Gedrag van medewerkers beïnvloeden – zo moet het niet

Vorige maand verscheen een rapport over het gedrag van medewerkers van een bedrijf dat cybersecurity oplossingen biedt. Dit soort publicaties verschijnt wel vaker. In de regel zijn er geen opzienbarende conclusies. In dit geval was er wel iets dat opviel, maar dan om een hele andere reden.

Security op de werkvloer vergroten kan alleen als alle werknemers over voldoende kennis beschikken. Die kennis moet ook worden bijgehouden. De werkgever mag op zijn beurt bijhouden wie elke awareness trainingen en dergelijke heeft gedaan. Uiteraard is het onvermijdelijk dat daarbij ook hoort de functie van de medewerker. Want heel simpel, de kantinemedewerker hoeft minder trainingen voor cybersecurity te volgen dan de IT beheerder.

Steeds meer bedrijven maken voor die bijscholing gebruik van externe partijen. Dat heeft alleen maar voordelen. Het kan een scholingsaanbod zijn van een grote specialist, maar het komt ook voor dat zoiets als whitelabelled dienst via de MSP of IT dienstverlener wordt geleverd.

Tot zover is er niets aan de hand. Maar wie goed oplet, of er al zelf ervaring mee heeft, ziet dat daardoor kennis van werknemers met een externe partij gedeeld moeten worden. En dat kan onder omstandigheden problematisch zijn.

Het begrip waar het hier omdraait is natuurlijk de AVG. Mag je zomaar als werkgever personeelsdata delen? Nou, niet alle data natuurlijk. En als ontvangende partij moet je ook heel goed opletten wat je met die data doet. Te lang bewaren is onbespreekbaar, delen met weer andere derden is ook best risicovol.

Dan is er dat rapport waar dit artikel mee begon. Het beschrijft wat de risico’s van thuiswerken zijn en in hoeverre die afwijken van de risico’s bij “gewoon” werken. Een en ander is voorzien van cijfers. Daarbij komt onder andere deze zin voor:

“net als in 2021 klikken mannen vaker op phishing-mails (23%) dan vrouwen (20%)”

Hoewel het een onschuldige melding lijkt, is er iets niet mee in orde. Hiervoor is namelijk data gebruikt waarvan je je vooraf had moeten afvragen of je die wel mag bewaren en verwerken. Dat het totaal geanonimiseerd is maakt daarbij niets uit. Dat proces kon in dit geval alleen maar werken omdat er iets op persoonsniveau is bijgehouden.

Los daarvan is er nog een hele praktische redenen om dit soort rapportages achterwege te laten. Als je wil dat personeel gemotiveerd is te werken aan minder risicovol gedrag moet je niet met dergelijke details aankomen zetten. Dat er software is die hele mooie grafieken en overzichten kan maken en die kan inzoomen op persoonsniveau wil niet zeggen dat je dat moet doen.

Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
13:00 - 21:00 - Mereveld
13:00 - 21:00 | Mereveld
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein