Hoe kies je effectieve interventies voor informatieveilig gedrag? Een gedragsaanpak in zes stappen
Door Artikel IB3-2022 - Lourens Dijkstra, Martine van de Merwe 26 sep 2022
Auteurs: Lourens Dijkstra werkt als CISO bij ggz-instelling Lentis. Als organisatiepsycholoog/adviseur is hij verbonden aan het traject informatieveilig gedrag in de zorg. Martine van de Merwe werkt met haar bedrijf PrivacyLab als adviseur bewustwording/gedrag op het gebied van informatiebeveiliging en privacy bij zorginstellingen en als adviseur bij het project Informatieveilig gedrag in de zorg. Lourens en Martine zijn auteurs van de Wegwijzer Aan de slag met informatieveilig gedrag.
Wereldwijd wordt er 700 miljoen dollar besteed aan e-learning interventies op het gebied van informatieveiligheid [1]. Maar zorgen deze interventies er ook voor dat medewerkers zich informatieveiliger gaan gedragen? Leidt bewustwording ook daadwerkelijk tot informatieveilig gedrag?
Bewustwording leidt niet altijd tot informatieveilig gedrag, blijkt uit het artikel Human Factors [2] in iB-Magazine 1 2022. Zeker in 31% van de gevallen blijken kennis of bewustzijn wel aanwezig, maar leiden niet altijd tot het juiste gedrag. Dit roept de vraag op of we wel de juiste interventies kiezen en, minstens zo belangrijk, of we weten wat het effect van deze interventies is?
Onder de vlag van ICTU ontwikkelden we als expertteam een methode waarmee zorgorganisaties in zes stappen effectieve gedragsinterventies kunnen uitvoeren om informatieveiligheid te verbeteren.
Op gevoel
Als informatieveiligheidsprofessionals gaan we er vaak van uit dat de mens een rationeel wezen is. Dat medewerkers hun gedrag aanpassen als we vertellen wat de bedoeling is, bijvoorbeeld via e-mail of presentaties. Helaas: iets weten, is niet automatisch dat ook doen. Uit eigen onderzoek ontdekte ons projectteam dat er een overvloed bestaat aan interventies om de informatieveiligheid te verhogen, waaruit vaak op gevoel wordt gekozen. Risico is dat de gekozen interventie niet aansluit op wat nodig is. Of erger nog: een averechts effect heeft. De kosten voor interventies kunnen hoog zijn: niet alleen tijd en geld van de security officer, maar ook kostbare tijd en energie van medewerkers. Terwijl over de effectiviteit van deze interventies weinig bekend is.
Bewezen effectief
Bij de start van het project Informatieveilig gedrag in de Zorg gaven de Brancheorganisaties Zorg (BoZ) en het ministerie van Volkshuisvesting en Welzijn en Sport (VWS) de opdracht om een gedragsaanpak te ontwikkelen, waarmee zorgorganisaties zelf hun informatieveiligheidsproblemen konden oplossen met effectieve interventies op maat. Het was nadrukkelijk niet de bedoeling om met generieke interventies te komen. Het projectteam maakte gebruik van het gedragsveranderingswiel van Susan Michie [3]. Deze is opgesteld vanuit negentien veranderingsraamwerken en biedt hiermee een samenvatting van de meeste actuele kennis op het gebied van gedragsverandering. Om dit voor de praktijk van zorgorganisaties toepasbaar te maken, deed het projectteam pilots in verschillende zorgbranches. In iedere pilot hielp een multidisciplinair kernteam van deskundigen de organisatie om oplossingen voor informatieveiligheidsproblemen te vinden. Zo scherpte het projectteam de methode steeds verder aan op basis van de zorgpraktijk en ontwikkelde het een stappenplan: de Wegwijzer Aan de slag met informatieveilig gedrag.
[Figuur 1 - Wegwijzer.]
We doorlopen de stappen uit het model en laten daarbij steeds zien hoe het in de praktijk is uitgevoerd bij de pilot-organisatie: Lentis. Lentis biedt geestelijke gezondheidszorg, forensische zorg en ouderenzorg in Noord-Nederland. Lentis heeft meer dan 4000 medewerkers.
Stap 1 Voorbereiding
Een goede voorbereiding is het halve werk. In deze stap kies je het meest urgente informatieveiligheidsprobleem met een gedragscomponent waar je mee aan de slag gaat. Werk het probleem uit in gedragstermen. Wat voor gedrag laten medewerkers onvoldoende zien? Kies je multidisciplinaire kernteam afhankelijk van je probleem. Denk hierbij aan de volgende rollen: medewerker uit de doelgroep, CISO, FG, leidinggevende, functioneel beheerder, communicatieadviseur, etc. Met het kernteam stel je de eerste versie van het plan van aanpak op en overleg je wekelijks om de voortgang af te stemmen. Zorg voor commitment van de top, door ze als ‘opdrachtgever’ direct bij de start te betrekken en houd ze gedurende het traject goed op de hoogte. Zo ben je verzekerd van prioriteit en financiering voor je traject. Maak in deze fase ook alvast een ‘roadmap’ van de verschillende stappen in het traject en wie je wanneer en voor hoeveel tijd nodig denkt te hebben. Bedenk ook alvast wie eigenaar wordt van het vervolg van het project.
Wegwijzer in de praktijk
Bij Lentis zijn we door een minor afwijking uit de audit NEN7510 aan de slag gegaan met het issue dat we niet altijd kon verantwoorden waarom medewerkers gebruikmaakten van de buiten-autorisatie in het Elektronisch Patiënten Dossier (EPD). Indien er geen behandelrelatie is met de patiënt dan kan de behandelaar gebruikmaken van een noodprocedure: de buiten-autorisatie. Met deze opdracht vanuit de Raad van Bestuur zijn we aan de slag gegaan met een team bestaande uit een teamleider/behandelaar, een secretaresse, een CISO, een functioneel beheerder, een BI-adviseur en een FG. Wekelijks hadden we een digitaal overleg waarin de analyses werden gedaan en de voortgang van het traject werd gemonitord.
Stap 2 Doelgedrag bepalen
Bij deze stap bepaal je samen met het kernteam het doelgedrag. Dit is de omschrijving van het gedrag dat je bij medewerkers zou willen zien om het probleem op te lossen of te verminderen. Bepaal om welke groep medewerkers het gaat en waar en wanneer je het doelgedrag wil zien. Vaak zijn er meerdere gedragsalternatieven. Kies het gedrag met de meeste impact op het probleem en waarvan de kans het grootst is dat medewerkers het gaan vertonen.
Wegwijzer in de praktijk
Bij Lentis is gekozen voor het doelgedrag: medewerkers moeten het gebruik van het EPD via de buiten-autorisatie altijd verantwoorden. Als doelgroep kozen we voor de behandelaren. Bij verandering van hun gedrag zouden we de grootste impact realiseren.
Stap 3 Gedragsfactoren onderzoeken
Je gaat het gedrag in de praktijk checken. Kijk op locatie en ga in gesprek met de doelgroep. Start met een open blik, ben nieuwsgierig, probeer het gedrag ook zelf eens uit in de werkomgeving van de doelgroep. Probeer te analyseren welke factoren wellicht het doelgedrag stimuleren en welke factoren het gedrag belemmeren.
[Figuur 2 - Informatieveilig gedrag zorg volgens het COM-B model.]
Bij de gedragsanalyse kun je gebruikmaken van het COM-B-model dat ervan uitgaat dat er drie factoren (Capacity, Opportunity en Motivation) van invloed zijn op het gedrag (Behaviour). Per factor onderscheiden we twee typen en zo komen we tot zes categorieën: fysieke omgeving, sociale omgeving, motivatie (bewust), motivatie (onbewust), fysieke capaciteit en psychologische capaciteit. In de gratis Wegwijzer vind je een mooie uitwerking van de factoren, welke vragen je kunt stellen en hoe de factoren te analyseren en te prioriteren.
Wegwijzer in de praktijk
In het kernteam hebben we aan de hand van werkbladen een voorlopige gedragsanalyse gemaakt en op basis hiervan een interview-opzet gemaakt. We hebben een tiental behandelaren/teamleiders geïnterviewd en de rode draad uit de uitkomsten verwerkt in de COM-B analyse.
[Figuur 3 - Informatieveilig gedrag zorg analyse COM-B model.]
Een paar in onze ogen opvallende uitkomsten waren dat de behandelaren de buiten-autorisatie niet als noodprocedure bestempelden, maar als een van de mogelijkheden om snel in het EPD te komen. Er was weinig kennis over richtlijnen voor het gebruik van de buiten-autorisaties. In het teamoverleg werd door de teamleider weinig aandacht besteed aan het gebruik van de buiten-autorisatie. Aan de andere kant gaven behandelaren aan intrinsiek gemotiveerd te zijn om het juist te doen. Deze uitkomsten gaven goede input om na te denken over mogelijke interventies om het gedrag te kunnen beïnvloeden.
Nulmeting
In deze stap ga je bepalen op welke manier je de effecten van je interventies op het doelgedrag gaat meten. Zo weet je zeker of je de juiste interventies hebt gekozen om het gedrag te beïnvloeden. Een meting kan bijvoorbeeld bestaan uit observaties op de afdeling, het analyseren van de logging uit een systeem of een vragenlijst die medewerkers invullen. Is het belangrijk om een zuivere meting uit te voeren, overweeg dan om een controlegroep in te zetten die de interventies niet ondergaat.
Wegwijzer in de praktijk
Bij een eerste handmatige meting bleek uit de logging dat In 14% van de gevallen het gebruik van de buiten-autorisatie niet juist door de medewerkers werd verantwoord. Om de voortgang van de gedragsverandering geautomatiseerd te kunnen volgen, is er door de afdeling Business Intelligence (BI) een dashboard gemaakt in applicatie Zorgcontrol. Zo konden we als team realtime goede analyses maken van het gedrag.
Stap 4 interventies kiezen
Pas bij deze stap ga je nadenken over mogelijke gedragsinterventies. Met de uitkomsten van de gedragsanalyse op zak ga je met je team brainstormen over mogelijke gedragsinterventies. Kies met behulp van een aantal criteria, zoals bijvoorbeeld kosten, tijdsinzet en met behulp van interventiefuncties (zie Wegwijzer p. 51) de juiste interventies die het doelgedrag bevorderen. Vaak is het handig om in deze fase ook een communicatieadviseur mee te laten denken in het kernteam voor de juiste uitvoering van de interventies.
Wegwijzer in de praktijk
Uit de brainstorm kwamen een twintigtal mogelijke interventies. Deze interventies hebben we op basis van de gedragsanalyse gerangschikt en geprioriteerd: quick wins, hoge impact en lage kosten.
De volgende interventies zijn gekozen:
- aandacht voor het onderwerp in werkoverleggen om ervaringen te delen en processen te verbeteren;
- sturing door teamleiders;
- medewerkers informeren om het belang aan te geven van de juiste verantwoording.
Stap 5 Interventies uitvoeren
Om de kans van slagen van de interventies te vergroten, bepaal je zorgvuldig de manier waarop je de interventies uitvoert. Denk hierbij aan ‘tone of voice’, namens wie wordt de boodschap verspreid, wat werkt goed binnen de organisatie en wat is het juiste moment en de juiste volgorde. Wijs per gedragsinterventie een actiehouder aan die verantwoordelijk is voor de uitvoering.
Wegwijzer in de praktijk
Bij Lentis werd periodiek een infographic geplaatst op het intranet om de medewerkers te informeren over het belang van het verantwoorden. Hierin werd ook de voortgang getoond. Ook verscheen een nieuwe richtlijn die werd besproken in het werkoverleg. Aan de hand hiervan werden er verbeteringen doorgevoerd in het proces van autoriseren. We ontwikkelden een dashboard voor leidinggevenden, zodat ze kunnen sturen op de cijfers van de buiten-autorisatie binnen het eigen team. Ook werden de cijfers meegenomen in de kwartaalrapportage voor de Raad van Bestuur.
Stap meting: 1-meting/effectmeting doelgedrag
Om er zeker van te zijn of je effectieve interventies hebt uitgevoerd, voer je een vervolgmeting uit. Deze 1-meting dient vergelijkbaar uitgevoerd te worden als de 0-meting. De vergelijking van de resultaten van je metingen geven je inzicht in de effectiviteit van de interventies. Bij een goed resultaat kun je je uitgaven en inzet verantwoorden aan de organisatie en aantonen dat je interventies echt hebben geleid tot informatieveiliger gedrag.
Mocht je echter constateren dat de interventies een gering of weinig effect hebben, dan is dat ook waardevolle informatie. Dan ga je terug in het proces en onderzoek je of je andere interventies zou moeten kiezen.
Wegwijzer in de praktijk
Lentis kan nu realtime monitoren wat het effect is van de interventies op het gedrag (zie figuur Resultateninterventies), maar ook hoe het gedrag zich verder ontwikkelt.
[Figuur 4 - Resultaten gedragsmetingen per maand (jan. 2020-aug. 2021).]
In 2020 zat Lentis op een gemiddelde van 14,3% van de medewerkers die niet het gewenste doelgedrag vertoonden. In 2021 zien we het gemiddelde teruggaan naar 9,9%. Echter, er is nog werk aan de winkel omdat onze ambitie 5% is.
Stap 6 Verankering en rapporteren
Uiteraard is het leuk om effect te zien op het gedrag van de medewerkers. Gedurende het project is er veel aandacht en inzet voor het onderwerp. Het wordt pas echt interessant als we kunnen spreken over een blijvende gedragsverandering. Wil je dat de getoonde verandering het nieuwe normaal wordt, dan moet er structureel aandacht aan worden besteed. Daarvoor moeten de uitkomsten van het project worden overgedragen aan het lijnmanagement en zo worden verankerd binnen de organisatie. Zorg voor een heldere adviesrapportage en draag zorg voor een goede overdracht. Hiervoor kun je gebruikmaken van het ‘verankeringsdocument’ uit de Wegwijzer (p.66).
[Figuur 5 - Resultaten gedragsmetingen per maand (jan. 2020-jan.2022).]
Wegwijzer in de praktijk
Binnen Lentis was de verankering een lastig onderdeel. Bij de start van het traject hebben we als kernteam hier onvoldoende bij stilgestaan. Na afronding van het project was er minder aandacht voor het onderwerp. We zagen dit terug in de monitor die een lichte stijging liet zien. Inmiddels zijn we drukdoende om de kpi’s van informatieveiligheid en privacy te laten opnemen in de planning- en control cyclus van het management. Zo is blijvende aandacht en opvolging verzekerd.
Afsluitend: Wees effectief
Samengevat kunnen we stellen dat het effect van gekozen interventies vaak onbekend is. Door deze methode te gebruiken, stijgt de informatieveiligheid, omdat de gekozen interventies wél effectief zijn. Gebrek aan kennis is vaak niet het probleem. De interventies richten zich op de werkelijke redenen waarom medewerkers het doelgedrag niet vertonen. Daarnaast verspil je geen tijd en energie van medewerkers met niet-effectieve interventies.
Als je nieuwsgierig bent naar waarom mensen doen wat ze doen, leer je veel. Gebruik die inzichten, én je metingen, om de risico’s uit gedrag te beheersen.
Wil je voortaan ook anders te werk gaan? De Wegwijzer is ontwikkeld voor de zorg, maar ook prima toepasbaar in andere sectoren. Op de website www.informatieveiliggedragzorg.nl vind je alle stappen met uitleg, voorbeelden en handige werkbladen om direct zelf te starten. Voor zorgorganisaties biedt ECP kosteloos ondersteuning bij het werken aan informatieveilig gedrag met een wekelijks spreekuur, webinars, workshops en een masterclass. Het aanbod staat vermeld op de website.
Project - kader
Het project Informatieveilig gedrag in de zorg werd van 2019 tot begin 2022, in opdracht van de Brancheorganisaties Zorg (BoZ) en het ministerie van VWS, uitgevoerd door stichting ICTU. Het project is nu ondergebracht bij ECP, Platform voor de Informatiesamenleving, ook bekend van Alert Online. Alle producten zijn vrij te gebruiken. De producten zijn ontwikkeld voor de zorg, maar zijn breder toepasbaar in diverse sectoren.
Relatie met ISO 27001/NEN 7510 - kader
De kern van ISO 27001/NEN 7510 is dat je zelf vaststelt welke maatregelen noodzakelijk zijn en dat je vervolgens meet of deze effectief werken. Bij bewustwordingsactiviteiten worden nu vaak de inspanningen gemeten: hoeveel mensen hebben de e-learning gevolgd; hoeveel nieuwsbrieven zijn verspreid? Ook auditoren nemen hiermee vaak genoegen. Het gebruik van de Wegwijzer stelt je in staat effectmetingen te doen: is het gedrag veranderd en is de informatie nu beter beschermd?
Tips - kader
Tip 1 Vraag je doelgroep eens waarom ze doen wat ze doen. Dit kan snel belangrijke inzichten opleveren!
Tip 2 Wees niet te ambitieus: maak het klein. Juist in samen kleine stappen zetten, schuilt het succes.
Tip 3 Probeer niet alles alleen op te lossen, maar werk samen in een multidisciplinair projectteam.
Referenties
[1] Gartner Report 2020 World wide turnover computer based training
[2] Artikel Human Factors: de kloof tussen awareness en gedrag, Inge Wetzer, deel 2 van drieluik, Informatiebeveiliging Magazine (Jaargang 22 2022, editie 1)
[3] Wegwijzer Aan de slag met informatieveilig gedrag www.informatieveiliggedragzorg.nl
[4] Michiel, S., Atkins, L. en West, R., 2018. Het gedragsveranderingswiel 8 stappen naar succesvolle interventies. Amsterdam: Amsterdam University Press.
Dit artikel verscheen in IB3-2022.
Voor het opgemaakte artikel (pdf), klik hier onder op 'Document downloaden'.