'Na verschillende datalekken en afzonderlijke verbeteracties voor de informatieveiligheid en privacy, heeft UWV KPMG gevraagd om integraal te kijken hoe we informatiebeveiliging en privacy van Sonar, ons klantvolgsysteem, kunnen verbeteren. Daaruit bleek dat aanpassingen in techniek en processen nodig waren. Maar ook dat de medewerkers in onze organisatie hun gedrag moesten aanpassen. Om ze daarin gerichter te kunnen helpen, hebben we een grootschalig onderzoek opgezet waarin we onderzochten waarom mensen doen wat ze doen. Is het gebrek aan kennis? Onwil? Onuitvoerbaarheid? Je kunt wel maatregelen nemen, maar dan je moet toch eerst weten waar de oorzaak van bepaald gedrag ligt.'

Als mensen geen groot risico zien aan hun handelen, zullen ze dat niet snel veranderen. 'Dat bleek hier niet aan de hand. Medewerkers zijn zich heel bewust van nut en noodzaak van veilig omgaan met gegevens.', vertelt Keesman. 'Wat wel een rol speelt is gebrek aan kennis in specifieke situaties. Zo weten mensen wel dat je een datalek moet melden, maar ze herkennen een datalek niet altijd.' Het thuiswerken helpt daarbij niet. 'Het is belangrijk dat collega’s elkaars handelen zien en van elkaar leren, daar valt winst te behalen. Een andere factor van belang is de rol van de manager. Wij vragen veel van onze medewerkers: ze moeten hun werk goed, snel en grondig doen en als manager help je daarbij. Maar je helpt een medewerker pas echt als je informatieveiligheid en privacy ook meeneemt in de aansturing. Niet als extra taak, maar als integraal onderdeel van de dienstverlening.'

'Nu we weten welke drie risicofactoren een belangrijke rol spelen – kennis, handelingsperspectief en goede voorbeelden en de rol van de manager – kunnen we gericht acties uitzetten. Zo hebben we een kennistest gemaakt, om collega’s te laten ontdekken wat ze weten en op welke vlakken ze extra training nodig hebben.' Ook ontwikkelen we acties om het juiste handelingsperspectief en de goede voorbeelden over het voetlicht te brengen en worden de managers van het UWV met een dialoogspel gefaciliteerd om met hun team het gesprek aan te gaan. 'Het is een kwestie van lange adem, maar we zijn goed op weg.'