Een jaar nadat de AVG van kracht is geworden, is de bekendheid met de databeschermingswet groot, is er ook een zekere mate van bewustwording, maar blijven bedrijven en organisaties vaak hangen in een ‘papieren werkelijkheid’. Aan de technici binnen de organisatie wordt gevraagd de technische beveiliging op orde te brengen, terwijl security aan de slag gaat met het beschrijven van alle benodigde procedures. Daarmee denkt het management vervolgens ‘compliant’ te zijn aan wet- en regelgeving.

Maar er is veel meer nodig, stelt Inge Wetzer, sociaal psycholoog Cybersecurity & Compliance bij Hoffmann. “Je moet als organisatie drie aspecten op orde hebben: de organisatie, de techniek én de mensen. Met het vastleggen van de procedures en het inregelen van de security heb je twee aspecten aangepakt, maar vergeet je de meest kwetsbare: de mens.” Dat komt mede doordat de AVG in zichzelf nogal de nadruk legt op de procedurele kant, en doordat de meest in het oog springende datalekken een technische achtergrond lijken te hebben.

Maar niets is minder waar, betoogt Wetzer. “Om een voorbeeld te geven: als wij van Hoffmann bij een organisatie een test doen bij willekeurige medewerkers, blijkt dat 70 procent van die medewerkers zonder aarzelen telefonisch hun wachtwoord prijs geeft als dat gevraagd wordt.” Daarmee illustreert ze dat mensen snel op het verkeerde been kunnen worden gezet als zij denken daaraan goed te doen. Van kwaadaardige opzet is vaak geen sprake.

Awareness-campagnes schieten tekort

Om dat te tackelen zijn veel bedrijven in de afgelopen jaren zogeheten ‘awareness-campagnes’ gestart, met de bedoeling medewerkers én managementteam bewust te maken van de risico’s die kleven aan het omgaan met data en andere gevoelige bedrijfsassets. Het is een vaak nog onbekende valkuil voor veel MT’s, zegt Wetzer. “Er wordt een vinkje gezet waarmee de zaak is afgedaan. Alleen houden MT’s geen rekening met de menselijke psyche. Zij denken dat het overbrengen van informatie genoeg is. Als we het maar vaak vertellen, zo denken ze, gaan de mensen er ook naar handelen. Maar tussen weten en doen zit een wereld van verschil.”

De menselijke factor wordt eens te meer van belang met het besef dat kwaadaardige aanvallen van buitenaf steeds minder technisch van aard zijn, en zich meer richten op social engineering. “Vroeger kreeg je een slecht geschreven e-mail uit Nigeria, tegenwoordig worden financieel directeuren met heel gerichte acties bedonderd met een mailtje dat van de CEO afkomstig lijkt. Waar vroeger gebruik werd gemaakt van mazen in het technisch systeem, wordt nu doelbewust gericht op de mazen in het menselijke brein.”

Wetzer wordt sinds drie jaar namens Hoffmann ingehuurd door bedrijven om personeel weerbaar te maken tegen dergelijke bedreigingen. Daarbij stuurt haar team van sociaal psychologen op gedrag, en niet zozeer op bewustwording. “Daarbij gaan wij uit van de theorie dat gedrag bestaat uit drie factoren: motivatie, capaciteit en gelegenheid.” Motivatie is de innerlijke sturing binnen het individu zelf (wil iemand het wel?), de capaciteit bestaat uit de kennis en vaardigheden die het individu bezit (kan en weet iemand het wel?) en de gelegenheid is de (eventueel technische) omgeving die het mogelijk moet maken dat juiste gedrag te vertonen (krijgt iemand de kans wel?).

Motivatie medewerkers kan verrassend zijn

Veel is afhankelijk van de cultuur binnen een bedrijf, bijvoorbeeld of het wordt geaccepteerd dat medewerkers elkaar kunnen aanspreken op hun gedrag. Daarnaast gaat het erom uit te vinden welke obstakels er zijn om het gewenste gedrag te vertonen, zegt Wetzer. “Soms is het heel makkelijk, maar gaat het om punten waaraan nooit aandacht wordt besteed”, zegt ze. “Als je dan eerst in gesprek gaat met de mensen en er zo achter komt welke zaken er spelen, dan verrast dat soms de werkgever in hoge mate.”

Als voorbeeld haalt ze een bedrijf aan waar de medewerkers pertinent weigerden hun pas zichtbaar te dragen. Ondanks posters aan de muur en mailtjes vanuit het management bleek dit hardnekkig en werd ten einde raad de hulp van Hoffmann ingeroepen. “Uit gesprekken met de mensen bleek dat het koordje aan de pas van een kleur te zijn waarvan iedereen vond dat je wel een ‘loser’ moest zijn als je dat droeg. Simpelweg een ander kleur koordje bleek de oplossing. Maar voor andere organisatie kan er een heel andere reden gevonden worden, bijvoorbeeld gebrek aan voorbeeldgedrag van de directie.”

Ze wil daarmee onder meer aangeven dat de dialoog met de medewerkers beter is dan van tevoren aannames doen. “Sommige dingen verzin je niet, zoals dit voorbeeld al aangeeft. Dat begrip is nog niet doorgedrongen bij bedrijven waar het management zelf aannames doet en vertrouwt op communicatie van bovenaf. Vaak worden overtredingen door omstandigheden begaan, bijvoorbeeld omdat een medewerker gefrustreerd is als alles steeds op de officiële manier moet. Zo’n medewerker kiest dan de makkelijkste weg om het werk te kunnen doen en denkt oprecht juist te handelen. Als dat door onderzoek duidelijk wordt, dan schrikt zo’n managementteam wel even.”

En zo blijkt dat naleving van de AVG meer behelst dan de technische databeveiliging op orde te hebben en dat vanwege complianceregels vast te leggen in dikke pakken papier. De mens is de cruciale factor in het veilig omgaan met gevoelige data en persoonsgegevens. Om echt te kunnen functioneren zoals de wet bedoelt, is het zaak in de psyche van je medewerkers te kruipen en erachter te komen hoe veilig omgaan met data ‘ingebakken’ kan worden in het natuurlijke gedragspatroon van de medewerker.