzijn van beheerders over IBP in kaart gebracht aan de hand van de 12 aspecten in het model. Weten zij bijvoorbeeld wat ze moeten doen? Zijn ze op de hoogte van alle processen en protocollen? En zijn ze bereid om zich eraan te houden? Zij zijn immers degenen die het goede voorbeeld moeten geven aan de rest van de organisatie.”

“Uit mijn onderzoek bleek dat de beheerders voldoende kennis van dit onderwerp hadden. Ze weten wat informatiebeveiliging inhoudt en hoe zij ermee om moeten gaan. Het onderzoek liet wel zien dat sommige richtlijnen en protocollen ontbraken. Die kunnen de beheerders helpen om hun verantwoordelijkheid te nemen en die verder uit te dragen. Verder blijkt dat gedrag en cultuur belangrijke aspecten zijn die de bewustwording over IBP beïnvloeden. Een gebrek aan motivatie en nauwkeurigheid bij de medewerkers kan de informatiebeveiliging negatief beïnvloeden en een risico opleveren voor de organisatie.”

Aanbevelingen

Het onderzoek leidde hoofdzakelijk tot 2 belangrijke aanbevelingen.

1: Stel beleid op voor IBP met duidelijke richtlijnen en protocollen. Implementeer dit in de organisatie en onderhoud het continu. Neem ook nieuwe werknemers hierin mee.

2: Besteed aandacht aan een communicatieplan en neem iedereen mee die met gevoelige informatie werkt.

“De mens is immers de zwakste schakel in je beveiliging. Bedenk wat je wilt communiceren en via welke middelen, bijvoorbeeld een nieuwsbrief, een quiz of een training. Een goede planning is daarbij essentieel: wat vertel je op welk moment, hoe vaak en via welk kanaal? Evalueer je communicatie om te toetsen of je je doelstelling hebt behaald. Zo verbeter je je communicatieplan.”

Concrete handvatten

“Mijn onderzoek en het conceptuele model zijn bruikbaar voor alle onderwijsinstellingen, ook buiten het onderwijs. Door beheerders en andere sleutelfiguren te bevragen, ontstaat een goed beeld van de stand van zaken. Vervolgens kun je één of meer aspecten in het model bijsturen om de bewustwording over IBP verder te verbeteren. Zo zorg je ervoor dat je gevoelige data onder de hoede blijft van de mensen die er écht bij mogen.”

Zelf aan de slag

Hoe is IBP binnen uw organisatie geregeld? Gebruik het model en de vragenlijst van Robert Bos om dit in beeld te brengen. Zo ontdekt u eenvoudig waar uw belangrijkste verbeterpunten liggen en welke zaken u kunt bijsturen.

Download de vragenlijst Robert Bos

Lees meer over bewustwording rond IBP op de website aanpakibp.kennisnet.nl.

Doe mee

Op het gebied van bewustwording rond IBP werkt SIVON samen met Kennisnet. In 2020 starten we met een werkgroep om bewustwording in het onderwijs verder vorm te geven. Wilt u meedenken en meedoen? Meld u aan via ibp@kennisnet.nl.

Het onderzoek van Robert Bos niet vrij beschikbaar.