Tekenen voor gedragscode en sanctiebeleid

We hebben de gedragscode en het sanctiebeleid en dat is ook nog eens goed vindbaar op het intranet. De medewerkers weten van het bestaan en er ontstaat een cultuur waarbij beveiliging niet langer een vreemde eend in de bijt is.

De vraag voor vandaag:
Heeft het personeel voor kennisname van de gedragscode en het sanctiebeleid getekend?

De organisatie bestaat al langer dan dat we een gedragscode of sanctiebeleid hebben. Nieuwe medewerkers tekenen hier bij indiensttreding voor en de getekende exemplaren zitten netjes in het personeelsdossier. Het lijkt misschien allemaal een formaliteit, maar willen we iets met die gedragscode of het sanctiebeleid kunnen doen dan moeten we enig bewijs hebben dat de medewerker die gezien heeft. Een handtekening is prima en we pakken het personeelsdossier er wel bij als er echt iets aan de hand is.

En dan komen we tot de conclusie dat de medewerker, die nu toch echt de regels heeft overtreden, langer in dienst is dan dat de gedragscode bestaat. We hebben dus geen handtekening van hem en hopen dat we nog iets kunnen met de handtekening op zijn arbeidscontract. Misschien staat daar iets in over gewijzigde regelgeving die automatisch van toepassing is. Erg zwak natuurlijk, maar zeker het proberen waard.

De strekking van dit verhaal is natuurlijk dat we er voor moeten zorgen dat van iedere medewerker die in dienst is een dergelijke handtekening beschikbaar is. Voor nieuwe medewerkers, voor medewerkers die al 30 jaar voor ons werken maar ook voor inhuurkrachten, uitzendkrachten en stagiaires. Allemaal nog steeds niet zo ingewikkeld en vrij logisch zul je zeggen. Dat zijn we direct met elkaar eens.

Maar als dit zo logisch is, zullen we dan, gewoon voor de grap, eens kijken naar het aantal personeelsdossiers en het aantal getekende gedragscodes? Grote kans dat we het goed voor elkaar hebben…op papier, een nog grotere kans dat de administratie toch wat andere signalen afgeeft. Grote delen van de administratie hebben niet de gedragscode, ergens in het proces is wellicht ooit iets niet goed gegaan en de achterstanden hebben we nooit helemaal weggewerkt. Dat is het beeld dat de praktijk vaak laat zien.

Als we dan toch de beveiliging willen verbeteren dan kunnen de we interne auditafdeling eens vragen om hier een audit op uit te voeren. De resultaten daarvan gebruiken we in ons verbeterplan. We zorgen ervoor dat nieuwe medewerkers (internen, externen, stagiaires) vanaf nu een verklaring ondertekenen door onze processen aan te passen en we gaan er aan werken om de achterstanden weg te werken.

Tot zover geen wolkje aan de lucht. Totdat de OndernemingsRaad er lucht van krijgt. Om dat voor te zijn betrekken we die er natuurlijk bij (als het goed is zijn ze ook betrokken geweest bij het opstellen van de gedragscode en het sanctiebeleid). We informeren het management dat we aan een opschoon actie beginnen en gaan aan de slag.

Al snel komen we uit bij die medewerkers die inderdaad al 30 jaar voor ons werken. Het merendeel tekent zonder morren de verklaring en gaat weer door met de werkzaamheden. Maar juist die ene (of twee of nog iets meer) zijn er stelselmatig tegen. Die gaan er echt niet voor tekenen want ze doen dit werk nu al 30 jaar zonder zo’n verklaring.

En nu? Wat ga je doen? Die medewerker doet inderdaad al jaren keurig zijn werk en de targets worden met twee vingers in de neus gehaald. Krijg jij van het management voldoende steun om je auditfinding weg te werken of blijf jij met open eindjes zitten (waardoor jouw bonus in gevaar komt)? Uiteraard is dit helemaal afhankelijk van de organisatie, maar het is wel een goede thermometer om te achterhalen hoeveel steun je kunt verwachten op meer ingewikkelde aspecten van beveiliging. Zo heeft het oppakken van een ogenschijnlijk simpele actie toch meer belang dan we dachten. In ieder geval weet je nu welke temperatuur jouw thermometer aangeeft en daar kun je dan de implementatie van andere maatregelen weer op aanpassen.

Bekendheid met de gedragscodes en het sanctiebeleid

Zoals we eerder al aanhaalden is voor het naleven van de gedragscodes kennis, houding en gedrag van belang. We kunnen niet verwachten dat de houding en het gedrag aanpassen als de gedragscode onbekend is. Dat klinkt misschien logisch, maar de praktijk is toch wat weerbarstiger.

De vraag:
Zijn deze gedragscodes en het sanctiebeleid beschikbaar gesteld aan het personeel?

Natuurlijk laten we nieuwe medewerkers hun handtekening zetten voor de gedragscode, zo hebben we tenminste bewijs voor als we dat nodig hebben. Deze nieuwe medewerker moet zeer waarschijnlijk wel vaker zijn handtekening zetten voor hij echt aan de slag kan. Geloven we nu echt dat hij alle formele documenten tot in de puntjes doorleest? En als dat al wordt gedaan, begrijpt de medewerker dan ook echt wat de impact is? Misschien toch eens checken bij een aantal nieuwe medewerkers of zij zich kunnen herinneren dat zij een gedragscode hebben getekend en of zij weten wat die inhoudt. Je bent gewaarschuwd: je kunt voor verrassingen komen te staan.

Maar gelukkig is de nieuwe medewerker geen eendagsvlieg. Na een aantal dagen, weken of maanden heeft hij zijn draai gevonden. Op het intranet gaat hij op zoek naar informatie die van belang is. Hoe makkelijk kan hij de gedragscode en het sanctiebeleid dan vinden? Staat er niet zoveel informatie op het intranet dat we door de bomen het bos niet meer zien? En tussen al die andere informatie (die meestal leuker is dan de beveiligingsinformatie), hoe groot is dan de kans dat hij bewust de gedragscode kiest? Waarschijnlijk niet zo groot.

Heb je de gedragscode op het intranet staan? Kijk dan eens naar de statistieken. Hoe vaak is die gedragscode het afgelopen jaar bekeken? En hoeveel nieuwe medewerkers hebben we er in die tijd bijgekregen? Matched dat nog een beetje?

Gelukkig speelt dit probleem binnen jouw organisatie niet want er zijn verplichte e-learning modules en daarin gaan we ook in op de gedragscode. We stellen netjes de vraag of de deelnemer de gedragscode kent en al snel wordt er op “ja” geklikt. Maar wij laten ons niet voor de gek houden en stellen later nog een controle vraag: “stel je ziet een bezoeker zonder begeleiding, wat doe je?” Natuurlijk begeleiden we die naar de receptie…althans op papier dan. In de praktijk doen we lekker of we deze persoon niet gezien hebben.

Redeneren we nog even verder dan gaat het natuurlijk helemaal niet om die gedragscode. Het gaat om een beveiligingscultuur die we moeten creëren en daar is heel wat meer voor nodig dan een gedragscode, een e-learning omgeving en/of een poster aan de wand. Beveiliging moet bespreekbaar gemaakt worden, het moet in de wortels van de organisatie zitten en het moet overeenkomen met de totale cultuur binnen een organisatie. Dat is het doel, de gedragscode en het sanctiebeleid zijn daarbij slechts ondersteunend (en helaas in de praktijk nog teveel een formaliteit omdat het nu eenmaal moet).

Probeer er eens voor te zorgen dat beveiliging en het gewenste gedrag meegenomen wordt in de afdelingsoverleggen, laat het hoogste management aantoonbaar het goede voorbeeld geven, maak incidenten (al dan niet in geanonimiseerde vorm) inzichtelijk zodat anderen daarvan kunnen leren en zorg ervoor dat medewerkers met hun vragen ergens terecht kunnen. Lukt dat dan zijn we al een heel stuk verder en kunnen we de gedragscode en het sanctiebeleid inderdaad fine tunen…door er minder in op te nemen in plaats van meer en meer en meer.

Sanctiebeleid

We hebben de gedragscode en nog zijn er medewerkers die zich daar niet aan houden. Frustrerend, toch? Nou dat valt wel mee, maar daar gaan we straks verder op in. Voor die gevallen waarbij stelselmatig de regels worden overtreden is het goed om een sanctiebeleid te hebben zodat we in kunnen grijpen als dat echt nodig is.

De vraag:
Is er een sanctiebeleid voor afwijkingen van de gedragscodes?

Laten we eerst even terug komen op het feit dat de frustratie wel mee kan vallen. Voordat we sancties op gaan leggen (een laatste redmiddel) moeten we eerst zien te achterhalen waarom de regels werden overtreden. Wilde de medewerker zich niet aan de regels houden of kon hij dat niet omdat er andere belangen speelden of de regels gewoon onzinnig zijn?

Als hij er niet aan wilde meewerken terwijl wij hem wel alle middelen hebben gegeven dan kunnen we besluiten het sanctiebeleid in werking te stellen. Daarmee moeten we wel terughoudend zijn en dat moeten we dan doen zonder aanziens des persoons. Wat hiermee bedoeld wordt? Nou, eigenlijk heel simpel: als het geldt voor de medewerkers op de werkvloer dan geldt het ook voor de manager in de ivoren toren. Passen we het sanctiebeleid niet rechtlijnig toe dan gaan we geen stand houden in de rechtbank (nog los van het feit dat het natuurlijk onterecht is om managers wel de regels te laten overtreden).

Terugkomend op de medewerkers die de regels best toe willen passen maar dat, om wat voor reden dan ook, niet kunnen. We moeten gedragscodes hebben die ondersteunend zijn aan de bedrijfsvoering waarbij we de regels steeds zullen moeten fine tunen. Stellen we de regels te strak dan gaat iedereen ze overtreden, zijn de regels te vrijblijvend dan lopen we risico’s. Na een incident waarbij de gedragscode is overtreden moeten we dus niet (in alle gevallen) direct het sanctiebeleid toepassen, nee we moeten eerst de echte oorzaak zien te achterhalen en onze gedragscodes daarop aanpassen.

Neem nu als voorbeeld de toegangspasjes tot een kantoorgebouw. Als regel stellen we dat bezoekers zich moeten melden en dat medewerkers een pasje hebben en bezoekers begeleiden. Maar hoe snel en makkelijk kunnen we pasjes verzorgen voor nieuwe medewerkers? En hoe gaan die nieuwe medewerkers in de tussen tijd al aan de slag? Willen we meelopen voorkomen dan moeten we die nieuwe medewerker wel middelen geven om zich aan de regels te houden. Hij of zij kan bijvoorbeeld een tijdelijke pas krijgen tot de eigen pas klaar is. Zo voorkom je dat een collega de nieuwe medewerker mee naar binnen moet smokkelen (waarbij ze dus beide de gedragscode overtreden). Te vaak zien we nog dat nieuwe medewerkers nog niet over de middelen beschikken om zich aan de regels te houden, vreemd eigenlijk. De eerste paar dagen staan we toe dat zij de regels overtreden (omdat onze processen gewoon niet goed zijn ingericht), later verwachten we dat ze zich er wel aan houden…we geven nogal tegenstrijdige signalen af, vind je niet?

Het opstellen van gedragscodes en sanctiebeleid is op papier helemaal niet zo ingewikkeld. Ga er even voor zitten en je hebt een berg regels opgeschreven, die in de praktijk echter niet werken. De kunst is nu juist om regels en sanctiebeleid op te stellen dat werkt. Maak ze SMART (Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdsgebonden), doen we dat op de juiste wijze en overtreden medewerkers dan willens en wetens de regels, dan kunnen we teruggrijpen op ons sanctiebeleid (dat uiteraard ook SMART is). Maar dat is ons laatste redmiddel, het toe moeten passen van het sanctiebeleid is eigenlijk het falen van het managen van de beveiligingsmaatregelen.

Gedragscodes

Gelukkig hebben we medewerkers die erg betrokken zijn bij de organisatie en die goed hun best doen om er het beste van te maken. En die medewerkers die buiten de boot vallen die helpen we wel op een andere manier (bye bye, zwaai, zwaai). Het frustreert ons alleen nog dat ze allemaal hun best doen, maar de beveiligingsregels massaal aan de laars lappen. Tijd om duidelijk te maken wat we op dit gebied nu eigenlijk van hen verwachten.

De vraag:
Zijn er schriftelijke gedragscodes vastgesteld?

We kunnen natuurlijk denken of hopen dat alle medewerkers pro-actief hun steentje bijdragen aan het veilig houden van onze organisatie, maar is het dan niet handig om duidelijk te maken wat we verwachten? De meeste medewerkers willen echt wel helpen, alleen weten ze niet precies hoe en waarom. Onze taak dus om ze dat duidelijk te maken door gedragscodes op te stellen.

Gedragscodes die begrepen kunnen worden door de medewerkers. Dus geen semi-juridische ingewikkelde teksten waarbij we er in de rechtbank achterkomen dat we inderdaad gelijk hebben. Nee, gewoon in Algemeen Beschaafd Nederlands en vooral geen lappen tekst of dikke documenten.

Willen we dat medewerkers inderdaad zorgen voor een veilige organisatie dan gaan we drie stappen door: kennis, houding en gedrag. Een gedragscode gaat vooral in op de eerste stap, het geven van kennis. De medewerker moet immers weten wat we verwachten en vooral ook waarom we dat verwachten.

Geen belerende teksten met een wijzende vinger, maar duidelijkheid voor iedereen. Daarbij is woordkeuze vaak al een belangrijk aspect. “Gij zult niet…” en de medewerker haakt af, de haren in de nek gaan recht overeind staan en de rest van onze gedragscode komt niet meer bij hem over. Nee, de medewerkers moeten hun verantwoordelijkheid nemen en kunnen nemen. Daarom moeten we kort de risico’s duidelijk maken, waarom stellen we sommige (belachelijke) regels eigenlijk?

Ziet de medewerker het nut niet in van de maatregel dan is de kans groot dat de kennis snel vervaagd. Houding en gedrag kunnen we al helemaal vergeten, want geen hond die zich er aan houdt.

De medewerker wil in dienst dus tekent met frisse tegenzin de gedragscode (of hij tekent zonder ook maar 1 letter te hebben gelezen). Op papier hebben we het misschien redelijk voor elkaar, maar in de praktijk verandert er dus niets. Juist daarom kan een gedragscode ook niet op zichzelf staan, nee, het is onderdeel van een groter geheel, namelijk het geheel van beveiligingsbewustzijn en beveiligingscultuur.

Geen lappen tekst dus, maar eerder meerdere korte gedragscodes. Een algemene gedragscode, een gedragscode voor internet en e-mail gebruik, een gedragscode voor omgang met vertrouwelijke informatie en alle andere gedragscodes die voor jouw organisatie belangrijk zijn. Daarbij moeten we keuzes maken, geen 100 gedragscodes want dan schieten we ons doel ook weer voorbij en worden we al snel belerend (terwijl geen medewerker alle 100 codes kent, laat staan zich er aan houdt).

Gedragscodes zijn een weergave van wat we logischerwijs van de medewerker mogen verwachten. Common sense en het verantwoordelijkheid geven aan de medewerker, het geven van vertrouwen en bijsturing waar dat nodig is. Op hoofdlijnen weet een medewerker echt wel hoe hij of zij zich dient te gedragen, voor die specifieke onderdelen waarvoor we dat nodig vinden geven we hem of haar dan de aanvullende kaders.

Wees eens eerlijk, kijk eens naar de gedragscodes die er binnen jouw bedrijf zijn? Zijn ze er, hoeveel zijn het er en hoe leesbaar zijn ze? “Less is more” ook op dit gebied, geef de medewerkers de kaders en controleer op hoofdlijnen hoe leefbaar ze zijn. Lukt het ons om medewerkers hun verantwoordelijkheid te laten nemen dan zijn we al een heel stuk verder dan dat we ze exact de wet voorschrijven.