Gelukkig hebben we medewerkers die erg betrokken zijn bij de organisatie en die goed hun best doen om er het beste van te maken. En die medewerkers die buiten de boot vallen die helpen we wel op een andere manier (bye bye, zwaai, zwaai). Het frustreert ons alleen nog dat ze allemaal hun best doen, maar de beveiligingsregels massaal aan de laars lappen. Tijd om duidelijk te maken wat we op dit gebied nu eigenlijk van hen verwachten.
De vraag:
Zijn er schriftelijke gedragscodes vastgesteld?
We kunnen natuurlijk denken of hopen dat alle medewerkers pro-actief hun steentje bijdragen aan het veilig houden van onze organisatie, maar is het dan niet handig om duidelijk te maken wat we verwachten? De meeste medewerkers willen echt wel helpen, alleen weten ze niet precies hoe en waarom. Onze taak dus om ze dat duidelijk te maken door gedragscodes op te stellen.
Gedragscodes die begrepen kunnen worden door de medewerkers. Dus geen semi-juridische ingewikkelde teksten waarbij we er in de rechtbank achterkomen dat we inderdaad gelijk hebben. Nee, gewoon in Algemeen Beschaafd Nederlands en vooral geen lappen tekst of dikke documenten.
Willen we dat medewerkers inderdaad zorgen voor een veilige organisatie dan gaan we drie stappen door: kennis, houding en gedrag. Een gedragscode gaat vooral in op de eerste stap, het geven van kennis. De medewerker moet immers weten wat we verwachten en vooral ook waarom we dat verwachten.
Geen belerende teksten met een wijzende vinger, maar duidelijkheid voor iedereen. Daarbij is woordkeuze vaak al een belangrijk aspect. “Gij zult niet…” en de medewerker haakt af, de haren in de nek gaan recht overeind staan en de rest van onze gedragscode komt niet meer bij hem over. Nee, de medewerkers moeten hun verantwoordelijkheid nemen en kunnen nemen. Daarom moeten we kort de risico’s duidelijk maken, waarom stellen we sommige (belachelijke) regels eigenlijk?
Ziet de medewerker het nut niet in van de maatregel dan is de kans groot dat de kennis snel vervaagd. Houding en gedrag kunnen we al helemaal vergeten, want geen hond die zich er aan houdt.
De medewerker wil in dienst dus tekent met frisse tegenzin de gedragscode (of hij tekent zonder ook maar 1 letter te hebben gelezen). Op papier hebben we het misschien redelijk voor elkaar, maar in de praktijk verandert er dus niets. Juist daarom kan een gedragscode ook niet op zichzelf staan, nee, het is onderdeel van een groter geheel, namelijk het geheel van beveiligingsbewustzijn en beveiligingscultuur.
Geen lappen tekst dus, maar eerder meerdere korte gedragscodes. Een algemene gedragscode, een gedragscode voor internet en e-mail gebruik, een gedragscode voor omgang met vertrouwelijke informatie en alle andere gedragscodes die voor jouw organisatie belangrijk zijn. Daarbij moeten we keuzes maken, geen 100 gedragscodes want dan schieten we ons doel ook weer voorbij en worden we al snel belerend (terwijl geen medewerker alle 100 codes kent, laat staan zich er aan houdt).
Gedragscodes zijn een weergave van wat we logischerwijs van de medewerker mogen verwachten. Common sense en het verantwoordelijkheid geven aan de medewerker, het geven van vertrouwen en bijsturing waar dat nodig is. Op hoofdlijnen weet een medewerker echt wel hoe hij of zij zich dient te gedragen, voor die specifieke onderdelen waarvoor we dat nodig vinden geven we hem of haar dan de aanvullende kaders.
Wees eens eerlijk, kijk eens naar de gedragscodes die er binnen jouw bedrijf zijn? Zijn ze er, hoeveel zijn het er en hoe leesbaar zijn ze? “Less is more” ook op dit gebied, geef de medewerkers de kaders en controleer op hoofdlijnen hoe leefbaar ze zijn. Lukt het ons om medewerkers hun verantwoordelijkheid te laten nemen dan zijn we al een heel stuk verder dan dat we ze exact de wet voorschrijven.