Gedrag van medewerkers beïnvloeden – zo moet het niet

Vorige maand verscheen een rapport over het gedrag van medewerkers van een bedrijf dat cybersecurity oplossingen biedt. Dit soort publicaties verschijnt wel vaker. In de regel zijn er geen opzienbarende conclusies. In dit geval was er wel iets dat opviel, maar dan om een hele andere reden.

Security op de werkvloer vergroten kan alleen als alle werknemers over voldoende kennis beschikken. Die kennis moet ook worden bijgehouden. De werkgever mag op zijn beurt bijhouden wie elke awareness trainingen en dergelijke heeft gedaan. Uiteraard is het onvermijdelijk dat daarbij ook hoort de functie van de medewerker. Want heel simpel, de kantinemedewerker hoeft minder trainingen voor cybersecurity te volgen dan de IT beheerder.

Steeds meer bedrijven maken voor die bijscholing gebruik van externe partijen. Dat heeft alleen maar voordelen. Het kan een scholingsaanbod zijn van een grote specialist, maar het komt ook voor dat zoiets als whitelabelled dienst via de MSP of IT dienstverlener wordt geleverd.

Tot zover is er niets aan de hand. Maar wie goed oplet, of er al zelf ervaring mee heeft, ziet dat daardoor kennis van werknemers met een externe partij gedeeld moeten worden. En dat kan onder omstandigheden problematisch zijn.

Het begrip waar het hier omdraait is natuurlijk de AVG. Mag je zomaar als werkgever personeelsdata delen? Nou, niet alle data natuurlijk. En als ontvangende partij moet je ook heel goed opletten wat je met die data doet. Te lang bewaren is onbespreekbaar, delen met weer andere derden is ook best risicovol.

Dan is er dat rapport waar dit artikel mee begon. Het beschrijft wat de risico’s van thuiswerken zijn en in hoeverre die afwijken van de risico’s bij “gewoon” werken. Een en ander is voorzien van cijfers. Daarbij komt onder andere deze zin voor:

“net als in 2021 klikken mannen vaker op phishing-mails (23%) dan vrouwen (20%)”

Hoewel het een onschuldige melding lijkt, is er iets niet mee in orde. Hiervoor is namelijk data gebruikt waarvan je je vooraf had moeten afvragen of je die wel mag bewaren en verwerken. Dat het totaal geanonimiseerd is maakt daarbij niets uit. Dat proces kon in dit geval alleen maar werken omdat er iets op persoonsniveau is bijgehouden.

Los daarvan is er nog een hele praktische redenen om dit soort rapportages achterwege te laten. Als je wil dat personeel gemotiveerd is te werken aan minder risicovol gedrag moet je niet met dergelijke details aankomen zetten. Dat er software is die hele mooie grafieken en overzichten kan maken en die kan inzoomen op persoonsniveau wil niet zeggen dat je dat moet doen.