Compliance is de naleving van relevante wet- en regelgeving én het werken volgens een door de organisatie zelf opgestelde set aan normen en regels.  Logischerwijs dus iets waar iedereen een voorstander van zou moeten zijn en zijn best voor wil doen. In de meeste gevallen is dat inderdaad ook zo.

De helm

Een voorbeeld waar compliance goed werkt, is het dragen van een helm bij het rijden op motoren en scooters. Niet echt een modieus en comfortabel item, maar letterlijk breed gedragen door de samenleving, omdat het de kans op ernstige verwondingen aan het hoofd bij ongevallen aanzienlijk kleiner maakt. De drang om compliant te zijn, is hier dus duidelijk sterker dan de weerstand tegen een lomp en oncomfortabel attribuut op het hoofd, dat ook nog eens onder de kin vastgesnoerd moet worden.

Informatiebeveiliging & Privacy

Hoe anders is dit bij compliant zijn aan Informatiebeveiliging & Privacy. Ook hier is er, net als bij het dragen van een helm, wet- en regelgeving en vinden we het als maatschappij én organisatie belangrijk dat onze informatie veilig en privacy geborgd is. Toch ervaar ik bijna wekelijks brede weerstand tegen elke vorm van maatregelen om compliant aan het beleid voor Informatiebeveiliging & Privacy te zijn.  Multi-factor-authenticatie is een pervers voorstel, document-classificatie is roomser dan de paus en toegangsbeperking een activiteit die het ‘lekker’ samenwerken onmogelijk maakt! Elk nieuw voorstel in het domein van Informatiebeveiliging & Privacy is het begin van polderen of stapje-voor-stapje implementeren van maatregelen “omdat we het draagvlak niet willen verliezen”.

Ik vroeg me bij weerstand dan ook steeds vaker af, waarom iedereen die lompe helm zonder morren draagt, maar niet bereid is om b.v. een app te installeren om informatie veilig te houden:

• Waar de risicoanalyse van hoofdletsel versus mitigerende maatregel in de vorm van een helm in het voordeel van de helm uit pakt, is het risico op gebied van informatie en privacy misschien niet duidelijk genoeg om mitigerende maatregelen te accepteren?
• Is het simpelweg het niet willen krijgen van een boete van de handhavende autoriteit?
• Ging het dragen van een helm in het begin even moeizaam als het beveiligen van informatie nu en is dit over een aantal jaren even normaal als het dragen van een helm?
• Hebben individuele medewerkers in een organisatie meer zeggenschap dan individuele burgers in een land? Ongelukkige medewerkers zorgen voor negativiteit waardoor impopulaire maatregelen minder snel genomen worden.

Vooralsnog denken wij dat we enerzijds nog niet helemaal beseffen welke ‘letsels’ we als maatschappij, organisatie en individu kunnen oplopen als onze informatie en privacy gecompromitteerd raakt. Anderzijds bevinden we ons nog steeds aan het begin van het informatietijdperk en is het beschermen van informatie en privacy nog niet de norm die het dragen van een helm wel is.

De analogie met het dragen van een helm helpt ons bij het voeren van gesprekken over het beschermen van informatie en privacy, omdat dit een voorbeeld is dat mensen aan het denken zet. Andere sprekende voorbeelden zijn autogordels en sloten op deuren.

Bovenstaande voorbeelden in combinatie met het blijven voorlichten over waarom informatie en privacy veilig moet zijn, helpt ons om het opvolgen van maatregelen even vanzelfsprekend te maken als het dragen van een helm nu al is.

DiVetro kan helpen

DiVetro heeft veel ervaring met awareness-activiteiten en programma’s op het gebied van informatiebeveiliging en privacy. We helpen u graag met het bereiken dat het volgen van maatregelen op dit gebied even vanzelfsprekend worden als het dragen van een helm!

Over de auteur