Een op de drie werknemers niet op de hoogte van AVG-beleid
Onvoldoende afstemming tussen verantwoordelijken informatiebeveiliging en rest organisatie
16 december 2019 -
Een derde van de Nederlandse werknemers weet niet of er binnen hun bedrijf maatregelen zijn genomen om te voldoen aan AVG-voorwaarden, ondanks dat deze wetgeving al ruim anderhalf jaar van kracht is. Een deel van de ondernemingen investeert wel in het trainen van hun werknemers, maar als geheel schieten Nederlandse bedrijven hierin tekort.
Zo weet 32,4 procent van de werknemers niet of er bijvoorbeeld een zakelijke e-mail encryptie-oplossing beschikbaar is. Dat blijkt uit onderzoek in opdracht van Egress uitgevoerd door Markteffect onder ruim 250 Nederlandse werknemers.
‘Gewone’ werknemer minder goed op de hoogte
Ondanks dat werknemers in veel organisaties centraal staan in het AVG-beleid, blijkt uit het onderzoek dat dit beleid onder lang niet alle werknemers bekend is. Het lijkt erop dat de verantwoordelijken voor informatiebeveiliging binnen organisaties wel op de hoogte zijn, maar dat deze kennis onvoldoende gedeeld wordt met de groep daarbuiten. Zo ligt het percentage eind- en medeverantwoordelijken dat aangeeft dat er een e-mail encryptie-oplossing beschikbaar is beduidend hoger dan bij niet-verantwoordelijken: 75,3 procent versus 33,1 procent. En waar bijna de helft van de niet-verantwoordelijken niet weet of de AVG-wetgeving heeft gezorgd voor veranderingen in de manier waarop de organisatie informatie deelt, ligt dat percentage onder verantwoordelijke werknemers op tien procent.
Bijna zestien procent van alle respondenten geeft aan dat er binnen hun organisatie wel eens per ongeluk bedrijfsgegevens of bedrijfsgevoelige informatie openbaar is gemaakt. Ook hier is een duidelijk verschil te zien tussen werknemers die verantwoordelijk zijn voor informatiebeveiliging en niet-verantwoordelijken: 32 procent tegenover 6,9 procent. Het is een indicatie dat lang niet alle datalekken door bedrijven gemeld worden aan hun personeel. Ook het recordaantal datalekken dat dit jaar al gemeld is bij de Autoriteit Persoonsgegevens onderbouwt deze conclusie.
Positief is dat de resultaten laten zien dat de helft van de werknemers op de hoogte is van de beleidsveranderingen die doorgevoerd zijn naar aanleiding van de AVG-wetgeving. In het merendeel van de gevallen (52,3 procent) gaat het daarbij om het trainen van werknemers. Ook geeft bijna 55 procent van de respondenten aan dat informatiebeveiliging voor meer werknemers binnen het bedrijf onderdeel is geworden van het takenpakket.
Discrepantie
Axel van Drongelen, General Manager Benelux bij Egress: "Het onderzoek toont duidelijk aan dat er een discrepantie bestaat tussen het beleid dat door de organisatietop wordt uitgestippeld en de invulling van het personeel dat geacht wordt dit beleid uit te voeren. Werknemers die niet verantwoordelijk zijn voor informatiebeveiliging zijn zich bijvoorbeeld veel minder bewust van het gevaar dat onverantwoorde omgang met bedrijfsgevoelige data met zich meebrengt. Dat blijkt bijvoorbeeld uit het gegeven dat respondenten die wel verantwoordelijk zijn voor informatiebeveiliging vaker aangeven dat onbewuste datalekken ontstaan via externe tools zoals WeTransfer of FTP-diensten. Dat duidt erop dat werknemers op zoek gaan naar manieren om veiligheidsmaatregelen te omzeilen, ook omdat er vaker gebruik wordt gemaakt van een e-mail encryptie-oplossing. Ze staan dus niet stil bij de risico’s van hun gedrag."
Van Drongelen pleit er dan ook voor om nog meer bewustzijn te creëren onder werknemers: "Als je niet weet dat je iets verkeerd doet, kun je je gedrag ook niet verbeteren. Het is positief om te zien dat veel bedrijven investeren in het trainen van hun werknemers als het gaat om het delen van informatie. Tegelijkertijd blijkt dat er nog veel meer bewustwording nodig is om het gevaar van onbewuste interne datalekken in te dammen."
Grootste angst voor datalekken binnen zorg
In het onderzoek zijn ook de verschillen tussen sectoren bekeken, zoals de zorg, financiële instellingen, overheid en de dienstensector. Medewerkers in de zorg blijken de grootste angst voor onbewuste interne datalekken te hebben, 32,4 procent noemt dit de grootste bedreiging voor de IT-beveiliging. Dit is flink hoger dan het gemiddelde van 22,8 procent. Aangezien de zorgsector ook koploper is in de meldingen van datalekken bij de Autoriteit Persoonsgegevens, lijkt deze angst niet ongegrond. Medewerkers in de commerciële dienstverlening scoren iets boven het gemiddelde met 23 procent.
Werknemers bij financiële instellingen zijn het meest AVG-bewust, 81 procent van de respondenten werkzaam in die sector geeft aan dat er veranderingen zijn doorgevoerd naar aanleiding van de wetgeving. Bij de overheid en in de zorg ligt dat percentage op 50 procent. Het per ongeluk lekken van persoonlijke of bedrijfsgevoelige informatie speelt de zorg met 19,8 procent bovengemiddeld parten. Het feit dat er binnen de zorg vaker persoonlijke informatie extern gedeeld wordt via e-mail, 60,3 procent versus 48,9 procent gemiddeld, kan hier debet aan zijn.
Van Drongelen: "De zorg is bij uitstek een sector waar veel persoonlijke informatie uitgewisseld wordt. Maar ook hier zien we dat ruim een kwart van de werknemers niet weet of het beleid voor het delen van informatie gewijzigd is als gevolg van AVG. Ook opvallend: bijna vijftien procent van de zorgwerknemers is van mening dat hun bedrijf helemaal geen risico loopt als het gaat om IT-beveiliging. Ook dit duidt op een gebrek aan bewustzijn."