Onderwijsmedewerkers overschatten eigen kennis over digitale veiligheid
In een onderzoek van SURF naar bewustzijn van digitale veiligheid en privacy in onderzoeks- en onderwijsinstellingen blijkt dat medewerkers over net voldoende kennis op dit gebied beschikken. Toch wordt die kennis soms nog overschat door de medewerkers zelf. Zo bleek de kennis over de veiligheid van een wachtwoord niet of nauwelijks aanwezig te zijn. Opvallend, aangezien uit het onderzoek blijkt dat de meeste medewerkers vinden dat ze hier wél genoeg over weten. Het kan dus een stuk beter, denken de onderzoekers.
Volgens de onderzoekers kunnen medewerkers van een onderwijs- of onderzoeksinstelling ervoor zorgen dat de instelling een doelwit wordt voor cybercriminelen. Er gaan in deze instellingen veel vertrouwelijke data rond, terwijl er tegelijk om openheid gevraagd wordt vanuit partners en de maatschappij. Voor organisaties is het daarom goed om te weten hoe het zit met de kennis en het bewustzijn van medewerkers op het gebied van privacy en digitale veiligheid.
Het onderzoek bestond uit een enquête over de situatie in de eigen instelling en daarnaast uit acht toetsvragen. In de enquête werd gevraagd naar de motivatie van de medewerkers om te leren over privacy en digitale veiligheid en de gelegenheid die ze van hun leidinggevenden krijgen om hierover te leren. Daarnaast werd gevraagd hoe de medewerkers hun eigen kennis inschatten, wat ook gecontroleerd werd middels de toetsvragen. SURF heeft de enquête tussen januari en maart 2021 uitgerold bij 26 instellingen. In totaal is de enquête 4.916 keer ingevuld.
Medewerkers willen wel, maar hebben begeleiding nodig
De motivatie van medewerkers om aandacht te besteden aan privacy en digitale veiligheid is hoog, blijkt uit het onderzoek. De respondenten besteden er naar eigen mening veel tijd aan. De geboden gelegenheid om dat te kunnen doen wordt echter een stuk lager beoordeeld. Instellingen maken niet altijd duidelijk wat ze precies verwachten van hun medewerkers; dat maakt het voor medewerkers moeilijk om te weten waaraan voldaan moet worden. “Als een instelling niet duidelijk en concreet maakt wat ze verstaat onder privacybewust en informatieveilig werken, dan kan ze ook niet verwachten dat medewerkers veilig en zorgvuldig met vertrouwelijke gegevens omgaan”, schrijven de onderzoekers.
Bijna alle aanbevelingen uit het rapport sluiten dan ook hierop aan. Zo wordt geopperd dat leidinggevenden een actieve rol moeten aannemen in het opdoen van kennis en bewustwording van privacy en digitale veiligheid. Zij moeten sturing geven aan de rest van het team en laten zien dat deze onderwerpen van belang zijn. Zo kunnen dit regelmatig terugkerende thema’s binnen een team worden. Hier kunnen trainingen voor leidinggevenden goed van pas komen.
Meld u hier aan voor de ScienceGuide Nieuwsbrief
Echter moet informatie ook vanuit de instelling op een heldere manier gecommuniceerd worden, schrijven de onderzoekers – dus geen heel uitgebreide en ingewikkelde documenten gebruiken, maar duidelijke en makkelijk vindbare richtlijnen opstellen. Het zou het beste zijn als deze richtlijnen ook per situatie of doelgroep afgestemd kunnen worden, zeggen de onderzoekers. Hier moeten de medewerkers dan ook aan meewerken om tot de gepaste richtlijnen te komen.
Verder wordt benadrukt dat een programma gericht op bewustwording gevarieerd moet zijn. De onderzoekers noemen een quiz, trainingen, spellen of presentaties als voorbeelden van andere manieren om bewustwording te bewerkstelligen. Hiermee is ook makkelijk te variëren per doelgroep. Alleen richtlijnen, hoe eenvoudig en vindbaar ze ook zijn, kunnen toch meer beperkt zijn in het bereiken van de doelgroep.
Alle instellingen scoren gelijkwaardig, maar toch te laag
Een andere conclusie die de onderzoekers trekken is dat alle participerende instellingen redelijk dicht bij elkaar zaten wat scores betreft. Medewerkers van verschillende instellingen zijn gemiddeld genomen even gemotiveerd en hebben hetzelfde niveau van kennis. Als mogelijke verklaring daarvoor noemen de onderzoekers de initiatieven en samenwerkingen die over de hele onderwijs- en onderzoeksector ingezet zijn.
Er is dus ook weinig verschil tussen het mbo, het hbo en het wo. Het grootste gedeelte van de respondenten scoort tussen de 6,6 en 7,0 voor de toetsvragen. Toch is dit volgens de onderzoekers nog niet genoeg; één medewerker die op een verkeerde link klikt kan immers voor een cyberaanval zorgen. Een score hoger dan een 7,0 zou genoeg kunnen zijn, maar de onderzoekers zien het liefst scores vanaf 7,5 om écht veilig te zijn.
Docenten en onderzoekers blijven achter
Echter is er wel een groter verschil op te merken tussen het gemiddelde en één groep, namelijk de medewerkers die zich dagelijks met onderwijs of onderzoek bezighouden. Deze medewerkers scoren op zowel motivatie als gelegenheid gemiddeld minder hoog dan andere medewerkers van de instellingen. Dit houdt in dat ze uit zichzelf minder doen aan privacy en digitale veiligheid, en dat ze ook van hogerop minder ruimte en begeleiding krijgen om zich hierin te verdiepen.
Volgens de onderzoekers kan de lagere score voor motivatie komen door de hogere werkdruk die deze groep ondervindt; dit werd ook genoemd door een aantal respondenten. Ook wordt gezegd dat het kan komen doordat onderzoekers vaak in internationale omgevingen werken, waar wellicht digitale hulpmiddelen gebruikt worden die in Nederland niet binnen de richtlijnen vallen.
Een andere aanbeveling van de onderzoekers is dan ook om meer aandacht te besteden aan deze groep binnen het hoger onderwijs. Het belang van privacy en digitale veiligheid moet in deze groep meer op de voorgrond gebracht worden door leidinggevenden. Om de werkdruk echter niet nog hoger te maken, moeten initiatieven hiervoor extra goed aansluiten op de dagelijkse bezigheden. Zo wordt de relevantie van het bewustzijn ook voor onderzoekers en docenten meteen zichtbaar.
