Privacytraining is nodig, daar zijn de meeste zorginstellingen inmiddels wel achter. Ik noem het hier privacytraining, maar we hebben het over privacy en informatieveiligheid. De voorbeelden van de risico’s zien we dagelijks in het nieuws. Grote organisaties die dagen of weken niet kunnen werken omdat het systeem gehackt is. Of instellingen die negatief in het nieuws komen en daardoor imagoschade leiden. Zulke hacks komen vaak voort uit onoplettendheid van medewerkers die zwakke wachtwoorden hebben of deze overal hergebruiken, of die phishing niet herkennen. Ook moet het vanuit wet- en regelgeving: de Algemene Verordening Gegevensbescherming en NEN 7510 schrijven voor dat de organisatie aandacht besteed aan opleiding en training van medewerkers. Het aantoonbaar voldoen aan de NEN 7510 is voor zorginstellingen verplicht. Certificering is niet verplicht, maar dan is aantoonbaarheid geregeld. In dit artikel noem ik vijf fouten die vaak gemaakt worden bij training op het gebied van privacy en informatieveiligheid. Ik sluit af met een manier waarop je wel effectief met medewerkers aan de slag kunt.  

Vijf fouten

1. De training past niet bij de organisatie

Veel organisaties gebruiken standaard materialen, zonder daarbij de eigen, specifieke kenmerken en risico’s in te passen. Gebruik van niet toepasselijke materialen en voorbeelden leidt tot frustratie bij de trainer en bij de deelnemers.

2. Voor iedereen in de organisatie dezelfde training

Zowel qua vorm als qua inhoud moet de training worden aangepast aan de groep. Zorgmedewerkers, zorgadministratie, HR, bestuur en management, financiën of IT-afdeling, om aansluiting te vinden bij de werkzaamheden en leerstijl van de deelnemers moeten inhoud en vorm specifiek gemaakt worden.

3. Een overladen programma

Vaak wordt geprobeerd zo veel mogelijk informatie in zo kort mogelijke tijd in het hoofd van de deelnemers te krijgen. Uit studies is gebleken dat mensen maar een beperkt aantal brokken informatie per keer kunnen opnemen en onthouden. Bovendien kunnen deelnemers ongemotiveerd raken als ze een onrealistische berg materiaal over zich heen krijgen.

4. Onvoldoende inlevingsvermogen met de deelnemers

Vaak worden trainingen opgezet vanuit het gezichtspunt van de docent. Zorg ervoor dat je aansluit bij het kennisniveau van de deelnemers en dat er voldoende aanknopingspunten zijn met hun dagelijkse werkpraktijk.

5. Het uitstorten van informatie

Vaak wordt ten onrechte gedacht dat iets vertellen gelijk staat aan iets overbrengen. Bij het ontwikkelen van de training moet je er rekening mee houden dat mensen op verschillende manieren leren. Er zijn veel mensen die niet goed leren door alleen te luisteren of alleen te lezen. Om aan te sluiten bij de verschillende leerstijlen moet het materiaal op verschillende manieren worden aangeboden.  

Wat dan wel?

Actief meedoen en met elkaar in gesprek zijn, dat zijn waardevolle onderdelen van een effectieve training. Dit heb ik gemerkt in de afgelopen jaren, waarin ik vele trainingen gaf aan medewerkers van zorginstellingen. Daarnaast is het belangrijk om vaak op het onderwerp terug te komen. Door in een aantal werkoverleggen in het jaar een half uurtje te besteden bereik je meer dan eenmaal per jaar een lange presentatie met PowerPoint. Er zijn aanvullend vele acties mogelijk. Alles wat de dialoog stimuleert helpt. Een paar voorbeelden:

Bordspel	Phishingtest (doel: iedereen alert; niet: mensen voelen zich bedrogen/gekleineerd)	Materialen (posters, post-it’s, geheugensteuntjes, screensaver, pennen, bekers, usb-sticks enz)
Kaartspel	Social engineering, mysteryguest	Roadshow
App	Hacker demonstratie	1 april-actie, aansluiten oktober Alert Online en andere (feest-)dagen
Rollenspel	Interactieve presentatie	Security walks
competitie	E-learning	Inspiratiekaart
“Wat is jouw wachtwoord”-interviews	Artikelen voor intranet, personeelsblad of cliëntenmagazine	Kennisdatabase/FAQ’s/lessons learned
Discussiehulpmiddelen/kletspot (bijv. voor in werkoverleg of lunchbijeenkomst)	Waaier met informatie

Om herhaald en kort aandacht aan privacy en informatieveiligheid te kunnen geven heeft PrivacyLab de Privacyset ontwikkeld, die op Data Privacy Day 2020 (28 januari) gelanceerd is.

De Privacyset is een verzameling van vijf activiteiten, speciaal ontwikkeld voor gebruik in zorgteams. Met de werkvormen uit de Privacyset kun je op een speelse manier privacy-onderwerpen bespreken met collega’s. Gewoon tijdens een vergadering, zo kun je het geleerde meteen toepasbaar maken in de praktijk. We krijgen lovende reacties van mensen die de set hebben uitgetest bij de lancering en de discussies kwamen los! Dat is nou nét wat de opzet van de Privacyset is. De mensen herkennen veel situaties en vinden het leuk om die met elkaar te bespreken.

Onderwerpen in de Privacyset zijn onder andere: Inzage in dossiers: wanneer hoort het bij je werk en wanneer niet? Informatie op de werkplek: waar slingert er nog wat rond? Bewaartermijnen: puzzelen welke termijnen er gelden, maar vooral het gesprek erbij is belangrijk. Waarom zijn er bewaartermijnen en hoe kunnen we ons werk zo inrichten dat we die ook kunnen handhaven. E-mail: wat zijn de risico’s van informatie per e-mail versturen?

Klik hier voor meer informatie over de Privacyset. Heb jij ook ervaringen dat de theorie in een training niet is blijven hangen?) Laat het ons weten in de commentaarregels hieronder. Deel alsjeblieft dit artikel, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren. (sharebuttons zonder third-party tracking)

[learn_press_profile]