Nu een groot deel van Nederland gedwongen thuiswerkt, buiten de traditionele security-perimeter van hun organisatie, is er een groter risico op datalekken. Gecombineerd met het feit dat het aantal meldingen van datalekken al jaren stijgt, zoals blijkt uit cijfers van de Autoriteit Persoonsgegevens, zorgt dit voor een zorgelijke situatie.

Onderzoek van Egress laat zien dat veel organisaties moeite zullen hebben om deze situatie de baas te zijn, aangezien hun werknemers niet op de hoogte zijn van het AVG-beleid van de organisatie. Ook weten werknemers vaak niet of er ondersteunende technologie beschikbaar is om veiliger met data om te kunnen gaan.

In het onderzoeksrapport zet Egress de belangrijkste uitkomsten van het onderzoek op een rij. Zo weet een derde van de Nederlandse werknemers niet of AVG-wetgeving voor een verandering heeft gezorgd in de wijze waarop informatie gedeeld mag worden binnen hun bedrijf. Ondanks de focus van het merendeel van de organisaties op het trainen van hun personeel om databewustzijn te vergroten.
Om meer databewustzijn te creëren binnen de hele organisatie, is er echter meer nodig dan alleen training. De volgende vier stappen bieden organisaties handvatten voor het opstellen van een succesvol informatiebeveiligingsbeleid.

Stap 1. Creëer bewustzijn
Zolang er werknemers zijn die zich niet bewust zijn van het belang van informatiebeveiliging, zullen bedrijven nooit AVG-compliant zijn. De eerste stap moet dan ook zijn het creëren van (meer) bewustzijn onder werknemers. En bewustzijn komt in vele vormen. Het kan draaien om het bieden van inzicht in de daadwerkelijke omvang van het probleem: hoe vaak vond er een bewust datalek plaats de afgelopen twaalf maanden? En wat veroorzaakte dit lek? Maar het gaat ook om het uitleggen welke data bedrijfskritisch is en dus extra voorzichtig behandeld moeten worden. En wat te denken van het opslaan en verwerken van persoonsgegevens; zijn alle werknemers op de hoogte hoe ze hiermee om moeten gaan?

Stap 2. Educatie
Naast het creëren van meer bewustzijn rondom informatiebeveiliging, moet er ook een opleidings- en trainingsprogramma ingericht worden. Een essentieel onderdeel van dit programma vormt de producttraining van beschikbare securitytools. Op die manier weten medewerkers niet alleen dat ze over deze tools beschikken, ze weten ook waarom, hoe en wanneer ze gebruikt moeten worden. Een dergelijk trainingsprogramma moet verplicht zijn voor alle medewerkers en onderdeel van het onboarding-proces. Door continu opfriscursussen aan te bieden, blijft het onderwerp bovendien altijd top-of-mind.

Stap 3. Leg beleid vast
Naast training moet de verantwoordelijkheid van werknemers om gegevens op de juiste, veilige manier te behandelen ook worden vastgelegd in uitvoerbaar beleid. Dit beleid dient proactief te worden toegelicht door de bedrijfsleiding. Uit het Egress-onderzoek blijkt dat een meerderheid van de niet-IT’ers onvoldoende op de hoogte is van het AVG-beleid. Dit is een sterke aanwijzing dat beleid niet altijd duidelijk gecommuniceerd wordt.

Stap 4. Stel de juiste technologie beschikbaar
Educatie en beleid zijn onderdeel van de oplossing, maar zullen op zichzelf geen grote impact hebben. Besluiten gedreven door beleid zijn onvoldoende om een veilige omgang met data te bewerkstelligen, technologie moet hier ook onderdeel van zijn. Door de juiste tools beschikbaar te stellen, krijgen werknemers het gereedschap in handen waarmee ze het beleid ook daadwerkelijk kunnen uitvoeren. En zoals dit onderzoek aantoont: alleen al het beschikken over de juiste tools creëert onder werknemers direct al meer bewustzijn en kennis rondom informatiebeveiliging.
Tim Engelkes, Sales Director Benelux bij Egress: “Het opstellen van de juiste aanpak voor informatiebeveiliging vraagt om een combinatie van bewustzijn, educatie- en trainingsprogramma’s, beleid en technologie. Deze stappen moeten dus niet beschouwd worden als losstaande fases. Als één van deze elementen achterwege blijft, loopt een organisatie het risico dat er toch gevoelige data op straat belandt. En dat heeft financiële gevolgen, maar zorgt ook voor reputatieschade die zich een stuk lastiger in geld laat uitdrukken.”


Bron: https://www.managersonline.nl/nieuws/21077/avg-compliance-loopt-gevaar-door-gebrekkige-kennis-werknemers.html