Erna Havinga publiceerde onlangs een blogpost waarin ze ingaat op het verschijnsel dat bestuurders compliance issues negeren, zelfs als er auditrapporten liggen die wijzen op misstanden. Ze richt zich vooral op ‘informatiebeveiliging en privacy’.
Het verschijnsel is mij niet vreemd: ik weet dat vele advies- en auditrapporten over problemen met de informatiehuishouding in bureaulades gelegd worden en dat de aanbevelingen slechts marginaal worden opgevolgd. Redenen daarvoor zijn divers, maar een ervan is dat de noodzaak niet zo gevoeld wordt en dat het in ieder geval geen prioriteit heeft.
Die onachtzaamheid speelt al veel langer als het gaat om informatie, informatiemanagement en informatiebeveiliging. Er is genoeg wetenschappelijke literatuur beschikbaar waaruit blijkt dat door organisatie- en medewerkersgedrag vele mooie informatie(beleids)plannen onderuit worden gehaald. En daar doen managers en bestuurders aan mee. Ze hebben de mond vol over ‘informatie op orde’, maar ze kijken het liefst weg als het aan ‘de orde’ komt. Of, ook vaak toegepast, gaan weer een nieuw systeem implementeren dat ‘alle problemen oplost’. Het nemen van ingrijpende beslissingen kan daardoor weer worden uitgesteld en er hoeven ook geen ingrijpende maatregelen genomen te worden om voor ‘gewenst gedrag’ te zorgen.
Wat me wel van het hart moet: ‘hoezo privacy’? Daar gaat het toch helemaal niet over? De AVG spreekt over de ‘inbreuk op de vertrouwelijkheid, integriteit of beschikbaarheid van persoonsgegevens’. Het woord privacy komt helemaal niet voor in de AVG, en dat is niet zo vreemd omdat privacy niet iets is wat beschermd kan worden door een wet.
Privacy by design en Privacy Impact Analyses bestaan niet. Het zijn volgens de AVG ‘gegevensbescherming door ontwerp’ en ‘effectbeoordeling inzake gegevensbescherming’. Dat is iets heel anders en veel concreter dan ‘privacy’. Het gaat dus eigenlijk om informatiebeheer, -management en -beveiliging.
Informatie is iets waar menselijk gedrag en organisatiecultuur moeite mee hebben. Er wordt veel geroepen, maar weinig geregeld en ingegrepen. Hard roepen dat informatie belangrijk is, is makkelijker dan dat echt goed organiseren in een complexe omgeving.
Het is niet zo vreemd dat negatieve auditresultaten niet leiden tot actie. Ingrijpen om ‘gewenst gedrag’ te stimuleren is immers ‘moeilijk’, zeker in de informele organisatieculturen waar vele organisaties prat op gaan.
Voor gedrag in organisaties:
G.J. van Bussel, A Sound of Silence. Organizational Behaviour and Enterprise Information Management, Van Bussel Document Services, Helmond 2020.
Online bron: hier en hier.
E, Havinga (2024), ‘Rapporteren zonder resultaat; de frustratie van elke FG en CISO’. IB&P Blog. Online bron: hier.