“Technisch staat alles dicht! Datalekken zijn bij ons verleden tijd! “
Mijn collega Bas Krikke schreef een tijdje geleden over hoe de organisatie rondom governance in zijn ogen verandert. In zijn post kwam duidelijk naar voren dat er een gelijkwaardige onderhandeling moet plaatsvinden tussen IT Infrastructuur, applicatieconfiguratie, de processen en de gebruikersbeleving. In de traditionele governance-omgeving zien we helaas maar al te vaak dat de aandacht voor de processen en vooral de gebruikersbeleving achter blijft. De kwestie van Hugo de Jonge die zijn privémail gebruikte voor vertrouwelijke, werkgerelateerde zaken is hiervan een uitstekend (herkenbaar?) voorbeeld. Dit vraag om secure productivity!
gebruiksvriendelijkheid als reden?
In het nieuwsartikel hierover komt dit probleem duidelijk naar voren.
“Dat is natuurlijk niet zoals het hoort, maar op VWS hebben ze een nogal zwaar beveiligd, en daardoor nogal gebruikersonvriendelijk mailsysteem.”
Daardoor was het volgens hem soms “praktischer” om zijn privé-account te gebruiken.
“Je kunt bijvoorbeeld geen stukken aanpassen in dat systeem van de Rijksoverheid, maar dat kan wel heel makkelijk op mijn iPad.”
Ook had hij regelmatig geen wachtwoord voorhanden, omdat het verlopen was.
gebruikerservaringsvakidioten verzamelen!
Dat een organisatie veilig wil werken is goed en logisch, ieder bedrijf moet zich hier mee bezig houden. Wanneer je echter het gebruikersperspectief negeert, en alleen maar veiligheid creëert op basis van technische inrichting, dan creëer je een schijnveiligheid. Medewerkers krijgen dan (te) veel last van de technische beveiliging en ervaren dit als beperking. Lees: gebruikersonvriendelijk, niet praktisch, te vaak niet in kunnen loggen, niet op een iPad toegankelijk, precies wat minister De Jonge benoemt in bovenstaand artikel.
Op dat moment zijn je medewerkers wellicht creatiever dan je denkt en gaan ze zelf naar andere oplossingen zoeken. Oplossingen die vaak onveiliger zijn. Je hebt als organisatie totaal geen grip op deze creatieve oplossingen, als je al van het bestaan af weet.
De afweging tussen gebruikers(on)vriendelijkheid en veiligheid noemen wij ook wel secure productivity. Secure productivity zoekt steeds naar de balans tussen verantwoord en veilig je (digitale) werk doen én productief blijven. Zodat je kan werken zonder datalekken! Dit lijkt misschien ingewikkeld, maar een eerste grote stap is eenvoudig te zetten. Zoals Bas Krikke in zijn tip aangaf: geef de ‘gebruikerservaringsvakidioot’ net zo veel onderhandelingsruimte als de andere betrokkenen rondom governance.
Waar een tweede stap heen leidt, ligt voor de hand: je grootste digitale gevaar zit namelijk tussen de rugleuning en het bureau. Iedereen moet bewust zijn van de (mogelijke) gevolgen van zijn of haar gedrag. We zien maar al te vaak dat hiervoor een veilig werken traject wordt uitgezet waarin alle medewerkers een e-learning moeten doen over veilig werken. Nadat jouw medewerkers die e-learning hebben gedaan, weten ze precies hoe ze moeten handelen…. Helaas doen ze het vaak niet zoals het zou moeten. Veilig werken is geen project of traject. Veilig werken is een werkwoord moet daarom in alle projecten, trainingen, implementaties, adoptieprojecten, changetrajecten of welke ontwikkeling dan ook verweven zijn. Zo is het uiteindelijk geen thema meer, maar gemeengoed.
Wil je meer weten over dit onderwerp? Je mag Robin Hartlieb altijd contacten.