Hulp en contact

Veelgestelde vragen

Het waarom

De Wegwijzer geeft concreet invulling aan paragraaf 7.3 uit NEN 7510-1 en paragraaf 7.2 uit NEN 7510-2.

Je start met je meest urgente informatieveiligheidsprobleem. Het gaat er niet om dat je van de ene op de andere dag alle problemen hebt opgelost, maar dat je gezamenlijk in beweging komt om informatie(on)veilig gedrag te onderzoeken en daar gericht wat aan doet. Wanneer je deze wegwijzer hebt doorlopen, ben je een stap dichterbij de oplossing van je probleem of weet je wat je moet doen om naar de oplossing toe te werken. Het belangrijkste is dat je als organisatie in beweging bent, want juist kleine stappen leiden vaak tot grote veranderingen.

Met deze wegwijzer ‘Aan de slag met informatieveilig gedrag’ kun je zelf aan de slag met het stimuleren van informatieveilig gedrag. Je doorloopt de weg vanaf de start. Bij elke stap staat welke acties en werkbladen hierbij horen en krijg je tips en voorbeelden. De werkbladen bij de stappen zijn voorzien van een korte instructie. Door deze werkwijze te volgen, kun je al snel stappen zetten richting een informatieveiligere organisatie. De werkbladen kun je overnemen op een flip-over of een whiteboard voor in een werksessie op locatie. In het geval je digitaal wilt werken, zijn er verschillende online samenwerkingsplatforms beschikbaar die je kunt gebruiken om de stappen van de Wegwijzer te faciliteren. Voorbeelden hiervan zijn Miro en Mural, maar wellicht zijn er in jouw organisatie andere platforms in gebruik die je hiervoor kunt inzetten.

In deze wegwijzer staan gedrag en het beïnvloeden van gedrag centraal. We kijken daarbij eerst naar de specifieke situatie, voordat we kiezen voor een manier om het gedrag te beïnvloeden. Veel organisaties zetten in op bewustwordingsprogramma’s. Dit zou een passende interventie kunnen zijn, maar om dit zeker te weten, is het goed om eerst in te zoomen op de oorzaken van het gedrag. Waarom maken medewerkers in de zorg bepaalde keuzes in het omgaan met patiënt- of cliëntinformatie? Om dit scherp te krijgen, is het belangrijk om met zorgmedewerkers het gesprek aan te gaan over hun gedrag. Op basis daarvan kun je vervolgens de juiste acties of interventies in gang zetten. Als blijkt dat de oorzaak bijvoorbeeld een gebrek is aan kennis, zet dan zeker je interventies in op informatieoverdracht.

Uit eigen onderzoek weten we dat er een overvloed bestaat aan interventies om de informatieveiligheid te verhogen. Denk maar aan het enorme aanbod van klassikale trainingen, e-learnings, posters, escaperooms, nieuwsbrieven, games etc. Wat we hierbij zien, is dat deze interventies vaak op onderbuikgevoel worden gekozen. Bijvoorbeeld omdat de e-learning ook bij een andere organisatie is ingezet en goed is ontvangen. En hoewel deze interventies met de juiste intenties gekozen worden, kan er toch een mismatch ontstaan tussen de interventie en wat er nodig is om het gewenste gedrag te stimuleren bij zorgmedewerkers. Het resultaat kan zijn dat de gekozen interventie mogelijk niet de oplossing is voor het probleem. Of erger nog: de interventie werkt averechts en medewerkers krijgen bovendien ook een aversie tegen het onderwerp informatieveiligheid. Daarnaast weten we dat de kosten voor deze interventies hoog kunnen zijn. In 2020 deed Gartner onderzoek naar hoeveel omzet er wereldwijd gemoeid is bij de inzet van security-awarenesstrainingen via de computer (“worldwide turnover security awareness computer based training”). En wat bleek? In 2020 was dat bedrag 700 miljoen dollar! Het kost daarnaast niet alleen de tijd die nodig is voor de uitrol van deze maatregelen, maar vraagt ook tijd en energie van zorgmedewerkers. En dat terwijl we vaak niet eens weten of de interventies die we inzetten wel effectief zijn en daadwerkelijk bijdragen aan veiliger gedrag van medewerkers.

Voor de aanpak van de Wegwijzer maakten we gebruik van het gedragsveranderingswiel van Michie*. Deze is opgesteld vanuit negentien gedragsveranderingsraamwerken en biedt hiermee een samenvatting van de meest actuele kennis op dit gebied. Om dit voor de praktijk van zorgorganisaties toepasbaar te maken, deden we in 2020 enkele pilots in verschillende zorgbranches. In iedere pilot hielp een multidisciplinair kernteam van deskundigen de organisatie om oplossingen voor informatieveiligheidsproblemen te vinden. Zo scherpten we de methode steeds verder aan op basis van de zorgpraktijk. En de pilotorganisaties? Zij voelden zich geholpen door de inbreng van onze kennis en de opbrengst van de pilots.

* Michie, S., Atkins, L en West, R. (2018). Het gedragsveranderingswiel. 8 stappen naar succesvolle interventies.

Stap 1 - Voorbereiden

Het is belangrijk om te kiezen voor één specifiek probleem dat echt speelt binnen je organisatie. In de stap Probleem kiezen lees je hoe je tot een gefundeerde keuze kunt komen.

Stap 2 - Doelgedrag bepalen

• Is het doelgedrag concreet geformuleerd?
Vermijd hierbij grote abstracte termen. Een voorbeeld: attendeer nieuwe medewerkers op het reglement internetgebruik. Attenderen kan hier van alles betekenen. Is dat: schriftelijk, via e-mail, tijdens een specifiek gesprek of bij het koffieapparaat? En gebeurt dit één keer of meerdere keren? En wie moet dit eigenlijk doen? Attenderen is dus te groot en abstract geformuleerd.

• Is het geformuleerde doelgedrag te observeren?

• Kun je er een foto van maken?
Een voorbeeld: ga naar intranet, download de brochure en lees deze. Op zich concreet geformuleerd doelgedrag, maar je kunt er drie verschillende foto’s van maken. Hier kunnen dus ook drie verschillende contexten achter zitten. Zo kan de brochure heel aantrekkelijk zijn maar het intranet niet.

• Zou je het doelgedrag kunnen voordoen, zodat anderen het kunnen nadoen?

• Is het gedrag positief geformuleerd?
Met andere woorden: het gaat hier om het gedrag wat gewenst is, niet om het gedrag wat ongewenst is. Dus bijvoorbeeld niet: medewerkers mogen geen Whatsapp gebruiken. Maar: medewerkers maken gebruik van beveiligde mail als zij bestanden naar externen sturen.

Voorbereiden van de meting

We onderscheiden drie verschillende meetmethoden: direct meten; indirect meten; gedrag uitvragen. Deze worden kort toegelicht in de stap Voorbereiden van de meting.

Stap 3 - Gedragsfactoren onderzoeken

Besef dat ieder nieuw gesprek nieuwe inzichten over het gedrag van de doelgroep oplevert. Wees daarbij pragmatisch: 2 gesprekken zijn altijd beter dan 1 en 1 beter dan 0. Als je merkt dat antwoorden zich beginnen te herhalen, dan weet je dat je voldoende interviews hebt uitgevoerd.

Op de pagina COM-B-model leggen we de werking van het COM-B-model kort uitWil je meer weten, lees dan het boek van Michie, S., Atkins, L. en West, R. (2018). Het gedragsveranderingswiel. 8 stappen naar succesvolle interventies. 

0-meting doelgedrag

Stap 4 - Interventies kiezen

  • Alle deelnemers nemen kennis van de informatie die is verzameld in voorgaande stappen over de doelgroep. Ze weten waarom het doelgedrag nu nog niet altijd plaatsvindt en met welke kenmerken van de doelgroep ze rekening moeten houden.
  • Iedereen bedenkt zoveel mogelijk interventies. Hier gaat het om de kwantiteit; ieder idee is op dit moment dus goed. Breng deelnemers in een creatieve modus en laat ze op basis van de gedragsanalyse en de interventiefuncties zoveel mogelijk ideeën bedenken die de doelgroep zullen helpen het doelgedrag te laten zien. Zorg ervoor dat alle ideeën die bedacht worden voor iedereen zichtbaar zijn. Op deze manier kun je voortborduren op de ideeën die al bedacht zijn.
  • Pas als er veel ideeën zijn bedacht, ga je kritisch kijken naar de opbrengst. Om te komen tot een selectie van interventies waarmee je daadwerkelijk aan de slag gaat, ga je van de geformuleerde interventies eerst bepalen welke naar verwachting het meest succesvol zijn. Dit kan op verschillende manieren.
    • Een manier is door ieder lid van het kernteam vijf interventies te laten kiezen uit de totale lijst van verzamelde ideeën voor interventies en door te gaan met de interventies met de meeste stemmen.
    • Een andere manier is door de interventies in een matrix te plaatsen met het verwachte effect op het gedrag van de doelgroep op de verticale as en de haalbaarheid vanuit de organisatie op de horizontale as. Gebruik hiervoor het werkblad Haalbaarheid- en effectmatrix.
    • Je kunt ook een meer genuanceerde afweging maken door de interventies langs de APEASE-criteria* te leggen. Dan bepaal je hoe alle ideeën scoren op: betaalbaarheid, praktische uitvoerbaarheid, (kosten)effectiviteit, aanvaardbaarheid, neveneffecten/veiligheid en redelijkheid. Bedenk dat een aanpassing van de processen en systemen een hoge effectiviteit kan hebben en neem bij de neveneffecten ook de inspanning mee die je interventie en het doelgedrag vragen van de (zorg-)medewerkers. In het Werkblad APEASE-criteria kun je de bedachte interventies scoren.

Checklist APEASE criteria

* APEASE is een Engels acroniem en staat voor:
Acceptability (aanvaardbaarheid)
Practicability (praktische uitvoerbaarheid)
Effectiveness (effectiviteit en kosteneffectiviteit)
Affordability (betaalbaarheid)
Side-effects (neveneffecten/veiligheid)
Equity (gelijkheid)

Stap 5 - Interventies uitvoeren

1-meting / effectmeting doelgedrag

Als de effecten van een interventie te klein zijn of de verkeerde kant op gaan, herhaal dan de stappen 4, 5 en de 1-meting of effectmeting. Wellicht kan een alternatieve interventie wel zorgen voor het gewenste effect op het gedrag.

Stap 6 - Verankeren en rapporteren

Algemeen