Van de baliemedewerker tot aan de burgemeester: iedereen in de gemeentelijke organisatie zou doordrongen moeten zijn van het belang van informatieveiligheid en privacybescherming. Het Groot Datalekkenspel biedt de nodige handvatten om dit bewustzijn te vergroten. Bedenker Eelco Rommes, strategisch adviseur informatiemanagement van de gemeente Nieuwegein: “Alleen maar een praatje houden werkt niet.”
Tot op het hoogste bestuurlijke en ambtelijke niveau moeten gemeenten werk maken van hun digitale organisatie, was de boodschap tijdens het Najaarscongres 2019 van de VNG Utrecht. Ook tijdens de bestuurlijke bijeenkomst ‘Samenwerken in de informatiesamenleving’ werd de noodzaak van informatieveiligheid en bescherming van de privacy nog eens onderstreept.
Het is een boodschap die ook Eelco Rommes als strategisch adviseur informatiemanagement uitdraagt. “Gemeenten beschikken over een enorme hoeveelheid gevoelige informatie, over inwoners en ondernemers in de gemeente, maar ook met betrekking tot de ambtelijke organisatie en het bestuur. Het is zaak die informatie veilig te houden en de privacy te waarborgen. Ik zie het als mijn taak mensen ervan bewust te maken dat zij daarin een rol en verantwoordelijkheid hebben.”
Stoffig verhaal
De Algemene verordening gegevensbescherming of AVG stelt eisen aan de wijze waarop de privacy en veiligheid van gegevens worden gewaarborgd. Dat heeft verstrekkende gevolgen voor iedereen die met informatie omgaat en dus zeker ook gemeentelijke organisaties. “Vraag is alleen hoe je de mensen daar het beste over kunt informeren”, aldus Rommes. “Want het is een stoffig verhaal. Alleen maar een praatje houden over de AVG en wat erin staat werkt dus niet.”
Een brainstorm met zijn collega’s leidde tot het idee voor een spel. “Want door een spel te spelen ben je zelf minder aan het zenden, maar bereik je dat mensen met elkaar in gesprek raken over wat de AVG en privacy in het algemeen voor henzelf en hun werk betekenen en wat zij anders kunnen doen om de veiligheid van de informatie beter te waarborgen.”
Het Groot Datalekkenspel kortom. Rommes: “Het is in feite een workshop waarin we het een keer helemaal omdraaien. We vertellen niet hoe mensen zich moeten gedragen, maar we dagen onze collega’s in teams uit om zich voor te stellen dat zij in het dagelijks leven of in het werk het allerergste datalek veroorzaken.”
Eelco Rommes
Evil plans
Dat gebeurt onder de noemer ‘snode plannen’ en begint meestal heel braaf: de eigen computer unlocked achterlaten, bijvoorbeeld. “Soms is er wat aanmoediging voor nodig, maar na enige tijd komen dan toch echt de evil plans tevoorschijn. En dat moet ook: hoe kwaadaardiger de plannen des te leuker wordt het spel. We merken dat alleen al die exercitie het gesprek over data op gang brengt.”
In de tweede ronde worden de snode plannen besproken en proberen de teams maatregelen te bedenken waarmee kan worden voorkomen dat het lek ontstaat. Of als het gebeurt, hoe de impact valt te beperken en kan worden voorkomen dat het nog een keer gebeurt.
“Daarover gaan mensen in gesprek en dan bedenken ze allerlei maatregelen die wij soms al in ons achterhoofd hebben, maar soms ook niet. Bijvoorbeeld omdat het heel specifiek over een bepaald vakgebied gaat. Het mooie van dit spel is dat mensen zelf bedenken wat informatieveiligheid betekent, er niets wordt opgelegd, en ze in hun eigen taal en over het eigen werkgebied met elkaar in gesprek komen. Het is geen abstract verhaal meer, maar we maken het hiermee juist heel concreet.”
Bewustzijn neemt toe
En dat blijkt te werken. “In die domeinen waar mensen met echt gevoelige data werken is het bewustzijn over informatieveiligheid heel hoog. Maar daar draagt het spel bij aan een gevoel van saamhorigheid. Als er iets mis gaat of als je niet weet hoe je ergens mee om moet gaan, kun je terecht bij anderen voor hulp. We zagen gebeuren dat mensen daar afspraken over gingen maken. Op andere plekken in de gemeentelijke organisatie zie je het bewustzijn toenemen, naarmate de voorbeelden loskomen.”
Het blijkt ook uit de feiten. “We hebben het Groot Datalekkenspel het afgelopen jaar circa 20 keer gespeeld”, aldus Rommes. “Om een uitspraak over het effect daarvan te kunnen doen, hebben we in het jaarplan als kritische prestatie indicator opgenomen dat we een significante stijging wilden zien van het aantal meldingen van datalekken. De reactie was eerst: dat klopt zeker niet. Maar we willen juist dat mensen zich bewust worden van het feit dat iets een datalek zou kunnen zijn en dat de bereidheid om daar melding van te maken toeneemt. Het gaat dus niet om een toename van het aantal datalekken, maar om het melden van een vermoeden van een datalek. Het aantal meldingen bij de Autoriteit Persoonsgegevens zou gelijk moeten blijven.”
Dat is exact het effect gebleken. “We zien nu inderdaad dat het aantal interne meldingen enorm is gestegen, met name in die groepen die het spel gespeeld hebben, en dat het aantal externe meldingen gelijk is gebleven. Dat is een sterke aanwijzing dat het werkt zoals we hadden gehoopt.”
Vrij beschikbaar
Inmiddels is het Groot Datalekkenspel zich als een olievlek door gemeenteland aan het verspreiden. “Toen ik er eenmaal op een aantal gemeentelijke fora over had gepost, groeide de belangstelling. Inmiddels hebben meer dan 100 gemeenten het draaiboek ontvangen, aan de hand waarvan zij zelf ook workshops rond het Groot Datalekkenspel kunnen houden.”
Gemeenten die het spel willen hebben, kunnen een e-mail sturen naar privacy@nieuwegein.nl. Het is ook terug te vinden op de website van de gemeente Nieuwegein, op de pagina https://www.nieuwegein.nl/privacystatement/.
Rommes: “Het spel is vrij beschikbaar voor iedereen; er zit geen copyright op. Waarom? Omdat we als gemeente samenwerking hoog in het vaandel hebben. Dan is het goed om ook dit met elkaar te delen.”
